Think tank EÚ pre kybernetickú bezpečnosť skúma 24 nedávnych útokov na dodávateľský reťazec a varuje, že obrana proti nim nie je dostatočne dobrá.
Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) analyzovala 24 nedávnych útokov na softvérový dodávateľský reťazec a dospela k záveru, že silná bezpečnostná ochrana už nestačí.
Nedávne útoky na dodávateľský reťazec v jej analýze zahŕňajú útoky prostredníctvom softvéru SolarWinds Orion, Mimecast poskytovateľa CDN, vývojársky nástroj Codecov, a spoločnosť Kaseya na správu podnikových IT.
ENISA sa zameriava na útoky na dodávateľský reťazec Advanced Persistent Threat (APT) a poznamenáva, že zatiaľ čo kód, exploity a malware sa nepovažovali za „pokročilé“, plánovanie, príprava a realizácia boli zložité úlohy. Poznamenáva, že 11 útokov na dodávateľský reťazec vykonali známe skupiny APT.
ZDNET odporúča
Najlepšie certifikáty kybernetickej bezpečnosti
Tieto certifikácie vám môžu pomôcť vstúpiť do odvetvia s vysokým dopytom po kvalifikovaných zamestnancoch.
Čítajte teraz„Tieto rozdiely sú nevyhnutné na pochopenie toho, že organizácia môže byť zraniteľná voči útoku dodávateľského reťazca, aj keď jej vlastná obrana je celkom dobrá. a preto sa útočníci snažia preskúmať nové potenciálne diaľnice, aby ich infiltrovali tak, že sa presunú k svojim dodávateľom a urobia si z nich cieľ,“ ENISA poznamenáva v správe.
POZRITE SI: Politika zabezpečenia siete (TechRepublic Premium)
Agentúra očakáva, že útoky na dodávateľský reťazec sa ešte zhoršia: „To je dôvod, prečo nové ochranné opatrenia na prevenciu a reagovať na potenciálne útoky dodávateľského reťazca v budúcnosti a zároveň je potrebné urýchlene zaviesť zmiernenie ich dopadu,“ povedalo.
Analýza agentúry ENISA zistila, že útočníci sa zamerali na kód dodávateľa v približne 66 % nahlásených incidentov. Rovnaký podiel predajcov nevedel o útoku pred jeho zverejnením.
„To ukazuje, že organizácie by mali zamerať svoje úsilie na overenie kódu a softvéru tretích strán pred použitím aby zabezpečili, že sa s nimi nebude manipulovať alebo sa s nimi nemanipuluje,“ uviedla ENISA, hoci sa to povie ľahšie hotový.
Ako Linux Foundation zvýraznené v dôsledku zverejnenia SolarWinds, dokonca ani kontrola zdrojového kódu – pre open source aj neauditovaný proprietárny softvér – by tomuto útoku pravdepodobne nezabránila.
ENISA vyzýva na koordinované opatrenia na úrovni EÚ a načrtla deväť odporúčaní, ktoré by zákazníci a predajcovia mali prijať.
Odporúčania pre zákazníkov zahŕňajú:
- identifikácia a dokumentácia dodávateľov a poskytovateľov služieb;
- definovanie rizikových kritérií pre rôzne typy dodávateľov a služieb, ako sú závislosti dodávateľov a zákazníkov, kritické softvérové závislosti, jednotlivé body zlyhania;
- monitorovanie rizík a hrozieb dodávateľského reťazca;
- riadenie dodávateľov počas celého životného cyklu produktu alebo služby vrátane postupov na zaobchádzanie s produktmi alebo komponentmi po dobe životnosti;
- klasifikácia aktív a informácií zdieľaných s dodávateľmi alebo prístupných pre dodávateľov a definovanie príslušných postupov pre prístup a zaobchádzanie s nimi.
ENISA odporúča dodávateľov:
- zabezpečiť, aby infraštruktúra používaná na navrhovanie, vývoj, výrobu a poskytovanie produktov, komponentov a služieb dodržiavala postupy kybernetickej bezpečnosti;
- implementovať proces vývoja produktu, údržby a podpory, ktorý je v súlade so všeobecne akceptovanými procesmi vývoja produktu;
- monitorovať bezpečnostné slabiny nahlásené internými a externými zdrojmi vrátane komponentov tretích strán;
- udržiavať inventár aktív, ktorý obsahuje informácie týkajúce sa opravy.
Útok SolarWinds napríklad otriasol Microsoftom, ktorého prezident Brad Smith povedal, že ide o „najväčší a najsofistikovanejší útok, aký kedy svet videl“ a Pravdepodobne bolo potrebných 1 000 inžinierov, aby vytiahli. Údajní ruskí spravodajskí hackeri kompromitovali systém tvorby softvéru SolarWinds, aby Orion zasadil a backdoor, ktorý bol distribuovaný ako softvér niekoľkým americkým firmám v oblasti kybernetickej bezpečnosti a viacerým federálnym agentúr.
POZRITE SI: Kríza pracovných miest v oblasti kybernetickej bezpečnosti sa zhoršuje a spoločnosti robia pri prijímaní zamestnancov základné chyby
Ministerstvo spravodlivosti USA (DoJ) minulý týždeň odhalilo, že e-mailové systémy Microsoft Office 365 v 27 okresoch boli ohrozené najmenej na šesť mesiacov od mája 2020.
Nárast štátom podporovaných útokov na dodávateľský reťazec a kriminálnych útokov ransomvéru, ktoré kombinujú ponuku reťazové útoky, ako napríklad incident Kaseya, posunuli ťažisko diskusií medzi USA a Rusko.
americký prezident Joe Biden minulý týždeň povedal veľký kybernetický útok by bol pravdepodobnou príčinou vstupu USA do „skutočnej streleckej vojny“ s inou superveľmocou.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej