Ataques contra la cadena de suministro: cuando las cosas van mal.

เมื่อพูดถึงการรักษาความปลอดภัยทางไซเบอร์เรากำลังพูดถึงการโจมตีซัพพลายเชนซอฟต์แวร์ที่เราเห็นการแทรกโค้ดที่เป็นอันตรายจากผู้ให้บริการรหัสบุคคลที่สามเพื่อก่อให้เกิดอันตรายต่อหน่วยงานที่อยู่นอกเหนือเครือข่ายของห่วงโซ่อุปทานดิจิทัล สิ่งเหล่านี้แสดงให้เห็นอย่างสมบูรณ์แบบจากการโจมตีของ Magecart ของ British Airways และ Ticketmaster เมื่อปีที่แล้ว หากต้องการเจาะลึกลงไปอีกเล็กน้อยการโจมตีของซัพพลายเชนอาจมีลักษณะเป็นการกระทำที่มุ่งร้ายโดยเจตนา (เช่นการแทรกการทดแทนหรือการดัดแปลง) ที่ดำเนินการเพื่อสร้างและใช้ประโยชน์จากช่องโหว่ในเทคโนโลยีสารสนเทศและการสื่อสาร (ฮาร์ดแวร์ซอฟต์แวร์เฟิร์มแวร์) ที่ใดก็ได้ ชี้ไปที่ห่วงโซ่อุปทานโดยมีวัตถุประสงค์หลักในการขัดขวางหรือตรวจสอบภารกิจโดยใช้ทรัพยากรไซเบอร์ ในการพัฒนาซอฟต์แวร์โดยทั่วไปแล้วการโจมตีซัพพลายเชนจะเกี่ยวข้องกับการแทรกโค้ดที่เป็นอันตรายลงในการพึ่งพาโค้ดหรือการรวมบริการของบุคคลที่สาม การรวมสคริปต์ภายนอกและการใช้การอ้างอิงโค้ดเป็นแนวทางปฏิบัติทั่วไปในการพัฒนาซอฟต์แวร์ ในบรรดาองค์ประกอบโค้ดที่ใช้บ่อยที่สุดบางส่วนมาจากผู้ให้บริการบุคคลที่สามที่มีชื่อเสียงเช่น Google บริษัท ที่เราไม่ควรคาดหวังจากผู้โจมตี อย่างไรก็ตาม บริษัท ขนาดใหญ่เช่นนี้มักใช้สคริปต์ของบุคคลที่สามจาก บริษัท ขนาดเล็กหรือนักพัฒนาแต่ละรายซึ่งระบบรักษาความปลอดภัยสามารถปล่อยให้เป็นที่ต้องการได้มาก ผู้ให้บริการรหัสบุคคลที่สามส่วนใหญ่ไม่มีระบบรักษาความปลอดภัยระดับองค์กรอย่างไรก็ตามรหัสภายนอกนี้มีสิทธิ์เช่นเดียวกับรหัสที่ บริษัท พัฒนาขึ้นภายใน แฮกเกอร์ได้ระบุลิงก์ที่อ่อนแอที่สุดนี้อย่างชัดเจนในห่วงโซ่อุปทานนั่นคือสามารถละเมิด บริษัท ระดับไฮเอนด์ได้โดยไม่ต้องเข้าไปใกล้เซิร์ฟเวอร์หรือโค้ดของพวกเขา ร่วมเป็นสักขีพยานในการโจมตีครั้งใหญ่ที่เกิดขึ้นในปีที่ผ่านมารวมถึงการโจมตี Magecart ของ British Airways และ Ticketmaster จอกศักดิ์สิทธิ์ของการโจมตีทางไซเบอร์กำลังกำหนดเป้าหมายไปที่การอ้างอิงหรือสคริปต์ที่พัฒนาโดยบุคคลที่สามและใช้โดย บริษัท หลายพันแห่งซึ่งปัจจุบันเราเรียกว่าการโจมตีซัพพลายเชน เป้าหมายทั่วไปของการโจมตีดังนั้นเป้าหมายทั่วไปของการโจมตีสำหรับแฮกเกอร์ในห่วงโซ่อุปทานคืออะไร? เมื่อตรวจสอบการโจมตีซัพพลายเชนล่าสุดเราพบว่าแฮกเกอร์ต้องการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตอย่างแน่นอนนั่นคือข้อมูลบัตรเครดิตและข้อมูลรับรองบัญชี นอกจากนี้ยังอาจพยายามลดความสมบูรณ์ของระบบโดยรวม (ทำให้ระบบทำงานผิดปกติ) เพื่อไม่ให้ผู้ใช้เชื่อถือข้อมูลหรือระบบสารสนเทศ ผู้ใช้ปลายทางอาจทำสิ่งที่ไม่คาดคิดได้เช่นกัน ผู้โจมตียังสามารถพยายามลดความพร้อมใช้งานของระบบหรือข้อมูล / ทรัพยากรกล่าวคือทำให้ไม่สามารถใช้งานได้เมื่อผู้ใช้ร้องขอ พวกเขาจะพยายามใช้ทรัพยากรเพื่อวัตถุประสงค์ที่ผิดกฎหมายหรือด้วยเหตุผลที่อาจเป็นอันตรายอย่างไม่ต้องสงสัย ด้วยวิธีนี้พวกเขาสามารถละเมิดความลับหรือความพร้อมใช้งานของทรัพยากรอื่น ๆ ที่เชื่อถือข้อมูลที่ถูกโจมตี เมื่อเปรียบเทียบกับการโจมตีทางไซเบอร์แบบเดิมการโจมตีในซัพพลายเชนมีประโยชน์หลักสองประการสำหรับผู้โจมตี ประการแรกการโจมตีห่วงโซ่อุปทานเพียงครั้งเดียวสามารถกำหนดเป้าหมายหลายธุรกิจได้ ในเวลาเดียวกัน (เนื่องจากหลาย บริษัท ใช้รหัสภายนอกและการอ้างอิงสคริปต์เดียวกัน) ดังนั้นผลตอบแทนจากการลงทุนที่อาจเกิดขึ้นจากการโจมตีจึงมากกว่า ประการที่สองแตกต่างจากการโจมตีทางไซเบอร์ทั่วไปการโจมตีในซัพพลายเชนอาจไม่ถูกตรวจพบโดยการป้องกันโดยรอบเนื่องจากมักจะถูกแทรกเข้าไปโดยการเปลี่ยนแปลงในตัวของส่วนประกอบของระบบที่ได้รับการอนุมัติโดยค่าเริ่มต้น จากนั้นกลไกการส่งผ่านที่ได้รับการอนุมัติ (ตัวอย่างเช่นการอัปเดตซอฟต์แวร์) จะช่วยให้เกิดการโจมตีของซัพพลายเชนโดยไม่ถูกตรวจพบโดยการป้องกันเครือข่าย (รูปภาพ: ©เครดิตรูปภาพ: Geralt / Pixabay) การลดการโจมตีของซัพพลายเชนมีเทคนิคความยืดหยุ่นทางไซเบอร์ระดับสูงหลายประการเพื่อลดการโจมตีทางไซเบอร์ ซึ่งรวมถึง: การตอบสนองแบบปรับตัว - เพิ่มประสิทธิภาพความสามารถขององค์กรในการตอบสนองต่อสภาวะที่ไม่พึงประสงค์ความเครียดหรือการโจมตีได้อย่างรวดเร็วและเหมาะสมซึ่งจะช่วยเพิ่มความสามารถในการรักษาการปฏิบัติภารกิจลดผลที่ตามมาและหลีกเลี่ยงการทำลายล้าง การตรวจสอบเชิงวิเคราะห์ - รวบรวมรวมและวิเคราะห์ข้อมูลด้วยวิธีที่ต่อเนื่องและประสานกันเพื่อระบุช่องโหว่ที่อาจเกิดขึ้นเงื่อนไขที่ไม่พึงประสงค์ความเครียดหรือการโจมตีและความเสียหาย การป้องกันแบบประสานงาน - ตรวจสอบให้แน่ใจว่าความล้มเหลวของอุปสรรคในการป้องกันเพียงครั้งเดียวจะไม่เปิดเผยทรัพย์สินที่สำคัญต่อภัยคุกคาม กำหนดให้เหตุการณ์คุกคามเกินความคุ้มครองหลายประการ (…) ความผิดหวัง: หลอกลวงสร้างความสับสนหรือซ่อนทรัพยากรที่สำคัญจากฝ่ายตรงข้าม ความหลากหลาย - ใช้ความแตกต่างกันเพื่อลดความล้มเหลวของโหมดทั่วไปโดยเฉพาะการโจมตีที่ใช้ช่องโหว่ทั่วไป ความซ้ำซ้อน: จัดเตรียมทรัพยากรสำคัญที่มีการป้องกันไว้หลายอินสแตนซ์ ความสมบูรณ์ที่ได้รับการยืนยัน - ตรวจจับความพยายามของฝ่ายตรงข้ามในการจัดหาข้อมูลซอฟต์แวร์หรือฮาร์ดแวร์ที่ถูกบุกรุกตลอดจนการปรับเปลี่ยนหรือการประดิษฐ์ที่ประสบความสำเร็จ - ไม่สามารถคาดเดาได้ - ทำการเปลี่ยนแปลงแบบสุ่มหรือคาดเดาไม่ได้ - เป็นสิ่งสำคัญมากที่ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ดูแลระบบไอทีเข้าใจว่าการ จำกัด การโจมตีซัพพลายเชน ต้องใช้วิธีการรักษาความปลอดภัยในเชิงลึก เราต้องทราบว่าการลงทุนทรัพยากรในการป้องกันอุปกรณ์ต่อพ่วงไม่ใช่แนวทางที่เหมาะสม การทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ (SAST) มักถูกคิดผิดว่าเป็นแนวทางที่เหมาะสมในการป้องกันการโจมตีซัพพลายเชน อย่างไรก็ตามการโจมตีเหล่านี้ใช้ประโยชน์จากจุดอ่อนและนำตรรกะที่เป็นอันตรายมาใช้ในโค้ดที่มีอยู่ เนื่องจากไม่มีช่องโหว่ SAST จึงตรวจไม่พบ เนื่องจากการโจมตีซัพพลายเชนมักดำเนินการผ่านการเปลี่ยนแปลงฝั่งไคลเอ็นต์อย่างชัดเจนการลงทุนในการรักษาความปลอดภัยฝั่งไคลเอ็นต์จึงกลายเป็นขั้นตอนสำคัญในกระบวนการนี้ ในรูปแบบการรักษาความปลอดภัยของแอปพลิเคชันในปัจจุบันไม่มีวิธีใดที่จะมั่นใจได้ว่าจะไม่มีการแทรกโค้ดที่เป็นอันตรายหรือถูกตั้งค่าสถานะลงในแอปพลิเคชันทางธุรกิจ สิ่งที่ดีที่สุดที่คุณทำได้คือการมองเห็นการฉีดยาเหล่านี้และสามารถตอบสนองได้แบบเรียลไทม์ ดังที่เราได้เห็นในการโจมตีซัพพลายเชนก่อนหน้านี้ขนาดของการโจมตีนั้นเกี่ยวข้องโดยตรงกับเวลาที่ บริษัท ต่างๆใช้ในการตรวจจับและดำเนินการกับมัน - และการโจมตีซัพพลายเชนบางส่วนก่อนหน้านี้ยังไม่สามารถตรวจพบได้เป็นเวลาหลายเดือน มันเกี่ยวกับการมองเห็นและเวลา

การโจมตีห่วงโซ่อุปทาน: เมื่อมีสิ่งผิดปกติเกิดขึ้น

ส่งความคิดเห็น ยกเลิกการตอบ