שתף באמצעות

מתקפות שרשרת אספקה

  • מאמר

תקיפות שרשרת אספקה הן איומים מתפתחים שממקדים מפתחי תוכנה וספקים. המטרה היא לגשת אל קודי מקור, לבנות תהליכים או לעדכן מנגנונים על-ידי הדבקת אפליקציות לגיטימיות להפצת תוכנות זדוניות.

כיצד פועלות מתקפות שרשרת אספקה

התוקפים צדים פרוטוקולי רשת לא מאובטחים, תשתית שרתים לא מוגנת ושיטות קידוד לא בטוחות. הם שוברים, משתנים קודי מקור ומסתירים תוכנות זדוניות ותהליכי בנייה ועדכון.

מאחר שתוכנה בנויה ומופצת על-ידי ספקים מהימנים, אפליקציות ועדכונים אלה חתומים ומוסמך. בהתקפות שרשרת אספקה של תוכנה, ספקים אינם מודעים שאפליקציות או עדכונים שלהם נגועים בקוד זדוני כאשר הם מופצים לציבור. לאחר מכן הקוד הזדון פועל עם אותן אמון והרשאות כמו היישום.

מספר הקורבנות הפוטנציאליים הוא משמעותי, לאור הפופולריות של אפליקציות מסוימות. מקרה שבו אפליקציית דחיסת קבצים ללא תשלום הורעלה ונפרסה ללקוחות במדינה/אזור שבהם היא הייתה אפליקציית כלי השירות העליונה.

סוגים של מתקפות שרשרת אספקה

  • כלים לבניית תוכנה שנחשף לסכנה או תשתית מעודכנת

  • אישורי חתימה של קוד גנוב או אפליקציות זדוניות חתומות באמצעות הזהות של חברת פיתוח

  • קוד מיוחד שנחשף לסכנה נשלח לרכיבי חומרה או קושחה

  • תוכנות זדוניות מותקנות מראש במכשירים (מצלמות, USB, טלפונים וכולי)

לקבלת מידע נוסף על תקיפות שרשרת אספקה, קרא את רשומת הבלוג שנקראת "הגדרת תקיפה:שרשרת אספקה שנחשף לסכנה בתוך שרשרת אספקה מהווה סיכונים חדשים.

כיצד להגן מפני התקפות שרשרת אספקה

  • פרוס פריטי מדיניות תקינות של קוד חזק כדי לאפשר הפעלה של יישומים מורשים בלבד.

  • השתמש בפתרונות זיהוי ותגובה של נקודות קצה, ה יכולים לזהות ולתקן פעילויות חשודות באופן אוטומטי.

עבור ספקי תוכנה ומפתחים

  • שמור על תשתית Build ועדכון מאובטחת במיוחד.

    • החל באופן מיידי תיקוני אבטחה עבור מערכת ההפעלה והתוכנה.
    • יישם פקדי תקינות הכרחיים כדי להבטיח שרק כלים מהימנים יפעלו.
    • דרוש אימות רב-גורמי עבור מנהלי מערכת.

  • בנה מעדכן תוכנה מאובטח כחלק מתהליך מחזור החיים של פיתוח התוכנה.

    • דרוש SSL עבור ערוצי עדכונים ויישם הצמדת אישור.
    • חתום על הכל, כולל קבצי תצורה, קבצי Script, קבצי XML וחבילות.
    • בדוק אם יש חתימות דיגיטליות ואל תאפשר לעדכן התוכנה לקבל קלט כללי ופקודות.

  • פתח תהליך תגובה לתקריות עבור תקיפות שרשרת אספקה.

    • חשוף אירועי שרשרת אספקה וספק ללקוחות מידע מדויק ומדויק

לקבלת עצות כלליות יותר לגבי הגנה על המערכות והמכשירים שלך, ראה מניעת הידבקות בתוכנות זדוניות.