От
KL FC Bot
Старая пословица «Цепь крепка лишь настолько, насколько крепко ее самое слабое звено» имеет прямое отношение к кибербезопасности предприятий. У любого современного бизнеса — десятки и сотни поставщиков и подрядчиков, которые в свою очередь пользуются услугами и товарами других поставщиков и подрядчиков. Если по этой цепочке перемещается не сырье, а технологичные ИТ-продукты, то гарантировать их безопасность становится очень сложно. Этим пользуются злоумышленники, которые компрометируют одно из звеньев цепочки, чтобы добраться до ее начала, то есть до своей главной цели. Для бизнес-лидеров и руководителей ИБ и ИТ очень важно понимать риски, связанные с атаками на цепочку поставок, чтобы эффективно управлять этими рисками.
Что такое атака на цепочку поставок?
Атака на цепочку поставок происходит, когда злоумышленник проникает в системы организации, скомпрометировав доверенного стороннего поставщика ПО или сервис-провайдера. Возможные разновидности атаки:
известное ПО, разрабатываемое поставщиком и используемое целевой организацией или множеством компаний, модифицируется, чтобы выполнять задачи атакующего. После установки очередного обновления в нем оказывается недекларированная функциональность, которая позволяет скомпрометировать организацию. Широко известные примеры такой атаки: компрометация ПО SolarWinds Orion и 3CX Phone. В этом году стало известно о попытке самой масштабной атаки такого типа, к счастью неудачной, — XZ Utils;
злоумышленники находят корпоративные учетные записи, используемые сервис-провайдером для работы в системах организации, и применяют их для проникновения в компанию и выполнения атаки. Например, через аккаунт, выданный поставщику кондиционеров, был взломан гигант американской торговли Target;
злоумышленник компрометирует облачного провайдера или эксплуатирует особенности инфраструктуры облачного провайдера, чтобы получить доступ к данным организации. Самый громкий кейс этого года — компрометация более полутора сотен клиентов облачного сервиса Snowflake, которая привела к утечке данных сотен миллионов пользователей Ticketmaster, банка Santander, AT&T и других. Другая атака с резонансными и масштабными последствиями — взлом провайдера сервисов аутентификации Okta;
атакующий эксплуатирует делегированные подрядчику полномочия в облачных системах, например в Office 365, чтобы получить контроль за документами и перепиской организации;
злоумышленник компрометирует специализированные устройства, принадлежащие подрядчику или администрируемые им, но подключенные к сети организации. Пример — умные системы офисного кондиционирования или системы видеонаблюдения. Системы автоматизации здания стали опорной площадкой кибератаки на телеком-провайдеров в Пакистане;
злоумышленник модифицирует закупаемое организацией ИТ-оборудование, либо заражая предустановленное ПО, либо внося скрытую функциональность в прошивку устройства. Несмотря на трудоемкость таких атак, они случались на практике: доказаны случаи заражения Android-устройств, широко обсуждались заражения серверов на уровне чипов.
Все разновидности этой техники в матрице MITRE ATT&CK имеют общее название Trusted Relationship (T1199).
View the full article
От KL FC Bot
От KеshaKost
От Erhogg
От _Sapphire_
От maks_b
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти