Útoky na dodávateľský reťazec sa zhoršujú a vy na ne nie ste pripravení

Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) analyzovala 24 nedávnych útokov na softvérový dodávateľský reťazec a dospela k záveru, že silná bezpečnostná ochrana už nestačí.

Nedávne útoky na dodávateľský reťazec v jej analýze zahŕňajú útoky prostredníctvom softvéru SolarWinds Orion, Mimecast poskytovateľa CDN, vývojársky nástroj Codecov, a spoločnosť Kaseya na správu podnikových IT.

ENISA sa zameriava na útoky na dodávateľský reťazec Advanced Persistent Threat (APT) a poznamenáva, že zatiaľ čo kód, exploity a malware sa nepovažovali za „pokročilé“, plánovanie, príprava a realizácia boli zložité úlohy. Poznamenáva, že 11 útokov na dodávateľský reťazec vykonali známe skupiny APT.

„Tieto rozdiely sú nevyhnutné na pochopenie toho, že organizácia môže byť zraniteľná voči útoku dodávateľského reťazca, aj keď jej vlastná obrana je celkom dobrá. a preto sa útočníci snažia preskúmať nové potenciálne diaľnice, aby ich infiltrovali tak, že sa presunú k svojim dodávateľom a urobia si z nich cieľ,“ ENISA poznamenáva v správe.

POZRITE SI: Politika zabezpečenia siete (TechRepublic Premium)

Agentúra očakáva, že útoky na dodávateľský reťazec sa ešte zhoršia: „To je dôvod, prečo nové ochranné opatrenia na prevenciu a reagovať na potenciálne útoky dodávateľského reťazca v budúcnosti a zároveň je potrebné urýchlene zaviesť zmiernenie ich dopadu,“ povedalo.

Analýza agentúry ENISA zistila, že útočníci sa zamerali na kód dodávateľa v približne 66 % nahlásených incidentov. Rovnaký podiel predajcov nevedel o útoku pred jeho zverejnením.

„To ukazuje, že organizácie by mali zamerať svoje úsilie na overenie kódu a softvéru tretích strán pred použitím aby zabezpečili, že sa s nimi nebude manipulovať alebo sa s nimi nemanipuluje,“ uviedla ENISA, hoci sa to povie ľahšie hotový.

Ako Linux Foundation zvýraznené v dôsledku zverejnenia SolarWinds, dokonca ani kontrola zdrojového kódu – pre open source aj neauditovaný proprietárny softvér – by tomuto útoku pravdepodobne nezabránila.

ENISA vyzýva na koordinované opatrenia na úrovni EÚ a načrtla deväť odporúčaní, ktoré by zákazníci a predajcovia mali prijať.

Odporúčania pre zákazníkov zahŕňajú:

• identifikácia a dokumentácia dodávateľov a poskytovateľov služieb;
• definovanie rizikových kritérií pre rôzne typy dodávateľov a služieb, ako sú závislosti dodávateľov a zákazníkov, kritické softvérové ​​závislosti, jednotlivé body zlyhania;
• monitorovanie rizík a hrozieb dodávateľského reťazca;
• riadenie dodávateľov počas celého životného cyklu produktu alebo služby vrátane postupov na zaobchádzanie s produktmi alebo komponentmi po dobe životnosti;
• klasifikácia aktív a informácií zdieľaných s dodávateľmi alebo prístupných pre dodávateľov a definovanie príslušných postupov pre prístup a zaobchádzanie s nimi.

ENISA odporúča dodávateľov:

• zabezpečiť, aby infraštruktúra používaná na navrhovanie, vývoj, výrobu a poskytovanie produktov, komponentov a služieb dodržiavala postupy kybernetickej bezpečnosti;
• implementovať proces vývoja produktu, údržby a podpory, ktorý je v súlade so všeobecne akceptovanými procesmi vývoja produktu;
• monitorovať bezpečnostné slabiny nahlásené internými a externými zdrojmi vrátane komponentov tretích strán;
• udržiavať inventár aktív, ktorý obsahuje informácie týkajúce sa opravy.

Útok SolarWinds napríklad otriasol Microsoftom, ktorého prezident Brad Smith povedal, že ide o „najväčší a najsofistikovanejší útok, aký kedy svet videl“ a Pravdepodobne bolo potrebných 1 000 inžinierov, aby vytiahli. Údajní ruskí spravodajskí hackeri kompromitovali systém tvorby softvéru SolarWinds, aby Orion zasadil a backdoor, ktorý bol distribuovaný ako softvér niekoľkým americkým firmám v oblasti kybernetickej bezpečnosti a viacerým federálnym agentúr.

POZRITE SI: Kríza pracovných miest v oblasti kybernetickej bezpečnosti sa zhoršuje a spoločnosti robia pri prijímaní zamestnancov základné chyby

Ministerstvo spravodlivosti USA (DoJ) minulý týždeň odhalilo, že e-mailové systémy Microsoft Office 365 v 27 okresoch boli ohrozené najmenej na šesť mesiacov od mája 2020.

Nárast štátom podporovaných útokov na dodávateľský reťazec a kriminálnych útokov ransomvéru, ktoré kombinujú ponuku reťazové útoky, ako napríklad incident Kaseya, posunuli ťažisko diskusií medzi USA a Rusko.

americký prezident Joe Biden minulý týždeň povedal veľký kybernetický útok by bol pravdepodobnou príčinou vstupu USA do „skutočnej streleckej vojny“ s inou superveľmocou.