Obok ransomware jest to chyba główne zagrożenie przed którym stoją dziś szefowie działów IT.
Supply chain attack
Truizmy dotyczące cyberbezpieczeństwa znamy na pamięć: uważaj na załączniki do wiadomości e-mail i nie przekazuj danych uwierzytelniających do fałszywej witryny internetowej. Jednak coraz częściej cyberprzestępcy podważają to podstawowe poczucie zaufania i podnoszą wywołujące paranoję pytanie: co, jeśli legalny sprzęt i oprogramowanie, na których polegasz, zostały naruszone u źródła (dostawcy, producenta)?
Ta podstępna i coraz bardziej powszechna praktyka jest znana jako „atak łańcucha dostaw” czy „atak na łańcuch dostaw”. Atakujący umieszcza złośliwy kod lub nawet cały złośliwy komponent (np. plugin) w zaufanym oprogramowaniu lub sprzęcie. Naruszając skutecznie zabezpieczenia tylko jednego dostawcy sabotażyści mogą przejąć kontrolę nad jego systemami dystrybucji. To pozwoli już na zmianę każdej sprzedanej aplikacji, każdej aktualizacji oprogramowania a nawet na wyposażenie sprzętu fizycznego, który zostanie wysłany do klientów, w konie trojańskie czy inny malware. Za pomocą jednego dobrze wymierzonego włamania mogą stworzyć sobie trampolinę do sieci klientów dostawcy — czasami liczących setki, a nawet tysiące ofiar.
Oparcie na zaufaniu
Nick Weaver, badacz bezpieczeństwa w Międzynarodowym Instytucie Informatyki Uniwersytetu Kalifornijskiego w Berkeley ujmuje to tak:
Ataki łańcucha dostaw są groźne, ponieważ naprawdę trudno się z nimi uporać i powodują naruszenie zaufania do całego ekosystemu danego oprogramowania. W końcu zazwyczaj ufasz każdemu dostawcy, którego kod znajduje się na Twoim komputerze i ufasz dostawcy tego dostawcy.
To do czego może doprowadzić taki atak na masową skalę widzieliśmy w grudniu zeszłego roku, kiedy to ujawniono, że rosyjscy hakerzy – później zidentyfikowani jako osoby pracujące dla zagranicznej służby wywiadowczej tego kraju, znanej jako SVR – zhakowali firmę produkującą oprogramowanie SolarWinds i umieścili złośliwy kod w jej narzędziu do zarządzania IT Orion. To umożliwiło dostęp do aż 18 000 sieci korzystających z tej aplikacji na całym świecie. SVR wykorzystał ten przyczółek, aby zagłębić się w sieci co najmniej dziewięciu amerykańskich agencji federalnych, w tym NASA, Departamentu Stanu, Departamentu Obrony i Departamentu Sprawiedliwości.
Nie tylko SolarWinds
Poważne ataki na łańcuch dostaw już od lat uderzają w firmy na całym świecie. Zaledwie w zeszłym miesiącu opinia publiczna dowiedziała się, że atakujący zhakowali narzędzie do tworzenia oprogramowania sprzedawane przez firmę CodeCov, które zapewniło im dostęp do setek sieci ofiar. Chińska grupa hakerska znana jako Barium przeprowadziła co najmniej sześć ataków na łańcuch dostaw w ciągu ostatnich pięciu lat, ukrywając złośliwy kod w oprogramowaniu producenta komputerów Asus oraz w aplikacji do czyszczenia dysku twardego CCleaner.
Wcześniej, bo w roku 2017, rosyjscy hakerzy znani jako Sandworm, będący częścią krajowego wywiadu wojskowego GRU, przejęli aktualizacje oprogramowania ukraińskiego oprogramowania księgowego MEdoc i wykorzystali je do zainstalowania na komputerach ofiar samorozprzestrzeniającego się, destrukcyjnego kodu znanego jako NotPetya. Atak ostatecznie wyrządził na całym świecie szkody na ok. 10 miliardów dolarów - co czyni go najbardziej kosztownym do tej pory cyberatakiem w historii.
Obrona na szczeblu organizacyjnym a nie programowym?
Zapobieganie przyszłym atakom na łańcuch dostaw nie będzie łatwe bo firmy nie mają prostego sposobu na upewnienie się, że kupowane oprogramowanie czy sprzęt nie są naruszone. Szczególnie trudny do wykrycia może być supply chain attack na sprzęt – wówczas przeciwnik fizycznie umieszcza złośliwy kod lub komponenty wewnątrz urządzenia.
Okazuje się, że tutaj gros pracy do wykonania niekoniecznie będą mieli akurat administratorzy czy programiści.
Rozwiązanie ataków na łańcuch dostaw – zarówno na oprogramowanie, jak i sprzęt – jest być może nie tyle technologiczne, co organizacyjne - argumentuje Beau Woods, starszy doradca Agencji ds. Cyberbezpieczeństwa i Infrastruktury. Firmy i agencje rządowe muszą wiedzieć, kim są ich dostawcy oprogramowania i sprzętu, sprawdzać ich i przestrzegać określonych standardów. Porównuje tę zmianę do tego, jak firmy takie jak Toyota starają się kontrolować i ograniczać swoje łańcuchy dostaw, aby zapewnić niezawodność. To samo należy teraz zrobić dla cyberbezpieczeństwa. Staraj się usprawnić łańcuch dostaw: mniej dostawców i części o wyższej jakości od tych dostawców, mówi Woods.Może gdy świat i tak przebudowuje swoje łańcuchy dostaw po perypetiach pandemicznych, warto uwzględnić w tym także kwestie bezpieczeństwa?