Protejarea impotriva atacurilor din lantul de aprovizionare – Partea 3: Cum este compromis software-ul

Stii tot software-ul pe care il foloseste compania ta? Lantul de aprovizionare cu software poate fi complex si opac. Este alcatuit din software pe care intreprinderile il utilizeaza pentru a derula operatiuni, cum ar fi managementul relatiei cu clientii (CRM), planificarea resurselor intreprinderii (ERP) si managementul proiectelor. De asemenea, include componente, biblioteci si cadre terte pe care inginerii de software le utilizeaza pentru a construi aplicatii si produse. Tot acest software poate fi dificil de urmarit si poate fi vulnerabil la atac daca nu este cunoscut si / sau nu este gestionat corect.

In Suplimentul pentru Regulamentul de Achizitie Federala al Departamentului Apararii al SUA, un risc al lantului de aprovizionare este definit ca „riscul ca un adversar sa saboteze, sa introduca cu rea intentie o functie nedorita sau sa subverseze in alt mod proiectarea, integritatea, productia, productia, distributia, instalarea, operarea , sau intretinerea unui sistem acoperit astfel incat sa supravegheze, sa respinga, sa perturbe sau sa degradeze in alt mod functia, utilizarea sau functionarea unui astfel de sistem. ”

Daca va bazati pe o retea de furnizori de software, este important sa intelegeti si sa va atenuati riscul. Aceasta parte 3 a seriei noastre de bloguri in cinci parti intitulata „Protejarea impotriva atacurilor din lantul de aprovizionare” ilustreaza modul in care sunt executate atacurile din lantul de aprovizionare cu software si ofera cele mai bune practici pentru imbunatatirea calitatii software-ului care sta la baza aplicatiilor si afacerii dvs.

Exemple de atacuri de lant de aprovizionare cu software la nivel global

Incepand din 2012, industria a inceput sa vada o crestere semnificativa a numarului de atacuri vizand lanturile de aprovizionare cu software in fiecare an. Ca si alte incidente de hacking, un atac de lant de aprovizionare cu software bine executat se poate raspandi rapid. Urmatoarele exemple au armat actualizarile automate de software pentru a infecta computerele din companiile mari si mici din tarile din intreaga lume si pentru a evidentia modul in care acestea au evoluat in timp.

• Programul malware Flame din 2012a fost un atac al statului national care a pacalit un numar mic de masini din Orientul Mijlociu sa creada ca o actualizare semnata a venit din mecanismul de actualizare Windows de incredere al Microsoft, cand de fapt nu a venit. Flame avea 20 de module care puteau indeplini o varietate de functii. Ar putea porni microfonul intern si camera web a computerului pentru a inregistra conversatii sau pentru a face capturi de ecran de mesagerie instantanee si e-mail. Poate servi si ca baliza Bluetooth si poate atinge alte dispozitive din zona pentru a fura informatii. Crezut ca provine dintr-un stat national, Flame a starnit ani de copiat. In timp ce Flame era o „emulare” a lantului de aprovizionare (se pretindea doar ca este de incredere), tactica a fost studiata si adoptata atat de statele nationale, cat si de infractori si a inclus atacuri de actualizare notate precum Petya / NotPetya (2017), un alt atac al statului national, care a lovit intreprinderile din peste 20 de tari. Acesta a inclus capacitatea de auto-propagare (cum ar fi viermii) prin construirea unei liste de adrese IP pentru a raspandi in retele locale (LANS) si IP-uri la distanta.
• CCleaner a afectat 2,3 milioane de computere in 2018, unele pentru mai mult de o luna. Actorii statului national au inlocuit versiunile software originale cu malware care au fost utilizate pentru a modifica fisierul de instalare CCleaner utilizat de clientii din intreaga lume. Accesul a fost obtinut prin intermediul retelei Piriform, o companie care a fost achizitionata de Avast inainte de lansarea atacului asupra utilizatorilor CCleaner. Dupa cum spune Avast intr-un blog pe aceasta tema, „Atacatorii vor incerca intotdeauna sa gaseasca cea mai slaba legatura si daca un produs este descarcat de milioane de utilizatori, acesta este o tinta atractiva pentru ei. Companiile trebuie sa isi sporeasca atentia si investitiile pentru a mentine siguranta lantului de aprovizionare. ”
• In mai 2017, Operatiunea WilySupply a compromis actualizatorul de software al editorului de text pentru a instala un backdoor pe organizatiile tinta din sectoarele financiar si IT. Microsoft Defender Advanced Threat Protection (ATP) a descoperit atacul devreme si Microsoft a lucrat cu furnizorul pentru a contine atacul si a atenua riscul.

Implantarea de programe malware

Exista trei moduri principale prin care actorii rauvoitori infecteaza lantul de aprovizionare cu software:

• Compromiteti servere de actualizare software accesibile internetului . Cybercrooks-urile intra in serverele pe care companiile le folosesc pentru a distribui actualizarile de software. Odata ce au acces, inlocuiesc fisierele legitime cu malware. Daca o aplicatie se actualizeaza automat, numarul de infectii poate prolifera rapid.
• Obtineti acces la infrastructura software . Hackerii folosesc tehnici de inginerie sociala pentru a se infiltra in infrastructura de dezvoltare. Dupa ce i-au pacalit pe utilizatori sa partajeze acreditarile de conectare, atacatorii se deplaseaza lateral in cadrul companiei pana cand vor putea viza mediul de constructie si serverele. Acest lucru le ofera accesul necesar pentru a injecta codul rau intentionat in software inainte ca acesta sa fie respectat si livrat clientilor. Odata ce software-ul este semnat cu semnatura digitala, este extrem de dificil sa detectam ca ceva nu este in regula.
• Ataca bibliotecile de cod terte . Programele malware sunt, de asemenea, livrate prin intermediul unor coduri terta parte, cum ar fi biblioteci, kituri de dezvoltare software si cadre pe care dezvoltatorii le folosesc in aplicatiile lor.

Protejarea lantului de aprovizionare cu software

Exista mai multi pasi pe care ii puteti face pentru a reduce vulnerabilitatile software-ului dvs. (Vom aborda vulnerabilitatile si strategiile de atenuare legate de oameni si procese in urmatoarea noastra postare.):

• La fel ca lantul de aprovizionare hardware, este important sa va inventariati furnizorii de software. Faceti diligenta necesara pentru a confirma ca nu exista steaguri rosii. Cele mai bune practici ale lantului de aprovizionare cibernetica NIST ofera exemple de intrebari pe care le puteti utiliza pentru a examina furnizorii dvs. de software, cum ar fi protectia si detectarea malware-ului si ce controale de acces – atat cibernetice, cat si fizice – sunt in vigoare.
• Stabiliti un standard ridicat de asigurare a software-ului cu parteneri si furnizori. Organizatiile guvernamentale precum Departamentul pentru Securitate Interna, SafeCODE, OWASP SAMM si Asigurarea produselor comerciale (CPA) ale Centrului National de Securitate Cibernetica din Marea Britanie ofera un model. De asemenea, puteti consulta ciclul de viata securizat al dezvoltarii (SDL) Microsoft. SDL defineste 12 cele mai bune practici pe care dezvoltatorii si partenerii Microsoft le utilizeaza pentru a reduce vulnerabilitatile. Utilizati SDL pentru a ghida un program de asigurare a software-ului pentru inginerii, partenerii si furnizorii dvs.
• Gestionati riscurile de securitate ale componentelor tertilor. Bibliotecile si cadrele comerciale si open-source sunt nepretuite pentru imbunatatirea eficientei. Inginerii nu ar trebui sa creeze o componenta de la zero, daca exista deja una buna; cu toate acestea, bibliotecile terte sunt adesea vizate de actori rai. Cele mai bune practici Microsoft open source va pot ajuta sa gestionati acest risc in patru pasi:
  1. Intelegeti ce componente sunt utilizate si unde.
  2. Efectuati analize de securitate pentru a confirma ca niciuna dintre componentele dvs. nu contine vulnerabilitati
  3. Pastrati componentele la zi. Remediile de securitate sunt adesea remediate fara o notificare explicita.
  4. Stabiliti un plan de raspuns la incidente, astfel incat sa aveti o strategie atunci cand este raportata o vulnerabilitate.

Afla mai multe

„Prevenirea impotriva atacurilor din lantul de aprovizionare” este o serie de bloguri din cinci parti care decodifica amenintarile din lantul de aprovizionare si ofera actiuni concrete pe care le puteti intreprinde pentru a va proteja mai bine organizatia. Postarile anterioare includ o prezentare generala a riscurilor lantului de aprovizionare si o examinare a vulnerabilitatilor din lantul de aprovizionare hardware.

De asemenea, va recomandam sa explorati managementul riscului lantului de aprovizionare in domeniul securitatii cibernetice NIST.

Ramaneti la curent cu aceste postari viitoare in timp ce incheiem seria noastra din cinci parti:

• Partea 4 – Analizeaza modul in care oamenii si procesele pot expune companiile la risc.
• Partea 5 – Rezuma sfaturile noastre cu o privire spre viitor.

Intre timp, marcati blogul Security pentru a tine pasul cu acoperirea noastra de catre experti in probleme de securitate. Pentru mai multe informatii despre solutiile de securitate Microsoft, vizitati site-ul nostru web: https://www.microsoft.com/en-us/security/business. De asemenea, urmati-ne la @MSFTSecurity pentru cele mai recente stiri si actualizari privind securitatea cibernetica.