Sdílet prostřednictvím

Útoky na dodavatelské řetězce

  • Článek

Útoky na dodavatelský řetězec představují vznikající hrozby, které cílí na vývojáře a dodavatele softwaru. Cílem je získat přístup ke zdrojovým kódům, procesům sestavení nebo aktualizačním mechanismům tím, že napadnou legitimní aplikace pro distribuci malwaru.

Jak fungují útoky na dodavatelský řetězec

Útočníci hledají nezabezpečené síťové protokoly, nechráněné serverové infrastruktury a nebezpečné postupy kódování. V procesu sestavení a aktualizace se vyrušují, mění zdrojové kódy a skrývají malware.

Vzhledem k tomu, že software sestavují a vydávají důvěryhodní dodavatelé, jsou tyto aplikace a aktualizace podepsané a certifikované. Při útocích na dodavatelský řetězec softwaru dodavatelé pravděpodobně netuší, že jejich aplikace nebo aktualizace jsou po vydání pro veřejnost napadeny škodlivým kódem. Škodlivý kód se pak spustí se stejným vztahem důvěryhodnosti a oprávněními jako aplikace.

Počet potenciálních obětí je vzhledem k oblíbenosti některých aplikací významný. Došlo k případu, kdy byla aplikace bezplatné komprese souborů otrávená a nasazena zákazníkům v zemi nebo oblasti, kde se jednalo o nejlepší obslužnou aplikaci.

Typy útoků na dodavatelský řetězec

  • Ohrožené nástroje pro vytváření softwaru nebo aktualizovaná infrastruktura

  • Odcizené certifikáty pro podepisování kódu nebo podepsané škodlivé aplikace s využitím identity vývojové společnosti

  • Ohrožený specializovaný kód dodávaný do součástí hardwaru nebo firmwaru

  • Předinstalovaný malware na zařízeních (fotoaparáty, USB, telefony atd.)

Další informace o útocích v dodavatelském řetězci najdete v tomto blogovém příspěvku s názvem Útok inception: Ohrožený dodavatelský řetězec v rámci dodavatelského řetězce představuje nová rizika.

Jak se chránit před útoky na dodavatelské řetězce

  • Nasaďte zásady integrity silného kódu, které umožní spouštět jenom autorizované aplikace.

  • Používejte řešení pro detekci koncových bodů a odpovědi, která automaticky detekují a opravují podezřelé aktivity.

Pro dodavatele a vývojáře softwaru

  • Udržujte vysoce zabezpečenou infrastrukturu sestavení a aktualizací.

    • Okamžitě použijte opravy zabezpečení pro operační systém a software.
    • Implementujte povinné ovládací prvky integrity, abyste zajistili, že se budou spouštět jenom důvěryhodné nástroje.
    • Vyžadovat vícefaktorové ověřování pro správce

  • Vytvářejte zabezpečené aktualizátory softwaru jako součást životního cyklu vývoje softwaru.

    • Vyžadovat ssl pro aktualizační kanály a implementovat připnutí certifikátu.
    • Podepište všechno, včetně konfiguračních souborů, skriptů, souborů XML a balíčků.
    • Zkontrolujte digitální podpisy a nedovolte, aby aktualizátor softwaru přijímal obecný vstup a příkazy.

  • Vývoj procesu reakce na incidenty pro útoky v dodavatelském řetězci

    • Zveřejnit incidenty v dodavatelském řetězci a informovat zákazníky s přesnými a včasnými informacemi

Obecnější tipy k ochraně systémů a zařízení najdete v tématu Prevence malwarové infekce.