Атаки на логистическую цепочку

Атаки цепочки поставок представляют собой формирующуюся угрозу, которая направлена против разработчиков и поставщиков программного обеспечения. Цель заключается в доступе к исходным кодам, процессам сборки или обновлению механизмов путем заражения законных приложений для распространения вредоносных программ.

Как работают атаки цепочки поставок

Злоумышленники охотятся за незащищенными сетевыми протоколами, незащищенными инфраструктурами серверов и небезопасными практиками кодирования. Они вламывются, изменяют исходные коды и скрывают вредоносные программы в процессах сборки и обновления.

Поскольку программное обеспечение построено и выпущено доверенными поставщиками, эти приложения и обновления подписываны и сертифицированы. В атаках цепочки поставок программного обеспечения поставщики, скорее всего, не знают, что их приложения или обновления заражены вредоносным кодом, когда они будут выпущены для общественности. Затем вредоносный код выполняется с тем же доверием и разрешениями, что и приложение.

Количество потенциальных жертв значительно, учитывая популярность некоторых приложений. Произошел случай, когда бесплатное приложение для сжатия файлов было отравлено и развернуто для клиентов в стране, где это было верхнее полезное приложение.

Типы атак цепочки поставок

  • Скомпрометированная программа для создания программного обеспечения или обновленная инфраструктура

  • Украденные сертификаты код-знака или подписанные вредоносные приложения с помощью удостоверения компании-разработчика

  • Скомпрометирован специализированный код, отправляемый в компоненты оборудования или прошивки

  • Предварительно установленные вредоносные программы на устройствах (камеры, USB, телефоны и т.д.)

Подробнее об атаках цепочки поставок читайте в этом блоге под названием "Начало атаки":скомпрометированная цепочка поставок в цепочке поставок создает новые риски.

Защита от атак цепочки поставок

  • Развертывание сильных политик целостности кода, чтобы разрешить запуск только авторизованных приложений.

  • Используйте обнаружение и нейтрализация атак на конечные точки решения, которые могут автоматически обнаруживать и устранять подозрительные действия.

Для поставщиков и разработчиков программного обеспечения

  • Поддерживать высокобезопасную инфраструктуру сборки и обновления.

    • Немедленно применить исправления безопасности для ОС и программного обеспечения.
    • Реализация обязательных элементов управления целостностью, чтобы обеспечить запуск только надежных средств.
    • Требуется многофакторная проверка подлинности для администраторов.
  • Создание безопасных обновлений программного обеспечения в рамках жизненного цикла разработки программного обеспечения.

    • Требуется SSL для каналов обновления и реализации вращающихся сертификатов.
    • Подпишите все, включая файлы конфигурации, скрипты, XML-файлы и пакеты.
    • Проверьте цифровые подписи и не позволяйте обновлению программного обеспечения принимать общие входные данные и команды.
  • Разработка процесса реагирования на инциденты для атак цепочки поставок.

    • Раскрытие инцидентов в цепочке поставок и уведомление клиентов с точной и достоверной информацией

Дополнительные общие советы по защите систем и устройств см. в дополнительных советах по предотвращению заражения вредоносными программами.