През последните години киберпрестъпниците все по-често се възползват от уязвимости в широко използвани ИТ инструменти и инструменти за сигурност, което води до сериозни инциденти със сигурността. Например неотдавна беше използвана уязвимост от типа „нулев ден“ в корпоративните VPN мрежи на Ivanti, която позволи на нападателите да внедрят задна врата, наречена „DSLog“. По подобен начин уязвимост за отдалечено изпълнение на код в TeamCity позволи на нападателите, за които се предполага, че са от групата APT29, да проникнат в системите чрез инсталиране на злонамерени SSH сертификати, използване на PowerShell за изтегляне и изпълнение на злонамерени DLL и поддържане на постоянство чрез планирани задачи. Друг пример е уязвимостта Fortra GoAnywhere MFT, която ransomware групи като LockBit и Cl0p използваха за изпълнение на отдалечен код, което доведе до значителни атаки, особено в сектора на здравеопазването.

Тези инциденти подчертават колко бързо уязвимостите в широко използвани инструменти за управление могат да се превърнат в мишени както за държавно спонсорирани групи, така и за ransomware оператори, като подчертават важността на предпазването от кибератаки по веригата на доставки.

Въпреки неотдавнашното медийно внимание, атаките по веригата на доставки, използващи задни врати, не са ново явление. Кибернетичните противници отдавна се фокусират върху използването на грешки в контрола на трети страни. Предишни атаки срещу софтуер като SolarWinds Orion или VMware Workspace ONE са само няколко примера, при които хакерите успешно са се насочили към веригата за доставки на организацията.

Една от най-известните атаки срещу веригата за доставки до момента остава пробивът на токена RSA SecureID. Използвайки откраднати данни, свързани със системата за удостоверяване SecurID на RSA, нападателите компрометираха големи клиенти на RSA, включително Lockheed Martin, които разчитаха на тези токени, за да защитят най-чувствителните си данни и мрежи.

Справяне с опасностите по веригата на доставки

Неизправностите в системите и процесите на трети страни могат да доведат до катастрофални репутационни и оперативни щети. Вече не е достатъчно да се прилагат само основни процедури за управление на доставчиците. Организациите трябва също така да предприемат проактивни мерки, за да се предпазят от провали в контрола на трети страни. И така, как може да се постигне това?

• Усъвършенствано управление на риска при доставчиците: Уверете се, че всички доставчици и трети страни се придържат към строги протоколи за киберсигурност. Оценявайте съответствието им със съответните стандарти (напр. ISO 27001, NIST, GDPR). Оценявайте доставчиците въз основа на чувствителността на данните, с които боравят, и критичността на предоставяните от тях услуги. Обмислете възможността да изискате от доставчиците да използват услуги за независима проверка, за да тестват софтуерните приложения преди закупуването и внедряването им.
• Защитете канала за разработване на софтуер: Защитете административния достъп до инструментите и приложенията, използвани от екипите на DevOps. Осигурете сигурна конфигурация на приложенията чрез тайни и удостоверявайте приложенията и услугите с висока степен на сигурност. Задължете доставчиците на софтуер да сертифицират и разширят контрола за сигурност, за да обхванат микроуслугите, облачните среди и средите DevOps.
• Редовни актуализации на софтуера и системата: Уверете се, че вашите системи и тези на доставчиците ви редовно се актуализират и коригират за известни уязвимости. Предотвратете използването на неподдържан или остарял софтуер, който би могъл да въведе нови уязвимости.
• Заздравете средата си: Конфигурирайте облачните среди така, че да отхвърлят заявки за оторизация, включващи токени, които се отклоняват от приетите норми. За локални системи следвайте указанията на Агенцията за национална сигурност, като внедрите утвърден от Федералните стандарти за обработка на информация (FIPS) хардуерен модул за сигурност (HSM), за да съхранявате частните ключове на сертификатите за подписване на токени. HSM значително намаляват риска от кражба на ключове от  заплахи.
• Прилагане на строг контрол на достъпа: Ограничете достъпа на доставчиците от трети страни само до данните и системите, необходими за техните операции. Уверете се, че те нямат достъп до други области на вашата мрежа. Изисквайте многофакторна автентификация за доставчиците, които имат достъп до вашите системи. Възприемането на подход на нулево доверие гарантира непрекъсната проверка на всички потребители – както вътрешни, така и външни – преди предоставяне на достъп.
• Използвайте инструменти и технологии за сигурност: Сегментирайте мрежата си, за да попречите на нападателите да се придвижват странично, ако успеят да пробият един участък. Използвайте решения за откриване и реагиране на крайни точки (Endpoint Detection and Response – EDR), за да откривате злонамерени дейности на устройства, свързани чрез трети страни. Криптирайте чувствителните данни, споделяни с доставчиците, както в състояние на покой, така и при пренос. Силната позиция за киберсигурност изисква готовност за пробиви в сигурността на данните, особено когато данните се движат по различни канали като електронна поща, облак и инструменти за изкуствен интелект. По този начин решенията за непрекъсваемост на бизнеса и възстановяване след бедствие (BCDR) се превърнаха в съществени компоненти на съвременния технологичен стек.
• Приемете рамки и най-добри практики: Приложете рамката за киберсигурност на NIST, за да идентифицирате, защитите, откриете, управлявате, реагирате и се възстановявате от киберзаплахи. Също така обмислете приемането на специфични за веригата на доставки рамки, като например Стандартизираното събиране на информация за споделени оценки (SIG) или ISO 28001 за управление на сигурността на веригата на доставки.
• Договорни и правни предпазни мерки: Включете изисквания за киберсигурност в договорите с доставчиците, включително задължителни механизми за контрол на сигурността, мерки за защита на данните и задължения за уведомяване за нарушения. За високорискови доставчици изисквайте одити от трети страни или независими оценки на сигурността.

Тъй като организациите укрепиха защитата си срещу директни мрежови атаки, хакерите се насочиха към използване на уязвимости във веригата за доставки, за да получат достъп до ИТ системите. От решаващо значение за предприятията е да наблюдават и управляват активно рисковете за ИТ сигурността в рамките на веригата за доставки. Чрез прилагането на стратегиите, описани в тази статия, организациите могат значително да намалят излагането си на кибератаки по веригата на доставки и да повишат цялостната си устойчивост по отношение на киберсигурността.

Автор: Д-р Торстен Джордж – международно признат експерт по ИТ сигурност, автор и лектор с близо 30-годишен опит в глобалната общност по ИТ сигурност. Той редовно предоставя коментари и публикува статии за нарушения на сигурността на данните, вътрешни заплахи, рамки за съответствие и най-добри практики в областта на ИТ сигурността. Също така е съавтор на книгата „Zero Trust Privilege for Dummies“. Торстен е заемал ръководни длъжности в Absolute Software, Centrify (сега Delinea), RiskSense (придобита от Ivanti), RiskVision (придобита от Resolver, Inc.), ActivIdentity (придобита от HID® Global), Digital Link и Everdream Corporation (придобита от Dell).