Захист вашої організації від зростаючих атак на ланцюг поставок програмного забезпечення

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Зловмисникам важко встояти перед спокусою ланцюгів постачання програмного забезпечення: вони можуть надто швидко та легко отримати доступ до широкого спектру конфіденційної інформації — і таким чином отримувати соковитіші виплати.

Лише за один рік — між 2000 і 2021 роками — кількість атак на ланцюг поставок програмного забезпечення зросла більш ніж на 300%. І 62% організацій визнають, що на них вплинули такі атаки.

Експерти попереджають, що натиск не вщухне. Насправді, згідно з даними Gartner, до 2025 року 45% організацій у всьому світі зазнають атаки програм-вимагачів на свої цифрові ланцюжки поставок.

«Ніхто не застрахований», — сказав Зак Мур, менеджер із продуктів безпеки InterVision. «Від малого бізнесу до компаній зі списку Fortune 100 і до найвищого рівня уряду США — всі постраждали від атак на ланцюги поставок за останні два роки».

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Прикладів безліч

Атака SolarWinds і вразливість Log4j є двома найвідомішими прикладами атак на ланцюг поставок програмного забезпечення за останній час. Обидва показали, наскільки поширеними можуть бути атаки на ланцюжок поставок програмного забезпечення, і в обох випадках повний масштаб наслідків ще належить побачити.

«SolarWinds став символом ризиків цифрового ланцюжка поставок», — сказав Майкл Ісбіцкі, директор зі стратегії кібербезпеки Sysdig.

Проте, за його словами, Microsoft Exchange є ще одним прикладом, який був не менш вражаючим, «але про нього швидко забули». Він зазначив, що ФБР і Microsoft продовжують відстежувати кампанії програм-вимагачів, націлених на вразливі розгортання Exchange.

Іншим прикладом є Kaseya, яка була зламана агентами-вимагачами в середині 2021 року. У результаті понад 2000 клієнтів постачальника програмного забезпечення для управління ІТ отримали скомпрометовану версію продукту, а від 1000 до 1500 клієнтів зрештою зашифрували свої системи.

«Безпосередні збитки від такої атаки величезні», — сказав Мур. «Але ще більш небезпечними є довгострокові наслідки. Загальна вартість відновлення може бути величезною і триватиме роки».

Тож чому атаки на ланцюги поставок програмного забезпечення постійно відбуваються?

Причиною продовження бомбардування, сказав Мур, є все більша залежність від стороннього коду (включаючи Log4j).

Це робить дистриб’юторів і постачальників ще більш уразливими, і вразливість часто прирівнюється до вищих виплат, пояснив він.

Крім того, «учасники програм-вимагачів стають все більш ретельними та використовують нетрадиційні методи для досягнення своїх цілей», — сказав Мур.

Наприклад, використовуючи відповідні протоколи сегментації, агенти-вимагачі атакують системи програмного забезпечення для управління ІТ та материнські компанії. Потім, після порушення, вони використовують ці відносини, щоб проникнути в інфраструктуру дочірніх компаній і довірених партнерів цієї організації.

«Атаки на ланцюги поставок, на жаль, зараз поширені частково через те, що там більші ставки», — сказав Мур. «Розширені перебої в ланцюжках поставок поставили галузь на крихке роздоріжжя».

Низька вартість, висока винагорода

Атаки на ланцюг постачання є дешевими, можуть вимагати мінімальних зусиль і потенційно можуть отримати високу винагороду, сказала Крістал Морін, інженер із дослідження загроз у Sysdig. Крім того, інструменти та методи часто охоче діляться в Інтернеті, а також розкриваються охоронними компаніями, які часто публікують детальні висновки.

«Доступність інструментів і інформації може надати менш досвідченим зловмисникам можливість копіювати досвідчених загроз або швидко навчитися передовим технікам», — сказав Морін.

Крім того, атаки програм-вимагачів на ланцюжок постачання дозволяють зловмисникам закинути широку мережу, сказав Зак Ньюман, старший інженер програмного забезпечення та дослідник Chainguard. Замість того, щоб витрачати ресурси на атаку однієї організації, порушення частини ланцюга постачання може вплинути на сотні чи тисячі організацій, що знаходяться нижче за течією. З іншого боку, якщо зловмисник націлений на конкретну організацію чи державну установу, поверхня атаки змінюється.

«Замість того, щоб чекати, поки ця одна організація матиме проблему з безпекою, зловмисник просто повинен знайти одну проблему безпеки в будь-якій із залежностей свого ланцюга постачання програмного забезпечення», — сказав Ньюман.

Жодна наступальна/оборонна тактика не може захистити всі ланцюги поставок програмного забезпечення

Нещодавні атаки на ланцюг постачання підкреслюють той факт, що жоден інструмент не забезпечує повного захисту, сказав Мур. Якщо скомпрометовано лише один інструмент у стеку організації, наслідки можуть бути серйозними.

«Зрештою, будь-яка система захисту, створена розумними людьми, може бути порушена іншими розумними людьми», — сказав він.

Необхідна глибока оборона, сказав він; це має мати багаторівневу політику безпеки, захист меж, захист кінцевої точки, багатофакторну автентифікацію (MFA) і навчання користувачів. Надійні можливості відновлення, включно з належним чином збереженими резервними копіями — і в ідеалі — експертами з безперебійної роботи, готовими мобілізуватись після атаки — також є обов’язковим.

За словами Мура, без обізнаних людей, які правильно керуватимуть і керуватимуть ними, багатошарові технології втратять свою цінність. Або, якщо лідери не впроваджують правильну структуру для того, як ці люди та технології взаємодіють, вони залишають прогалини для використання зловмисниками.

«Пошук правильного поєднання людей, процесів і технологій може бути складним завданням з точки зору доступності та вартості, але все одно це критично важливо», — сказав він.

Цілісна, комплексна видимість

Комерційне програмне забезпечення, як правило, на радарі команд безпеки, але відкрите програмне забезпечення часто ігнорується, зазначив Морін. Організації повинні бути в курсі всього програмного забезпечення, яке вони використовують і перепрофільовують, включаючи програмне забезпечення з відкритим вихідним кодом і стороннє програмне забезпечення.

За її словами, інколи інженерні команди працюють надто швидко, або безпека не пов’язана з розробкою та доставкою додатків із використанням програмного забезпечення з відкритим кодом.

Але, як було показано з проблемами в залежностях, таких як OpenSSL, Apache Struts і Apache Log4j, уразливості, які можна використовувати, швидко поширюються серед середовища, програм, інфраструктури та пристроїв.

«Традиційні підходи до управління вразливістю не працюють», — сказав Морін. «Організації майже не контролюють безпеку своїх постачальників, крім договірних зобов’язань, але це не проактивний контроль».

За її словами, існують інструменти безпеки для аналізу додатків та інфраструктури для цих уразливих пакетів до та після доставки, але організації повинні переконатися, що ви їх розгорнули.

Але «інші найкращі практики безпеки продовжують застосовуватися», – сказала вона.

Розширений фокус безпеки

Морін порадив: регулярно оновлюйте та вдосконалюйте виявлення. Завжди латайте де — і якомога швидше. Запитайте продавців, партнерів і постачальників, що вони роблять, щоб захистити себе, своїх клієнтів і конфіденційні дані.

«Залишайтеся на них також», — сказала вона. «Якщо ви бачите проблеми, які можуть вплинути на них у ваших звичайних зусиллях щодо безпеки, повідомте їм про це. Якщо ви провели належну обачність, а один із ваших постачальників цього не зробив, це буде набагато важливіше, якщо вони будуть скомпрометовані або виточать ваші дані».

Крім того, занепокоєння ризиком виходить за рамки традиційних двійкових файлів додатків, сказав Ісбіцкі. Зображення контейнерів і інфраструктура як код зачіпають багато різновидів шкідливого коду, а не лише програми-вимагачі.

«Нам потрібно розширити нашу увагу до безпеки, щоб включити вразливі залежності, на яких побудовані програми та інфраструктура, — сказав Ісбіцкі, — а не лише програмне забезпечення, яке ми встановлюємо на настільні комп’ютери та сервери».

Зрештою, як сказав керівник відділу продуктів і технологій RKVST Джон Гітер, компанії починають більше цінувати те, що стає можливим, «коли вони впроваджують цілісність, прозорість і довіру стандартним, автоматизованим способом».

Проте, підкреслив він, справа не завжди в ланцюжку поставок напади.

«Насправді більшість проблем виникають через помилки або недогляди в ланцюжку постачання, які потім відкривають ціль для традиційних кібератак», — сказав Гітер.

Це тонка різниця, але важлива, зазначив він. «Я вважаю, що більшість відкриттів, які стануть результатом покращення видимості ланцюга постачання наступного року, підкреслять, що більшість загроз виникають через помилки, а не через зловмисність».

Не захоплюйтеся програмами-вимагачами

І хоча занепокоєння програмами-вимагачами є основною частиною підходів до безпеки кінцевих точок, це лише один із потенційних методів атаки, сказав Ісбіцкі.

За його словами, є багато інших загроз, до яких організації повинні бути готові, включаючи новітні методи, такі як криптовикрадення, атаки на основі ідентифікаційної інформації та збір секретів.

«Зловмисники використовують те, що є найефективнішим, і орієнтуються в розподілених середовищах, щоб викрасти дані, зламати системи та заволодіти обліковими записами», — сказав Ісбіцкі. «Якщо у зловмисників є засоби для розгортання шкідливого коду або програм-вимагачів, вони ними скористаються».

Необхідні загальні техніки

Дійсно, Ньюмен визнав, що існує така велика різноманітність з точки зору того, що таке атака на ланцюг поставок, що організаціям важко зрозуміти, якою може бути поверхня атаки та як захиститися від атак.

Наприклад, на найвищому рівні традиційною вразливістю бібліотеки OpenSSL є вразливість ланцюга поставок. Супроводжувач OSS, який став скомпрометованим або став шахраєм з політичних причин, є вразливим місцем ланцюжка поставок. А злом сховища пакетів OSS або злам системи побудови організації є атаками на ланцюг поставок.

«Нам потрібно застосувати загальні методи захисту та пом’якшення кожного типу атак у ланцюжку постачання», — сказав Ньюман. «Всі вони потребують виправлення, але починаючи з того місця, де атаки можна подолати, можна досягти успіху».

Запропонувавши Newman, у проактивному впровадженні жорсткої політики та найкращих практик для забезпечення своєї безпеки організації можуть звернути увагу на контрольний список стандартів у рамках Supply Chain Levels for Software Artifacts Framework (SLSA). Організації також повинні запроваджувати сувору політику безпеки протягом життєвого циклу розробки програмного забезпечення своїх розробників.

Заохочення досліджень безпеки ланцюга постачання програмного забезпечення

І все ж, підкреслив Ньюмен, є багато приводів для оптимізму; галузь прогресує.

«Дослідники довго думали про вирішення питання безпеки ланцюжка поставок програмного забезпечення», — сказав Ньюман. Це сягає 1980-х років.

Наприклад, він вказав на такі нові технології спільноти, як The Update Framework (TUF) або in-toto framework.

Акцент промисловості на специфікаціях програмного забезпечення (SBOM) також є позитивним знаком, сказав він, але потрібно зробити більше, щоб зробити їх ефективними та корисними. Наприклад, SBOM потрібно створювати під час створення, а не після, оскільки «дані такого типу будуть надзвичайно цінними для запобігання поширенню та впливу атак».

Крім того, зазначив він, Chainguard створив і зараз підтримує один набір даних про зловмисні компрометації ланцюга постачання програмного забезпечення. Ця спроба виявила дев’ять основних категорій атак і сотні чи тисячі відомих компрометацій.

Зрештою, як дослідники, так і організації «шукають шляхи вирішення цих проблем раз і назавжди, — сказав Ньюмен, — замість використання звичайних підходів пластиру, які ми бачимо сьогодні в безпеці».

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment