Na czym polega na łańcuch dostaw?

Atak na łańcuch dostaw, zwany również atakiem na łańcuch wartości lub atakiem strony trzeciej, ma miejsce wtedy, gdy ktoś infiltruje naszj system poprzez zewnętrznego partnera lub dostawcę z dostępem do naszych systemów i danych. W ciągu ostatnich kilku lat dramatycznie zmieniła się powierzchnia ataku typowego przedsiębiorstwa, ponieważ więcej niż kiedykolwiek wcześniej dostawców i usługodawców ma kontakt z wrażliwymi danymi.

Ryzyko związane z atakiem na łańcuch dostaw nigdy nie było wyższe ze względu na nowe rodzaje ataków, rosnącą świadomość społeczną zagrożeń oraz zwiększony nadzór ze strony organów regulacyjnych. Tymczasem, atakujący mają do dyspozycji więcej zasobów i narzędzi niż kiedykolwiek wcześniej, co tworzy idealną burzę. Niedawny atak na SolarWinds jest tego najlepszym przykładem.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Atak na SolarWinds uwypuklił ryzyko związane z łańcuchem dostaw

Wiadomości o zeszłorocznym ataku państw narodowych na 18 000 klientów dostawcy narzędzi sieciowych SolarWinds stają się coraz gorsze. Według ostatniego raportu New York Times, ataki na SolarWinds, przypisywane Rosji, spenetrowały ponad o ponad „kilkadziesiąt” więcej sieci rządowych i korporacyjnych, jak początkowo sądzono. Dotkniętych zostało aż 250 organizacji, a atakujący wykorzystali wiele warstw łańcucha dostaw.

Jest to naruszenie łańcucha zaufania, mówi Steve Zalewski, zastępca CISO w Levi Strauss. „To jest właśnie duży problem z tymi wszystkimi materiałami pochodzącymi od stron trzecich. Nie trzymamy ich już w domu. Musimy polegać na sposobach stron trzecich, aby ustanowić to zaufanie, a nie ma krajowego lub międzynarodowego sposobu, aby to zrobić”.

Problem ten stale się pogłębia, a przedsiębiorstwa coraz bardziej polegają na zewnętrznych dostawcach, mówi Zalewski, dodając, że nadszedł czas, aby przyjrzeć się całemu ekosystemowi branży oprogramowania, aby rozwiązać ten problem. „Aby rozwiązać go całkowicie, potrzebujemy międzynarodowego łańcucha zaufania, jak globalny system PKI”, mówi, „gdzie wszyscy możemy zgodzić się na globalny zestaw narzędzi i praktyk”.

Niestety, nie ma praktycznego sposobu, aby to zrobić. „Potrzebujemy prawnej, regulacyjnej, zbiorowej obrony” - mówi Zalewski. „Ale stworzenie jej zajmie długie lata”.

Firma Bitsight zajmująca się oceną bezpieczeństwa szacuje, że atak SolarWinds może kosztować firmy zajmujące się ubezpieczeniami cybernetycznymi nawet 90 milionów dolarów. To tylko dlatego, że agencje rządowe nie kupują ubezpieczeń cybernetycznych. Plus, atakujący starali się zachować jak najmniejszy profil, aby wykraść informacje, więc nie wyrządzili dużych szkód w systemach.

Inny atak na łańcuch dostaw w 2017 r., również przypisywany Rosji, skompromitował ukraińskie oprogramowanie księgowe w ramach ataku mającego na celu atak na infrastrukturę tego kraju, ale złośliwe oprogramowanie szybko rozprzestrzeniło się na inne kraje. NotPetya wyrządziła szkody na ponad 10 miliardów dolarów i zakłóciła działalność międzynarodowych korporacji, takich jak Maersk, FedEx i Merck.

Ataki na łańcuch dostaw są atrakcyjne dla hakerów, ponieważ gdy powszechnie używane oprogramowanie jest zagrożone, atakujący mogą potencjalnie uzyskać dostęp do wszystkich przedsiębiorstw, które używają tego oprogramowania.

Wszyscy dostawcy technologii narażeni na ataki w łańcuchu dostaw

Każda firma, która produkuje oprogramowanie lub sprzęt dla innych organizacji, jest potencjalnym celem ataku. Podmioty państwowe dysponują głębokimi zasobami i umiejętnościami pozwalającymi na penetrację nawet najbardziej świadomych kwestii bezpieczeństwa firm.

Nawet dostawcy zabezpieczeń mogą być celem ataków. W przypadku SolarWinds, na przykład, jedną z bardziej znanych firm, której dane zostały naruszone, była FireEye, dostawca cyberbezpieczeństwa. FireEye twierdzi, że napastnicy nie dostali się do systemów skierowanych do klientów, tylko do narzędzi penetracyjnych używanych do testowania bezpieczeństwa. Fakt, że w ogóle został on zaatakowany jest niepokojący.

Inni dostawcy zaatakowani przez Solar Winds to Microsoft i Malwarebytes, inny dostawca zabezpieczeń. „Biorąc pod uwagę charakter łańcucha dostaw ataku SolarWinds, a także nadmiar ostrożności, natychmiast przeprowadziliśmy dokładne dochodzenie w sprawie całego kodu źródłowego Malwarebytes, procesów budowania i dostarczania, w tym inżynierii wstecznej naszego własnego oprogramowania”, napisał dyrektor generalny firmy Marcin Kleczyński w poście z 19 stycznia.

Dostawca zabezpieczeń poczty elektronicznej Mimecast ogłosił w styczniu, że również został zaatakowany przez wyrafinowanego aktora, a pojawiły się doniesienia, że jest to ta sama grupa, która stoi za włamaniem do SolarWinds.

Ataki te pokazują, że każdy sprzedawca jest podatny na ataki i może zostać skompromitowany. W rzeczywistości, tej jesieni, dostawca zabezpieczeń Immuniweb poinformował, że 97% z 400 największych na świecie firm zajmujących się bezpieczeństwem cybernetycznym miało wycieki danych lub inne incydenty bezpieczeństwa ujawnione w ciemnej sieci - a 91 firm miało luki w zabezpieczeniach strony internetowej.

Tego typu ataki nie są zjawiskiem nowym. W 2011 roku firma RSA Security przyznała, że jej tokeny SecurID zostały zhakowane. Jeden z jej klientów, Lockheed Martin, został w wyniku tego zaatakowany.

Oprócz ataków takich jak SolarWinds, które dotyczą kompromitacji komercyjnych dostawców oprogramowania, istnieją dwa inne rodzaje ataków na łańcuch dostaw - ataki na projekty oprogramowania open-source oraz przypadki, w których rządy bezpośrednio ingerują w produkty dostawców, które pochodzą z ich jurysdykcji.

Zagrożenie dla łańcucha dostaw oprogramowania open source

Oprogramowanie komercyjne nie jest jedynym celem ataków w łańcuchu dostaw. Według raportu Sonatype’s 2020 State of the Software Supply Chain Report, ataki w łańcuchu dostaw wymierzone w projekty oprogramowania open-source stanowią poważny problem dla przedsiębiorstw, ponieważ 90% wszystkich aplikacji zawiera kod open-source, a 11% z nich ma znane podatności.

Na przykład, w 2017 roku, w przypadku naruszenia bezpieczeństwa Equifax, które według firmy kosztowało ją prawie 2 miliardy dolarów, napastnicy wykorzystali niezałataną lukę w Apache Struts. Dwadzieścia jeden procent firm twierdzi, że doświadczyło naruszenia związanego z open source w ciągu ostatnich 12 miesięcy.

Ostatnio, napastnicy wykorzystali luki w bibliotece logowania Apache Log4, używanej w milionach aplikacji opartych na Javie. Luki te są trudne do wykrycia i zniwelowania. Jeden z exploitów Log4j pozwala na zdalne wykonanie kodu na serwerach, na których działają podatne aplikacje, bez konieczności uwierzytelniania. Dzięki temu luka ta uzyskała ocenę 10 w skali CVSS. Inna luka może prowadzić do stanu denial-of-service.

Ponieważ Log4j jest wykorzystywany w wielu komercyjnych aplikacjach, organizacje mogą być podatne na atak nie wiedząc, że faktycznie korzystają z biblioteki logowania. Doprowadziło to do tego, że firmy starają się określić poziom ryzyka związanego z zagrożeniem i mają nadzieję, że dostawcy w odpowiednim czasie dostarczą skuteczne poprawki.

Atakujący nie muszą czekać, aż luka w oprogramowaniu open-source pojawi się w magiczny sposób. W ciągu ostatnich kilku lat, zaczęli oni celowo kompromitować proces rozwoju i dystrybucji oprogramowania open-source i to przynosi efekty. Według badania przeprowadzonego przez Sonatype, tego typu ataki nowej generacji wzrosły o 430% w stosunku do poprzedniego roku.

Zagrożenie związane z zagranicznymi źródłami zaopatrzenia

Po co włamywać się do firm produkujących oprogramowanie, skoro można po prostu wkroczyć do akcji i nakazać im zainstalowanie złośliwego oprogramowania w ich produktach? W przypadku Rosji nie ma takiej możliwości, ponieważ nie jest ona znana jako eksporter technologii. Ale Chiny już tak. „Skompromitowana elektronika w amerykańskich platformach wojskowych, rządowych i krytycznych cywilnych daje Chinom potencjalne backdoory do kompromitacji tych systemów - napisali amerykańscy senatorowie Mike Crapo (R-Idaho) i Mark Warner (D-Virginia) w oświadczeniu ogłaszającym dwupartyjną ustawę 2019 MICROCHIPS Act.

Prawie każda organizacja rządowa i firma prywatna jest narażona, w pewnym stopniu, na technologię, która pochodzi z Chin lub innych krajów o niskich kosztach, mówi Steve Wilson, wiceprezes i główny analityk Constellation Research.

Jak chronić się przed atakami na łańcuch dostaw

Co zatem mogą zrobić przedsiębiorstwa? Niektóre ramy prawne, takie jak te w sektorze finansowym lub opieki zdrowotnej, już przewidują testowanie ryzyka przez stronę trzecią lub posiadają pewne standardy, do których sprzedawcy muszą się dostosować. "W ramach PCI istnieje komponent jakości oprogramowania do testowania jakości komponentów płatności mobilnych" - mówi Wilson, odnosząc się do Payment Card Industry Data Security Standard (PCI-DSS).

Istnieją również bardziej ogólne ramy, takie jak Capability Maturity Model (CMM), ISO 9001, Common Criteria, SOC 2. "Jestem wielkim fanem audytów CMM" - mówi Wilson. "Z drugiej strony, zdaję sobie sprawę z kosztów. Jedynymi ludźmi, którzy nalegają na Common Criteria, do niedawna, są szpiedzy."

Istnieje również akredytacja FiPS-140 dla modułów kryptograficznych. "To jest naprawdę drogie", mówi Wilson. "Uzyskanie certyfikatu FIPS-140 dla aplikacji kosztuje milion dolarów i jeśli nie sprzedajesz Blackberry rządowi federalnemu, nie robisz tego".

Przedsiębiorstwa za bardzo rozgościły się w oprogramowaniu, które jest tanie i szybkie. "Musimy zaakceptować fakt, że przez dziesięciolecia pisaliśmy tanie oprogramowanie i kurczaki wracają do domu" - mówi Wilson.

Jeśli jednak przedsiębiorstwa zaczną wymagać większej ilości testów lub jeśli organy regulacyjne wkroczą i nakażą lepsze kontrole, wtedy koszty audytów prawdopodobnie spadną. "Jeżeli ludzie zaczną więcej inwestować w testowanie, biznes testowy odnotuje większe przychody i większą konkurencję," mówi Wilson. Pojawi się również więcej innowacji, na przykład w testach automatycznych.

W Levi Strauss firma sprawdza swoich dostawców oprogramowania, mówi Zalewski. "Wymagamy, aby posiadali możliwy do udowodnienia i skontrolowania dowód na to, że wdrożyli system bezpieczeństwa i są w stanie wykazać zgodność z tym systemem" - mówi. Levi Strauss nie dyktuje, jakich konkretnie zasad muszą przestrzegać dostawcy, dodaje. "Chcemy jednak uzyskać zobowiązanie, że jesteście gotowi spisać, jakie są wasze mechanizmy i praktyki bezpieczeństwa, abyśmy mogli się upewnić, że są one zgodne z naszymi. W ten sposób zarządzamy ryzykiem i jest to najlepsze, co możecie zrobić".

Jedną rzeczą, której centra danych nie powinny robić, jest zaprzestanie wdrażania poprawek. W rzeczywistości, proces zarządzania poprawkami w Levi Strauss oznaczał, że poprawki do oprogramowania SolarWinds zostały zainstalowane przed pojawieniem się informacji, chroniąc firmę przed innymi napastnikami, którzy mogliby chcieć wskoczyć do pociągu SolarWinds.

Przyznał jednak, że systemy firmy nie były w stanie wychwycić złośliwego oprogramowania znajdującego się w aktualizacji SolarWinds. Oczywiście, nikt tego nie zrobił - FireEye i Microsoft również go nie zauważyły. Problem, jak mówi Zalewski, polega na tym, że trudno jest skanować aktualizacje pod kątem podejrzanych zachowań, ponieważ aktualizacja z definicji ma na celu zmianę sposobu działania oprogramowania. „To jest po prostu natura tego, jak działa oprogramowanie"”- mówi Zalewski. „Problem tkwi w ekosystemie i sposobie, w jaki jest on połączony. Osoby o złych zamiarach szukają luk i wykorzystują je”.

Ataki na łańcuch dostaw są nadal o wiele rzadsze niż ataki na znane luki w zabezpieczeniach, twierdzi Shimon Oren, wiceprezes ds. badań w firmie Deep Instinct zajmującej się bezpieczeństwem. „Ryzyko niezałatanej luki lub aktualizacji zabezpieczeń, która nie została wdrożona, znacznie, powiedziałbym, znacznie przewyższa ryzyko ataku na łańcuch dostaw”. Według raportu IBM „2020 Cost of a Data Breach”, luki w oprogramowaniu firm trzecich są główną przyczyną 16% wszystkich naruszeń.

Zamiast opóźniać poprawki, Oren sugeruje, aby przedsiębiorstwa pytały swoich dostawców, jakie mechanizmy mają wdrożone, aby chronić swoje oprogramowanie przed kompromitacją. „Jakiego rodzaju postawę bezpieczeństwa posiadają? Jakiego rodzaju mechanizmy weryfikacji kodu mają obecnie wdrożone?”.

Niestety, nie ma zestawu dostępnych standardów, które w sposób szczególny odnoszą się do bezpieczeństwa procesu tworzenia oprogramowania, mówi.

Jedną z organizacji pracujących nad rozwiązaniem tego problemu jest Consortium for Information and Software Quality, specjalna grupa interesu działająca w ramach organizacji Object Management Group, zajmującej się standardami technologicznymi. Jednym ze standardów, nad którym pracuje organizacja, jest na przykład programowy odpowiednik zestawienia materiałów. Dzięki niemu klienci korporacyjni będą wiedzieli, jakie komponenty wchodzą w skład używanego przez nich oprogramowania i czy któryś z tych komponentów ma znane problemy z bezpieczeństwem. „Jest to obecnie w trakcie procesu i przewidujemy, że zostanie on zakończony wiosną tego roku” - mówi dyrektor wykonawczy Bill Curtis. Jak mówi, Microsoft jest zaangażowany, podobnie jak Fundacja Linuksa i inni duzi gracze - w sumie około 30 firm.

Luki w ocenie ryzyka łańcucha dostaw

Przeprowadzenie właściwej analizy due diligence ma kluczowe znaczenie, mówi adwokat Ieuan Jolly, współprzewodniczący praktyki prywatności, bezpieczeństwa i innowacji danych w Loeb & Loeb, jest równie ważne, a nawet ważniejsze niż umowa, którą przedsiębiorstwo może wynegocjować ze swoim dostawcą. Jeśli sprzedawca zbankrutuje w wyniku naruszenia, które spowodował, jego klienci nie będą mogli odzyskać żadnych odszkodowań, a już koszty utraty reputacji są bezcenne.

Według ostatniego badania przeprowadzonego wśród specjalistów ds. zarządzania ryzykiem przez RiskRecon firmy Mastercard i Cyentia Institute, 79% organizacji posiada obecnie formalne programy zarządzania ryzykiem podmiotów zewnętrznych. Najpopularniejszymi metodami oceny ryzyka są kwestionariusze, stosowane przez 84% firm, oraz przeglądy dokumentacji, stosowane przez 69%. Połowa firm korzysta z ocen zdalnych, 42% z ocen bezpieczeństwa cybernetycznego, a 34% z ocen bezpieczeństwa przeprowadzanych na miejscu.

Pomimo popularności kwestionariuszy, tylko 34% specjalistów ds. ryzyka twierdzi, że wierzy odpowiedziom sprzedawców. Jednakże, gdy problem zostanie wykryty, 81% firm rzadko wymaga działań naprawczych, a tylko 14% jest wysoce przekonanych, że dostawcy spełniają ich wymagania w zakresie bezpieczeństwa.

W następstwie ataku SolarWinds, organizacje muszą przyjrzeć się swoim dostawcom oprogramowania, szczególnie tym, którzy posiadają oprogramowanie z uprzywilejowanym dostępem do zasobów firmy, mówi Kelly White, CEO i współzałożyciel RiskRecon. Obejmuje to rozszerzenie kryteriów oceny o integralność procesu tworzenia oprogramowania, „aby upewnić się, że kontrole są wystarczające, aby zapobiec wprowadzeniu złośliwego kodu”.

Jest to również czas, aby podwoić wysiłki w zakresie najmniejszych przywilejów, mówi White. "W czasie, gdy pełniłem funkcję CISO w dużej instytucji finansowej, każde oprogramowanie, które wymagało komunikacji z Internetem, miało ograniczone uprawnienia dostępu do sieci tylko do dostępu do wcześniej określonych stron aktualizacyjnych" - mówi. White był wcześniej CISO w Zions Bancorporation.

Taka polityka nie tylko zapobiega komunikowaniu się oprogramowania ze złośliwymi serwerami dowodzenia i kontroli, ale także ma tę zaletę, że w przypadku próby komunikacji podnosi alarm.

Źródło: CSO