Атака №5: Supply Chain Attack
Когато доверието към партньори се превръща във входна точка
Обобщение – Supply Chain Attack
| Категория | Накратко |
|---|---|
| Какво представлява | Атаки, които компрометират доверени доставчици, софтуерни доставчици или партньори, за да получат косвен достъп до целеви организации. |
| Най-чести таргети | Предприятия с голяма екосистема от доставчици, managed service среди и софтуерни вериги на доставки. |
| На какво разчита | Доверени взаимоотношения, софтуерни зависимости, споделена инфраструктура и недостатъчна проверка на сигурността на доставчиците. |
| Как се хваща | Аномалии в обновленията, компрометирани партньорски акаунти, необичайно поведение на интеграции, сигнали от downstream системи. |
| Основен риск | Масово компрометиране, изтичане на данни, прекъсване на операции в множество организации. |
| Какво реално помага | Управление на риска от доставчици, видимост върху supply chain, строг контрол на достъпа и непрекъснат мониторинг на интеграции. |
Как работи атаката
Supply chain атаките рядко таргетират крайната жертва директно.
Вместо това атакуващите компрометират доверена трета страна. Софтуерен доставчик, managed service provider, IT партньор или инфраструктура за обновления. Чрез този доверен канал се въвежда зловреден код, достъп или команди в downstream среди.
Тъй като източникът изглежда легитимен, атаката заобикаля много традиционни предположения за сигурност.
Софтуерни обновления, интеграционни креденшъли или инструменти за отдалечено управление се превръщат в механизъм за доставка.
Доверието в supply chain се превръща в атакуващ вектор.
Кого таргетира най-често
Supply chain атаките търсят мащаб и обхват.
Роли
IT администратори, управляващи интеграции
DevOps и софтуерни екипи
доставчици на услуги и партньори
managed service providers (MSP)
Сектори
технологични компании и SaaS
производствени екосистеми
финансови услуги
здравеопазване
публична инфраструктура
Тип организации
предприятия с голяма мрежа от доставчици
cloud-базирани среди
организации, силно зависими от външни платформи
компании с автоматизирани интеграционни процеси
Колкото по-взаимосвързана е екосистемата, толкова по-голям е потенциалният обхват на атаката.
На какво разчита атаката
Компрометирането на supply chain успява, когато доверието се приема за даденост, вместо да бъде проверявано.
Човешки фактор
автоматично доверие към доставчици
ограничена осведоменост за рисковете на партньори
недостатъчен контрол върху трети страни
Технически пропуски
споделени креденшъли или токени
слаба API сигурност
непроверени софтуерни обновления
прекомерни права на интеграции
Процесни слабости
ограничени проверки на сигурността на доставчици
липса на проверка на софтуерната цялост
липса на мониторинг на външни интеграции
слабо управление на supply chain риска
Supply chain атаките експлоатират най-слабата връзка в доверената мрежа.
Как се хваща
Откриването е трудно, защото източникът често изглежда легитимен.
Какво може да забележи потребителят
необичайно поведение след софтуерно обновление
неочаквани промени в системи
спад в производителността
Какво вижда IT екипът
аномалии в процесите на обновление
подозрително поведение на интеграции
необичайна API активност
Какво вижда SOC
корелирани аномалии в множество среди
подозрителен трафик от партньорска инфраструктура
нетипични модели на разпространение на обновления
Supply chain инцидентите често започват като малки аномалии.
Как се ограничава въздействието
Когато има съмнение за supply chain компрометиране, реакцията трябва да е координирана.
Основните действия включват:
изолиране на засегнатите системи и интеграции
временно спиране на достъп на компрометирани доставчици
проверка на софтуерната цялост
ротация на интеграционни ключове и токени
комуникация с партньори и засегнати страни
Пренебрегването на ранните сигнали може да позволи компрометирането да се разпространи в множество организации.
Какво реално помага
Управлението на риска във supply chain изисква както технологични, така и управленски мерки.
Хора
осведоменост за риска от доставчици
сътрудничество по сигурността с партньори
ясни канали за ескалация
Процеси
формални проверки на сигурността на доставчици
рамки за управление на supply chain риска
политики за проверка на софтуер
координация при инциденти с партньори
Технологии
проверка на сигурността на софтуерни обновления
мониторинг на API и интеграции
управление на идентичности и достъп за партньори
SOC мониторинг на връзките с доставчици
Доверието трябва да бъде непрекъснато проверявано, а не автоматично приемано.
Чести митове
„Доверените доставчици не могат да бъдат източник на атаки“
„Широко използваният софтуер е сигурен“
„Периметърната защита ни защитава“
В реалността supply chain атаките заобикалят традиционните защити, защото действат чрез доверени взаимоотношения.
Атака №1: Фишинг и социално инженерство
Атака №2: Злоупотреба с акаунти и превземане на достъп
Атака №3: Компрометиране на бизнес имейли
Следва: Атака №6 – Insider Threat
Получавайте актуални новини и експертни анализи за киберсигурност
