Атаки на цепочки поставок

Атаки на цепочку поставок — это новые угрозы, нацеленные на разработчиков программного обеспечения и поставщиков. Цель — получить доступ к исходным кодам, процессам сборки или механизмам обновления путем заражения допустимых приложений для распространения вредоносных программ.

Как работают атаки на цепочку поставок

Злоумышленники ищут небезопасные сетевые протоколы, незащищенные серверные инфраструктуры и небезопасные методы написания кода. Они прерывают, изменяют исходные коды и скрывают вредоносные программы в процессах сборки и обновления.

Так как программное обеспечение создается и выпускается доверенными поставщиками, эти приложения и обновления подписываются и сертифицированы. При атаках на цепочку поставок программного обеспечения поставщики, скорее всего, не знают, что их приложения или обновления заражены вредоносным кодом при их публикации для общественности. Затем вредоносный код выполняется с тем же доверием и разрешениями, что и приложение.

Число потенциальных жертв является значительным, учитывая популярность некоторых приложений. Произошел случай, когда бесплатное приложение сжатия файлов было отравлено и развернуто для клиентов в стране или регионе, где оно было лучшим служебным приложением.

Типы атак в цепочке поставок

  • Скомпрометированные средства создания программного обеспечения или обновленная инфраструктура

  • Украденные сертификаты для подписи кода или подписанные вредоносные приложения с помощью удостоверения компании разработчика

  • Скомпрометированный специализированный код, поставляемый в компоненты оборудования или встроенного ПО

  • Предварительно установленные вредоносные программы на устройствах (камеры, USB, телефоны и т. д.)

Чтобы узнать больше об атаках на цепочку поставок, прочитайте эту запись блога под названием атака начала: скомпрометированные цепочки поставок в цепочке поставок представляют новые риски.

Защита от атак цепочки поставок

  • Разверните надежные политики целостности кода, чтобы разрешить запуск только авторизованных приложений.

  • Используйте решения для обнаружения конечных точек и реагирования, которые могут автоматически обнаруживать и устранять подозрительные действия.

Для поставщиков и разработчиков программного обеспечения

  • Поддерживайте высокозащищенную инфраструктуру сборки и обновления.

    • Немедленно примените исправления для системы безопасности для ОС и программного обеспечения.
    • Реализуйте обязательные элементы управления целостностью, чтобы обеспечить выполнение только доверенных средств.
    • Требовать многофакторную проверку подлинности для администраторов.
  • Создание безопасных средств обновления программного обеспечения в рамках жизненного цикла разработки программного обеспечения.

    • Требовать SSL для каналов обновления и реализовывать закрепление сертификата.
    • Подпишите все, включая файлы конфигурации, скрипты, XML-файлы и пакеты.
    • Проверьте наличие цифровых подписей и не позволяйте средству обновления программного обеспечения принимать универсальные входные данные и команды.
  • Разработка процесса реагирования на инциденты для атак в цепочке поставок.

    • Раскрывать инциденты цепочки поставок и уведомлять клиентов точной и своевременной информацией

Более общие советы по защите систем и устройств см. в статье Предотвращение заражения вредоносными программами.