Προστασία του οργανισμού σας από αυξανόμενες επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού

Οι επιτιθέμενοι δυσκολεύονται να αντισταθούν στο δέλεαρ των αλυσίδων εφοδιασμού λογισμικού: Μπορούν πολύ γρήγορα και εύκολα να έχουν πρόσβαση σε ένα ευρύ φάσμα ευαίσθητων πληροφοριών – και έτσι να κερδίσουν πιο ζουμερές πληρωμές.

Μόνο μέσα σε ένα χρόνο — μεταξύ 2020 και 2021 — οι επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού αυξήθηκαν κατά περισσότερο από 300%. Και, το 62% των οργανισμών ομολογώ ότι έχουν επηρεαστεί από τέτοιες επιθέσεις.

Οι ειδικοί προειδοποιούν ότι η επίθεση δεν πρόκειται να επιβραδυνθεί. Μάλιστα, σύμφωνα με δεδομένα από την Gartnerτο 45% των οργανισμών σε όλο τον κόσμο θα έχουν υποστεί επίθεση ransomware στις ψηφιακές αλυσίδες εφοδιασμού τους έως το 2025.

«Κανείς δεν είναι ασφαλής», είπε ο Zack Moore, διευθυντής προϊόντων ασφαλείας με InterVision. «Από τις μικρές επιχειρήσεις μέχρι τις εταιρείες του Fortune 100 έως τα υψηλότερα επίπεδα της κυβέρνησης των ΗΠΑ – όλοι έχουν επηρεαστεί από επιθέσεις στην αλυσίδα εφοδιασμού τα τελευταία δύο χρόνια».

Παραδείγματα άφθονα

Η επίθεση SolarWinds και η ευπάθεια Log4j είναι δύο από τα πιο διαβόητα παραδείγματα επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού στην πρόσφατη μνήμη. Και οι δύο αποκάλυψαν πόσο διάχυτες μπορεί να είναι οι επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού και και στις δύο περιπτώσεις, το πλήρες εύρος των επιπτώσεων δεν έχει ακόμη φανεί.

«Η SolarWinds έγινε το παιδί αφίσας για τον κίνδυνο της ψηφιακής αλυσίδας εφοδιασμού», δήλωσε ο Michael Isbitski, διευθυντής στρατηγικής για την ασφάλεια στον κυβερνοχώρο στο Sysdig.

Ωστόσο, είπε, το Microsoft Exchange είναι ένα άλλο παράδειγμα που είχε εξίσου αντίκτυπο, «αλλά γρήγορα ξεχάστηκε». Επισήμανε ότι το FBI και η Microsoft συνεχίζουν να παρακολουθούν εκστρατείες ransomware που στοχεύουν ευάλωτες αναπτύξεις του Exchange.

Ένα άλλο παράδειγμα είναι το Kaseya, το οποίο παραβιάστηκε από πράκτορες ransomware στα μέσα του 2021. Ως αποτέλεσμα, περισσότεροι από 2.000 πελάτες του παρόχου λογισμικού διαχείρισης πληροφορικής έλαβαν μια παραβιασμένη έκδοση του προϊόντος και μεταξύ 1.000 και 1.500 πελάτες τελικά κρυπτογραφήθηκαν τα συστήματά τους.

«Οι άμεσες ζημιές από μια επίθεση όπως αυτή είναι τεράστιες», είπε ο Μουρ. «Ακόμα πιο επικίνδυνες, ωστόσο, είναι οι μακροπρόθεσμες συνέπειες. Το συνολικό κόστος για την ανάκτηση μπορεί να είναι τεράστιο και να πάρει χρόνια».

Γιατί λοιπόν συνεχίζονται οι επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού;

Ο λόγος για τον συνεχιζόμενο βομβαρδισμό, είπε ο Μουρ, είναι η αυξανόμενη εξάρτηση από κώδικα τρίτων (συμπεριλαμβανομένου του Log4j).

Αυτό καθιστά τους διανομείς και τους προμηθευτές όλο και πιο ευάλωτους και η ευπάθεια συχνά εξισώνεται με υψηλότερη απόδοση, εξήγησε.

Επίσης, «οι φορείς ransomware είναι όλο και πιο λεπτομερείς και χρησιμοποιούν μη συμβατικές μεθόδους για να επιτύχουν τους στόχους τους», είπε ο Moore.

Για παράδειγμα, χρησιμοποιώντας κατάλληλα πρωτόκολλα τμηματοποίησης, οι πράκτορες ransomware στοχεύουν συστήματα λογισμικού διαχείρισης πληροφορικής και μητρικές εταιρείες. Στη συνέχεια, μετά την παραβίαση, αξιοποιούν αυτή τη σχέση για να διεισδύσουν στην υποδομή των θυγατρικών και των αξιόπιστων συνεργατών αυτού του οργανισμού.

«Οι επιθέσεις εφοδιαστικής αλυσίδας είναι δυστυχώς κοινές αυτή τη στιγμή, εν μέρει επειδή υπάρχουν υψηλότερα πονταρίσματα», είπε ο Μουρ. «Οι εκτεταμένες διακοπές της εφοδιαστικής αλυσίδας έχουν φέρει τη βιομηχανία σε ένα εύθραυστο σταυροδρόμι».

Χαμηλό κόστος, υψηλή ανταμοιβή

Οι επιθέσεις εφοδιαστικής αλυσίδας είναι χαμηλού κόστους και μπορεί να είναι ελάχιστη προσπάθεια και έχουν δυνατότητες για υψηλή ανταμοιβή, δήλωσε η Crystal Morin, μηχανικός έρευνας απειλών στο Sysdig. Και, τα εργαλεία και οι τεχνικές συχνά κοινοποιούνται εύκολα στο διαδίκτυο, καθώς και αποκαλύπτονται από εταιρείες ασφαλείας, οι οποίες συχνά δημοσιεύουν λεπτομερή ευρήματα.

«Η διαθεσιμότητα εργαλείων και πληροφοριών μπορεί να προσφέρει στους λιγότερο εξειδικευμένους επιτιθέμενους τις ευκαιρίες να αντιγράψουν προηγμένους παράγοντες απειλών ή να μάθουν γρήγορα για προηγμένες τεχνικές», δήλωσε ο Morin.

Επίσης, οι επιθέσεις ransomware στην αλυσίδα εφοδιασμού επιτρέπουν στους κακούς ηθοποιούς να δημιουργήσουν ένα ευρύ δίχτυ, δήλωσε ο Zack Newman, ανώτερος μηχανικός λογισμικού και ερευνητής στο Αλυσοφύλακας. Αντί να δαπανώνται πόροι για επίθεση σε έναν οργανισμό, μια παραβίαση μέρους μιας αλυσίδας εφοδιασμού μπορεί να επηρεάσει εκατοντάδες ή χιλιάδες μεταγενέστερους οργανισμούς. Από την άλλη πλευρά, εάν ένας εισβολέας στοχεύει έναν συγκεκριμένο οργανισμό ή κυβερνητική οντότητα, η επιφάνεια επίθεσης αλλάζει.

«Αντί να περιμένει να αντιμετωπίσει ένα ζήτημα ασφαλείας ο συγκεκριμένος οργανισμός, ο εισβολέας πρέπει απλώς να βρει ένα ζήτημα ασφάλειας σε οποιαδήποτε από τις εξαρτήσεις της αλυσίδας εφοδιασμού λογισμικού του», είπε ο Newman.

Καμία μεμονωμένη επιθετική/αμυντική τακτική δεν μπορεί να προστατεύσει όλες τις αλυσίδες εφοδιασμού λογισμικού

Πρόσφατες επιθέσεις στην εφοδιαστική αλυσίδα υπογραμμίζουν το γεγονός ότι κανένα εργαλείο δεν παρέχει πλήρη άμυνα, είπε ο Μουρ. Εάν ένα μόνο εργαλείο στη στοίβα ενός οργανισμού τεθεί σε κίνδυνο, οι συνέπειες μπορεί να είναι σοβαρές.

«Σε τελική ανάλυση, οποιοδήποτε πλαίσιο προστασίας που χτίστηκε από ευφυείς ανθρώπους μπορεί να παραβιαστεί από άλλους έξυπνους ανθρώπους», είπε.

Η άμυνα σε βάθος είναι απαραίτητη, είπε. Αυτό θα πρέπει να έχει πολυεπίπεδη πολιτική ασφαλείας, προστασία άκρων, προστασία τελικού σημείου, έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και εκπαίδευση χρηστών. Οι ισχυρές δυνατότητες ανάκτησης, συμπεριλαμβανομένων των σωστά αποθηκευμένων αντιγράφων ασφαλείας — και ιδανικά, ειδικοί σε χρόνο λειτουργίας έτοιμους να κινητοποιηθούν μετά από μια επίθεση — είναι επίσης απαραίτητο.

Χωρίς έμπειρους ανθρώπους να τις διαχειρίζονται και να τις τρέχουν σωστά, οι πολυεπίπεδες τεχνολογίες χάνουν την αξία τους, είπε ο Μουρ. Ή, εάν οι ηγέτες δεν εφαρμόσουν το σωστό πλαίσιο για τον τρόπο αλληλεπίδρασης αυτών των ανθρώπων και των τεχνολογιών, αφήνουν κενά για να τα εκμεταλλευτούν οι επιτιθέμενοι.

«Η εύρεση του σωστού συνδυασμού ανθρώπων, διαδικασιών και τεχνολογίας μπορεί να είναι δύσκολη από άποψη διαθεσιμότητας και κόστους, αλλά είναι κρίσιμη, ωστόσο», είπε.

Ολιστική, ολοκληρωμένη ορατότητα

Το εμπορικό λογισμικό βρίσκεται συνήθως στο ραντάρ των ομάδων ασφαλείας, αλλά ο ανοιχτός κώδικας συχνά παραβλέπεται, επεσήμανε ο Morin. Οι οργανισμοί πρέπει να παρακολουθούν όλο το λογισμικό που καταναλώνουν και επαναχρησιμοποιούν, συμπεριλαμβανομένου λογισμικού ανοιχτού κώδικα και λογισμικού τρίτων.

Μερικές φορές οι ομάδες μηχανικών συνεργάζονται πιο γρήγορα, είπε, ή η ασφάλεια αποσυνδέεται από το σχεδιασμό και την παράδοση εφαρμογών που χρησιμοποιούν λογισμικό ανοιχτού κώδικα.

Όμως, όπως φάνηκε με ζητήματα σε εξαρτήσεις όπως το OpenSSL, το Apache Struts και το Apache Log4j, τα εκμεταλλεύσιμα τρωτά σημεία διαδίδονται γρήγορα σε περιβάλλοντα, εφαρμογές, υποδομές και συσκευές.

«Οι παραδοσιακές προσεγγίσεις διαχείρισης ευπάθειας δεν λειτουργούν», είπε ο Morin. «Οι οργανισμοί έχουν ελάχιστο έως καθόλου έλεγχο στην ασφάλεια των προμηθευτών τους εκτός συμβατικών υποχρεώσεων, αλλά αυτοί δεν είναι προληπτικοί έλεγχοι».

Εργαλεία ασφαλείας υπάρχουν για την ανάλυση εφαρμογών και υποδομών για αυτά τα ευάλωτα πακέτα πριν και μετά την παράδοση, είπε, αλλά οι οργανισμοί πρέπει να διασφαλίσουν ότι το έχετε αναπτύξει.

Ωστόσο, «οι άλλες βέλτιστες πρακτικές ασφάλειας συνεχίζουν να ισχύουν», είπε.

Διευρυμένη εστίαση στην ασφάλεια

Ο Morin συμβουλεύει: Να ενημερώνετε τακτικά και να βελτιώνετε τις ανιχνεύσεις. Πάντα να επιδιορθώνετε όπου — και όσο το δυνατόν γρηγορότερα. Ρωτήστε τους πωλητές, τους συνεργάτες και τους προμηθευτές τι κάνουν για να προστατεύσουν τους εαυτούς τους, τους πελάτες και τα ευαίσθητα δεδομένα τους.

«Μείνε κι εσύ από πάνω τους», είπε. «Αν δείτε ζητήματα που θα μπορούσαν να τα επηρεάσουν στις τακτικές σας προσπάθειές ασφαλείας, ενημερώστε τους σχετικά με αυτό. Εάν έχετε κάνει τη δέουσα επιμέλειά σας, αλλά ένας από τους προμηθευτές σας δεν το έχει κάνει, θα τσιμπήσει πολύ περισσότερο εάν παραβιαστεί ή διαρρεύσει τα δεδομένα σας.»

Επίσης, οι ανησυχίες κινδύνου εκτείνονται πέρα ​​από τα παραδοσιακά δυαδικά αρχεία εφαρμογών, είπε ο Isbitski. Οι εικόνες κοντέινερ και η υποδομή ως κώδικας στοχεύονται με πολλές ποικιλίες κακόβουλου κώδικα, όχι μόνο με ransomware.

«Πρέπει να επεκτείνουμε την εστίασή μας στην ασφάλεια ώστε να συμπεριλάβουμε ευάλωτες εξαρτήσεις στις οποίες βασίζονται οι εφαρμογές και η υποδομή», είπε ο Isbitski, «όχι μόνο το λογισμικό που εγκαθιστούμε σε επιτραπέζιους υπολογιστές και διακομιστές».

Τελικά, είπε RKVST Ο επικεφαλής προϊόντων και τεχνολογίας Jon Geater, οι επιχειρήσεις αρχίζουν να κερδίζουν μεγαλύτερη εκτίμηση για αυτό που καθίσταται δυνατό «όταν εφαρμόζουν την ακεραιότητα, τη διαφάνεια και την εμπιστοσύνη με έναν τυπικό, αυτοματοποιημένο τρόπο».

Ωστόσο, τόνισε, δεν είναι πάντα μόνο η εφοδιαστική αλυσίδα επιθέσεις.

«Στην πραγματικότητα, τα περισσότερα προβλήματα προέρχονται από λάθη ή παραλείψεις που προέρχονται από την αλυσίδα εφοδιασμού, οι οποίες στη συνέχεια ανοίγουν τον στόχο σε παραδοσιακές επιθέσεις στον κυβερνοχώρο», δήλωσε ο Geater.

Είναι μια λεπτή διαφορά, αλλά σημαντική, σημείωσε. «Πιστεύω ότι το μεγαλύτερο μέρος των ανακαλύψεων που προκύπτουν από βελτιώσεις στην ορατότητα της εφοδιαστικής αλυσίδας το επόμενο έτος θα τονίσουν ότι οι περισσότερες απειλές προέρχονται από λάθος και όχι από κακία».

Μην παρασυρθείτε μόνο σε ransomware

Και, ενώ η ανησυχία για ransomware είναι μπροστά και στο επίκεντρο ως μέρος των προσεγγίσεων ασφάλειας τελικού σημείου, είναι μόνο μια πιθανή τεχνική επίθεσης, είπε ο Isbitski.

Υπάρχουν πολλές άλλες απειλές για τις οποίες πρέπει να προετοιμαστούν οι οργανισμοί, είπε – συμπεριλαμβανομένων νεότερων τεχνικών όπως το cryptojacking, οι επιθέσεις βάσει ταυτότητας και η συλλογή μυστικών.

«Οι εισβολείς χρησιμοποιούν ό,τι είναι πιο αποτελεσματικό και περιστρέφονται σε κατανεμημένα περιβάλλοντα για να κλέψουν δεδομένα, να παραβιάσουν συστήματα και να εξαγοράσουν λογαριασμούς», είπε ο Isbitski. „Εάν οι εισβολείς έχουν ένα μέσο για να αναπτύξουν κακόβουλο κώδικα ή ransomware, θα το χρησιμοποιήσουν.“

Απαραίτητες κοινές τεχνικές

Πράγματι, παραδέχτηκε ο Newman, υπάρχει τόση ποικιλία όσον αφορά το τι συνιστά επίθεση με αλυσίδα εφοδιασμού, που είναι δύσκολο για τους οργανισμούς να καταλάβουν ποια μπορεί να είναι η επιφάνεια επίθεσης και πώς να προστατευτούν από επιθέσεις.

Για παράδειγμα, στο υψηλότερο επίπεδο, μια παραδοσιακή ευπάθεια στη βιβλιοθήκη OpenSSL είναι μια ευπάθεια της εφοδιαστικής αλυσίδας. Ένας συντηρητής OSS που παραβιάζεται ή γίνεται αδίστακτος για πολιτικούς λόγους, είναι μια ευπάθεια της εφοδιαστικής αλυσίδας. Και, μια παραβίαση αποθετηρίου πακέτων OSS ή η παραβίαση συστήματος κατασκευής ενός οργανισμού είναι επιθέσεις στην αλυσίδα εφοδιασμού.

„Πρέπει να εφαρμόσουμε κοινές τεχνικές για να προστατεύσουμε και να μετριάζουμε για κάθε τύπο επίθεσης κατά μήκος της αλυσίδας εφοδιασμού“, δήλωσε ο Newman. «Όλα πρέπει να διορθωθούν, αλλά το να ξεκινήσετε από εκεί που οι επιθέσεις είναι ανεκτές μπορεί να αποφέρει κάποια επιτυχία για να απομακρυνθούν».

Κατά την προληπτική υιοθέτηση ισχυρών πολιτικών και βέλτιστων πρακτικών για τη στάση ασφαλείας τους, οι οργανισμοί ενδέχεται να ανατρέξουν στη λίστα ελέγχου των προτύπων στο πλαίσιο των Επιπέδων Εφοδιαστικής Αλυσίδας για το Πλαίσιο Κατασκευασμάτων Λογισμικού (SLSA), πρότεινε ο Νιούμαν. Οι οργανισμοί θα πρέπει επίσης να επιβάλλουν ισχυρές πολιτικές ασφαλείας σε όλο τον κύκλο ζωής ανάπτυξης λογισμικού των προγραμματιστών τους.

Ενθάρρυνση της έρευνας για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού

Ωστόσο, τόνισε ο Newman, υπάρχουν πολλά να είμαστε αισιόδοξοι. ο κλάδος σημειώνει πρόοδο.

«Οι ερευνητές σκέφτονται να λύσουν την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού εδώ και πολύ καιρό», είπε ο Newman. Αυτό πάει πίσω στη δεκαετία του 1980.

Για παράδειγμα, επεσήμανε τις αναδυόμενες τεχνολογίες από την κοινότητα όπως π.χ Το πλαίσιο ενημέρωσης (TUF) ή το in-toto πλαίσιο.

Η έμφαση που δίνει ο κλάδος στους λογαριασμούς υλικών λογισμικού (SBOM) είναι επίσης ένα θετικό σημάδι, είπε, αλλά πρέπει να γίνουν περισσότερα για να γίνουν αποτελεσματικά και χρήσιμα. Για παράδειγμα, τα SBOM πρέπει να δημιουργηθούν κατά το χρόνο κατασκευής σε αντίθεση με το γεγονός, καθώς «αυτός ο τύπος δεδομένων θα είναι εξαιρετικά πολύτιμος για να βοηθήσει στην πρόληψη της εξάπλωσης και των επιπτώσεων της επίθεσης».

Επίσης, επεσήμανε, η Chainguard συνδημιούργησε και τώρα διατηρεί ένα σύνολο δεδομένων κακόβουλων παραβιάσεων της αλυσίδας εφοδιασμού λογισμικού. Αυτή η προσπάθεια αποκάλυψε εννέα μεγάλες κατηγορίες επιθέσεων και εκατοντάδες ή χιλιάδες γνωστούς συμβιβασμούς.

Τελικά, ερευνητές και οργανισμοί «ψάχνουν τρόπους για να λύσουν αυτά τα ζητήματα μια για πάντα», είπε ο Newman, «έναντι των κοινών προσεγγίσεων επίδεσης που βλέπουμε σήμερα στην ασφάλεια».