Атака на цепочку поставок

Кибератака через цепочку поставок отрасли

Базовая схема сети цепочки поставок , которая показывает, как товары перемещаются от стадии сырья до момента их приобретения конечным потребителем.

Атака на цепочку поставок — это кибератака , которая направлена ​​на нанесение ущерба организации путем выбора менее защищенных элементов в цепочке поставок . ^[1] Атака на цепочку поставок может произойти в любой отрасли, от финансового сектора, нефтяной промышленности до государственного сектора. ^[2] Атака на цепочку поставок может произойти в программном или аппаратном обеспечении. ^[3] Киберпреступники обычно вмешиваются в производство или распространение продукта, устанавливая вредоносное ПО или аппаратные шпионские компоненты. ^{[4] В отчете} Symantec об угрозах безопасности в Интернете за 2019 год говорится, что количество атак на цепочку поставок увеличилось на 78 процентов в 2018 году. ^[5]

Цепочка поставок — это система действий, связанных с обработкой, распределением, производством и обработкой товаров с целью перемещения ресурсов от поставщика в руки конечного потребителя. Цепочка поставок — это сложная сеть взаимосвязанных игроков, регулируемая спросом и предложением . ^[6]

Хотя атака на цепочку поставок — это широкий термин, не имеющий общепринятого определения, ^{[7] [8]} в отношении кибербезопасности атака на цепочку поставок может включать физическое вмешательство в работу электроники (компьютеров, банкоматов, систем электропитания, сетей передачи данных на заводах) с целью установки необнаруживаемого вредоносного ПО с целью причинения вреда игроку, находящемуся дальше по цепочке поставок. ^{[2] [4] [9]} В качестве альтернативы этот термин может использоваться для описания атак, эксплуатирующих цепочку поставок программного обеспечения , в которых явно низкоуровневый или неважный программный компонент, используемый другим программным обеспечением, может использоваться для внедрения вредоносного кода в более крупное программное обеспечение, зависящее от этого компонента. ^[10]

В более общем смысле атака на цепочку поставок не обязательно связана с электроникой. В 2010 году, когда грабители получили доступ к складу поставок фармацевтического гиганта Eli Lilly , просверлив отверстие в крыше и загрузив рецептурные препараты на сумму 80 миллионов долларов в грузовик, их также можно было бы назвать атакой на цепочку поставок. ^{[11] [12]} Однако в этой статье будут обсуждаться кибератаки на физические сети поставок, которые полагаются на технологии; следовательно, атака на цепочку поставок — это метод, используемый киберпреступниками . [ ^13]

Структура атаки

Как правило, атаки на информационные системы в цепочке поставок начинаются с продвинутой постоянной угрозы (APT) ^[14] , которая определяет участника сети поставок с самой слабой кибербезопасностью, чтобы повлиять на целевую организацию. ^[13] Согласно исследованию, проведенному Verizon Enterprise, 92% инцидентов кибербезопасности, проанализированных в их обзоре, произошли среди малых фирм. ^[15]

APT часто могут получить доступ к конфиденциальной информации, физически вмешиваясь в процесс производства продукта. ^[16] В октябре 2008 года европейские правоохранительные органы «раскрыли сложнейшую схему мошенничества с кредитными картами», которая похищала данные счетов клиентов, используя неотслеживаемые устройства, вставленные в считыватели кредитных карт, произведенные в Китае, чтобы получить доступ к информации о счетах и ​​совершать повторные снятия средств со счета и покупки в Интернете, что составило, по оценкам, 100 миллионов долларов убытков. ^[17]

Риски

Угроза атаки на цепочку поставок представляет значительный риск для современных организаций, и атаки не ограничиваются исключительно сектором информационных технологий; атаки на цепочку поставок затрагивают нефтяную промышленность, крупных розничных торговцев, фармацевтический сектор и практически любую отрасль со сложной сетью поставок. ^{[2] [9]}

Форум по информационной безопасности объясняет, что риск, возникающий в результате атак на цепочку поставок, обусловлен обменом информацией с поставщиками. Он утверждает, что «обмен информацией с поставщиками необходим для функционирования цепочки поставок, однако он также создает риск... информация, скомпрометированная в цепочке поставок, может быть столь же разрушительной, как и информация, скомпрометированная внутри организации». ^[18]

В то время как Мухаммед Али Насир из Национального университета развивающихся наук связывает вышеупомянутый риск с более широкой тенденцией глобализации, заявляя: «…вследствие глобализации, децентрализации и аутсорсинга цепочек поставок число точек воздействия также увеличилось из-за большего числа вовлеченных субъектов, которые также разбросаны по всему миру… [а] кибератака на [а] цепочку поставок является наиболее разрушительным способом нанести ущерб многим связанным субъектам одновременно из-за ее волнового эффекта». ^[19]

Плохо управляемые системы управления цепочками поставок могут стать источником значительной опасности для кибератак, которые могут привести к потере конфиденциальной информации о клиентах, нарушению производственного процесса и могут нанести ущерб репутации компании. ^[20]

Примеры

Атаки компилятора

Wired сообщил о связующей нить в недавних атаках на цепочку поставок программного обеспечения по состоянию на 3 мая 2019 года. ^[21] Предполагается, что они распространились через зараженные, пиратские, популярные компиляторы, размещенные на пиратских веб-сайтах. То есть, поврежденные версии XCode от Apple и Microsoft Visual Studio. ^[22] (Теоретически, чередующиеся компиляторы ^[23] могут обнаружить атаки компилятора, когда компилятор является доверенным корнем.)

Цель

Изображение стационарного магазина Target, где в результате атаки на цепочку поставок была раскрыта финансовая информация 40 миллионов клиентов в период с 27 ноября по 15 декабря 2013 года.

В конце 2013 года американская розничная сеть Target пострадала от одной из крупнейших утечек данных в истории розничной торговли. ^[24]

В период с 27 ноября по 15 декабря 2013 года американские стационарные магазины Target подверглись взлому данных. Около 40 миллионов кредитных и дебетовых карт клиентов стали уязвимы для мошенничества после того, как вредоносное ПО было внедрено в систему POS в более чем 1800 магазинах. ^[24] Утечка данных о клиентах Target оказала прямое влияние на прибыль компании, которая упала на 46 процентов в четвертом квартале 2013 года. ^[25]

За шесть месяцев до этого компания начала устанавливать систему кибербезопасности стоимостью 1,6 млн долларов. У Target была команда специалистов по безопасности, которые постоянно следили за ее компьютерами. Тем не менее, атака на цепочку поставок обошла эти меры безопасности. ^[26]

Предполагается, что киберпреступники проникли в систему стороннего поставщика, чтобы получить доступ к основной сети данных Target. ^[27] Хотя это официально не подтверждено, ^[28] сотрудники следствия подозревают, что хакеры впервые проникли в сеть Target 15 ноября 2013 года, используя учетные данные с паролем, украденные у Fazio Mechanical Services, поставщика систем отопления, вентиляции и кондиционирования воздуха из Пенсильвании . ^[29]

Девяносто исков было подано клиентами против Target за халатность и компенсационные убытки. Target потратила около $61 млн на устранение нарушения, согласно отчету за четвертый квартал для инвесторов. ^[30]

Stuxnet

Модель АЭС «Бушер» — в иранском павильоне на ЭКСПО-2010 в Шанхае

Stuxnet, который считается американо-израильским кибероружием , представляет собой вредоносный компьютерный червь . ^[31] Червь специально нацелен на системы, которые автоматизируют электромеханические процессы, используемые для управления оборудованием на заводских сборочных линиях или оборудованием для разделения ядерных материалов.

Говорят, что этот компьютерный червь был специально разработан для того, чтобы нанести ущерб потенциальным программам обогащения урана правительством Ирана ; Кевин Хоган, старший директор по реагированию на безопасность в Symantec , сообщил, что большинство зараженных червем Stuxnet систем находились в Исламской Республике Иран ^[32] , что привело к предположениям о том, что он мог быть преднамеренно нацелен на «высокоценную инфраструктуру» в стране ^[33], включая либо АЭС Бушер , либо АЭС Натанз. ^[34]

Stuxnet обычно внедряется в сеть поставок через зараженный USB-флеш-накопитель с лицами, имеющими физический доступ к системе. Затем червь перемещается по киберсети, сканируя программное обеспечение на компьютерах, управляющих программируемым логическим контроллером (ПЛК). Stuxnet внедряет зараженный руткит в ПЛК, изменяя коды и давая неожиданные команды ПЛК, при этом возвращая пользователям цикл обратной связи с нормальными рабочими значениями. ^[35]

Вредоносное ПО для банкоматов

В последние годы вредоносные программы, известные как Suceful, Plotus, Tyupkin и GreenDispenser, поражали банкоматы по всему миру, особенно в России и Украине. ^[36] GreenDispenser, в частности, дает злоумышленникам возможность подойти к зараженной системе банкомата и удалить его хранилище наличных. После установки GreenDispenser может отображать на банкомате сообщение «не работает», но злоумышленники с правильными учетными данными доступа могут опустошить хранилище наличных банкомата и удалить вредоносное ПО из системы, используя неотслеживаемый процесс удаления. ^[37]

Другие типы вредоносных программ обычно ведут себя аналогичным образом, захватывая данные магнитной полосы из памяти устройства и отдавая команду устройству снять наличные. Для атак требуется человек с внутренним доступом, например, техник банкомата или кто-либо другой с ключом к устройству, чтобы разместить вредоносное ПО на банкомате. ^[38]

Вредоносная программа Tyupkin, действующая в марте 2014 года на более чем 50 банкоматах в банковских учреждениях Восточной Европы, как полагают, также распространилась в то время на США, Индию и Китай. Вредоносная программа поражает банкоматы крупных производителей, работающие под управлением 32-разрядных операционных систем Microsoft Windows. Вредоносная программа отображает информацию о том, сколько денег доступно в каждом банкомате, и позволяет злоумышленнику снять 40 купюр из выбранной кассеты каждого банкомата. ^[39]

NotPetya / MEDoc

Весной 2017 года основной код финансового пакета «MEDoc», используемого на Украине, был заражен вирусом NotPetya и впоследствии загружен подписчиками. Взлом был осуществлен на системе провайдера: либо взлом самого кода у провайдера, либо взлом, перенаправляющий запросы на загрузку на другой сервер. В то время в прессе сообщалось, что это была атака на цепочку поставок, но вектор атаки не уточняется. ^[40]

NotPetya классифицируется как атака с целью вымогательства , поскольку она шифровала жесткие диски зараженных компьютеров, а затем требовала оплату биткойнами для извлечения украденных файлов. ^[41] Атака затронула множество отраслей по всей Украине, включая банки, аэропорт и системы обнаружения радиации в Чернобыле . Вредоносная программа также затронула более 2000 компаний в разных странах, включая Россию, Индию и США. ^[42]

Распространение Notpetya было облегчено использованием того же «метода эксплойта», что и эксплойт Агентства национальной безопасности США под названием EternalBlue , который был тем же методом, который использовался в кибератаке WannaCry в мае 2017 года. Этот метод предоставил NotPetya возможность распространяться через блок сообщений сервера Windows (SMB). Вредоносная программа также использовала инструмент PsExec от Microsoft, а также инструмент Windows Management Instrumentation (WMI). В связи с этими эксплойтами, если вредоносная программа затронула одно устройство в сети, она могла затем легко и быстро распространиться на любые другие устройства в той же сети. ^[42]

Полиция заявила, что MEDoc в конечном итоге может быть привлечена к уголовной ответственности из-за своей халатности в подтверждении неоднократных сообщений относительно состояния своей инфраструктуры кибербезопасности . ^[43]

Британские авиалинии

С 21 августа по 5 сентября 2018 года British Airways подверглась атаке . Раздел платежей на сайте British Airways содержал код, который собирал данные о платежах клиентов. Внедренный код был написан специально для перенаправления информации о кредитных картах на домен baways.com, который можно было ошибочно принять за принадлежащий British Airways. ^[44]

Magecart — это организация, которая, как полагают, стоит за атакой. Magecart — это название, приписываемое нескольким хакерским группам, которые используют методы скимминга для кражи информации о клиентах через онлайн-платежи. ^[45] В результате атаки были скомпрометированы персональные и финансовые данные приблизительно 380 000 клиентов. Позднее в октябре 2018 года British Airways сообщила, что еще 185 000 клиентов могли потерять свою персональную информацию. ^[46]

SolarWinds

Кибератака на глобальную цепочку поставок 2020 года , как полагают, произошла в результате атаки на цепочку поставок, нацеленной на компанию ИТ- инфраструктуры SolarWinds , среди клиентов которой много федеральных учреждений, ^{[47] [48]} включая корпоративные компьютеры Национального управления по ядерной безопасности (NNSA). ^[49] Министерство внутренней безопасности выпустило чрезвычайную директиву 21-01 «Устранение компрометации кода SolarWinds Orion», которая включает в себя отключение любой затронутой ОС хоста Windows от ее корпоративного домена и перестройку этих хостов Windows с использованием доверенных источников. ^[50] Пораженные хосты операционной системы Windows были теми, которые отслеживались программным обеспечением для мониторинга SolarWinds Orion. ^[50] С тех пор NNSA Министерства энергетики отключило взломанные хосты Windows. ^[51]

Помимо федерального правительства США, уязвимы 18 000 из 33 000 клиентов SolarWinds, которые используют платформу обновления программного обеспечения SolarWinds Orion. Orion был скомпрометирован в марте и июне 2020 года, прежде чем кибервзлом был обнаружен FireEye в декабре 2020 года. Например, Microsoft сама стала жертвой взлома программного обеспечения обновления. ^{[52] [53]} Microsoft теперь работает ^{[ нужно обновление? ]} с FireEye, чтобы сдержать продолжающуюся кибератаку, содержащуюся в программном обеспечении цепочки поставок, используемом «государственными, консалтинговыми, технологическими, телекоммуникационными и добывающими организациями в Северной Америке, Европе, Азии и на Ближнем Востоке» — FireEye. ^[52]

Volexity, фирма по кибербезопасности, реконструировала последовательность атаки на неназванный американский аналитический центр: во-первых, злоумышленник использовал уязвимость удаленного выполнения кода на локальном сервере Microsoft Exchange; ^[54] после того, как эта уязвимость была устранена, злоумышленник использовал дыры безопасности в платформе SolarWinds Orion, которые были обнаружены в декабре 2020 года; в-третьих, двухфакторный прокси-сервер аутентификации Duo аналитического центра был использован для получения доступа к взлому инфраструктуры аналитического центра в очередной раз. ^{[54] [55]} Основываясь на реконструкции Volexity, Breaking Defense опубликовала упрощенную цепочку убийств , объясняющую атаку на Exchange Server примерно на 30 000 клиентов по всему миру. ^{[56] [57]} В июле 2021 года SolarWinds объявила, что подверглась очередной атаке. ^[58]

Microsoft Exchange Сервер

В феврале 2021 года Microsoft определила, что злоумышленники загрузили несколько файлов «(подмножества служб, безопасности, идентификации)» каждый из ^[59]

• «небольшое подмножество компонентов Azure»
• «небольшое подмножество компонентов Intune»
• «небольшое подмножество компонентов Exchange»

Ни один из репозиториев Microsoft не содержал учетных данных для производства. ^[59] Репозитории были защищены в декабре, и эти атаки прекратились в январе. ^[59] Однако в марте 2021 года более 20 000 организаций США были скомпрометированы через черный ход, который был установлен с помощью уязвимостей в Exchange Server. ^[60] Пострадавшие организации используют собственную электронную почту (локальную, а не облачную), например, кредитные союзы, городские власти и малые предприятия. Уязвимости были исправлены 2 марта 2021 года, но к 5 марта 2021 года только 10% скомпрометированных организаций внедрили исправление; черный ход остается открытым. ^[61] Чиновники США пытаются уведомить пострадавшие организации, которые меньше организаций, пострадавших в декабре 2020 года. ^[62]

Microsoft обновила свой инструмент «Индикаторы компрометации» и выпустила экстренные меры по смягчению последствий уязвимостей Exchange Server. ^[56] По состоянию на март 2021 года атаки на SolarWinds и программное обеспечение Microsoft в настоящее время считаются независимыми. ^[56] Инструмент «Индикаторы компрометации» позволяет клиентам сканировать файлы журналов Exchange Server на предмет компрометации. ^{[56] [63] [64]} По меньшей мере 10 атакующих групп используют уязвимости Exchange Server. ^{[65] [66] [1]} Веб-оболочки могут оставаться на исправленном сервере; это по-прежнему позволяет проводить кибератаки на основе затронутых серверов. ^[67] По данным Check Point Research, по состоянию на 12 марта 2021 года попытки эксплойтов удваиваются каждые несколько часов, ^[68] некоторые из них — от имени самих исследователей безопасности. ^[69]

К 14 апреля 2021 года ФБР завершило тайную кибероперацию по удалению веб-оболочек с пораженных серверов и проинформировало владельцев серверов о том, что было сделано. ^[70]

В мае 2021 года Microsoft выявила 3000 вредоносных писем в 150 организаций в 24 странах, которые были отправлены группой, которую Microsoft обозначила как «Nobelium». Многие из этих писем были заблокированы до доставки. «Nobelium» получила доступ к «учетной записи email-маркетинга Constant Contact, используемой Агентством США по международному развитию ( USAID )». ^[71] Исследователи безопасности утверждают, что «Nobelium» создает фишинговые электронные письма, на которые нажимают ничего не подозревающие пользователи; ссылки затем направляют установку вредоносного кода «Nobelium» для заражения систем пользователей, делая их объектами выкупа, шпионажа, дезинформации и т. д. ^[72] Правительство США определило, что «Nobelium» исходит от Федеральной службы безопасности России. ^[73] Ожидается, что к июлю 2021 года правительство США назовет инициатора атак на Exchange Server: ^[74] «Министерство государственной безопасности Китая использует хакеров, работающих по уголовным контрактам». ^{[75] [76]}

В сентябре 2021 года сотрудники Комиссии по ценным бумагам и биржам (SEC) потребовали, чтобы все компании, загрузившие какие-либо скомпрометированные обновления SolarWinds, добровольно передали данные в SEC, если они установили скомпрометированные обновления на своих серверах. ^[77]

В июле 2022 года было обнаружено, что SessionManager, вредоносный модуль, размещенный в IIS (устанавливается по умолчанию на серверах Exchange), заражает серверы Exchange с марта 2021 года; SessionManager ищет в памяти пароли и загружает новые модули, чтобы захватить сервер. ^[78]

Золотой SAML

Mandiant, фирма по безопасности, показала, что спонсируемые государством группы, получив доступ к корпоративным облакам, теперь могут использовать язык разметки утверждений безопасности ( SAML ) для получения федеративной аутентификации в Active Directory и аналогичных службах по своему усмотрению. ^[a] Как только злоумышленники получают доступ, они могут проникнуть в любую информацию или активы, принадлежащие организации. Это связано с тем, что этот метод позволяет злоумышленникам выдавать себя за любого члена целевой организации. ^[80] Эти атаки постепенно становятся все более желанными для злоумышленников, поскольку компании и агентства продолжают перемещать активы в облачные службы. ^[81]

В 2020 году SolarWinds подверглась тому, что описывается как первая задокументированная атака Golden SAML, часто называемая « Solorigate ». Злоумышленник заразил исходный код обновления программного обеспечения бэкдор-кодом, выглядящим как легитимный. ^[82] Клиенты начали устанавливать неисправное обновление на свои системы, в конечном итоге затронув более 18 000 человек по всему миру. ^[80] Атака также затронула ряд правительственных учреждений США и учреждений частного сектора. ^[81]

Атаки программ-вымогателей

В мае 2021 года атака с использованием программ-вымогателей на трубопровод Colonial выявила уязвимость поставок бензина США на Восточном побережье. ^{[83] [84] [85] [86] [87]} 16 июня 2021 года президент Байден предупредил президента Путина, что 16 типов инфраструктуры должны быть недоступны для кибератак, иначе Россия пострадает в той же степени. ^[88] Комбинация атаки на цепочку поставок и атаки с использованием программ-вымогателей всплыла 2 июля 2021 года на тысячи компаний ^[88] в 17 странах. ^[89] Код программы-вымогателя REvil написан так, чтобы избегать атак на сайты, использующие русский язык. ^{[90] По данным} The New York Times , сайт REvil в настоящее время отключен . ^[58]

3CX атака

В марте 2023 года считалось, что приложение для голосового и видеочата 3CX Phone System подверглось атаке на цепочку поставок из-за обнаружения вредоносной активности в программном обеспечении. Приложение используется в самых разных отраслях промышленности от пищевой до автомобильной, и атака может затронуть сотни тысяч пользователей по всему миру. ^[91] Вредоносное ПО заражает хост-устройство в процессе установки, действуя как вирус-троян, распространяемый через установщики Mac OS и Microsoft . Они использовали похититель информации через вредоносную полезную нагрузку , которая подключалась к серверу C2, контролируемому субъектом угрозы. ^[92]

В атаке использовался бэкдор Gopuram, первоначально обнаруженный российской компанией по кибербезопасности «Лаборатория Касперского» в 2020 году. Использование этого бэкдора предполагает, что атака была осуществлена ​​северокорейской киберпреступной группировкой, известной как Lazarus, из-за использования ими этого же бэкдора в атаке 2020 года на южноазиатскую криптовалютную компанию. ^[92] Бэкдор Gopuram использовался и в других прошлых атаках на криптовалютные агентства, на которые, как известно, нацелился Lazarus. ^[91]

Бэкдор XZ Utils

В марте 2024 года был обнаружен бэкдор в xz/liblzma в XZ Utils , ^[93] с вредоносным кодом, известным как версии 5.6.0 и 5.6.1. Хотя эксплойт оставался бездействующим, если не использовался определенный сторонний патч сервера SSH, при правильных обстоятельствах это вмешательство потенциально могло позволить злоумышленнику взломать аутентификацию sshd и получить несанкционированный доступ ко всей системе удаленно. ^[94]

Список затронутых дистрибутивов Linux включает Debian irregular , ^[95] Fedora Rawhide , ^[96] Kali Linux , ^[97] и OpenSUSE Tumbleweed . ^[98] Большинство дистрибутивов Linux, которые следовали модели обновления стабильного выпуска, не были затронуты, поскольку они содержали более старые версии xz. ^[99] Arch Linux выпустил рекомендацию для пользователей о необходимости немедленного обновления, хотя также отметил, что пакет OpenSSH Arch не включает в себя общий сторонний патч, необходимый для бэкдора. ^[100] FreeBSD не затронута этой атакой, поскольку все поддерживаемые выпуски FreeBSD включают версии xz, которые предшествуют затронутым выпускам, а атака нацелена на glibc Linux. ^[101]

Профилактика

12 мая 2021 года указ 14028 (Указ) «Улучшение кибербезопасности страны » поручил NIST и другим правительственным агентствам США усилить кибербезопасность Соединенных Штатов. ^[102] 11 июля 2021 года (60-й день графика Указа) NIST в консультации с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и Управлением по управлению и бюджету (OMB) представил «4i»: руководство для пользователей критически важного программного обеспечения, а также «4r»: минимальное тестирование безопасности и целостности цепочки поставок программного обеспечения поставщиками. ^[102]

• День 30: запрос вклада ^[103]
• День 45: определение «критического программного обеспечения» ^[104]
• День 60: Задача EO 4i, 4r: руководство пользователя и тестирование поставщика ^[102]
• День 180: Задача EO 4c: рекомендации по повышению безопасности программного обеспечения цепочки поставок
• День 270: Задачи EO 4e, 4s, 4t, 4u: рекомендации по улучшению программного обеспечения цепочки поставок
• День 360: Задача EO 4d: рекомендации по обзору и обновлению процедур программного обеспечения цепочки поставок
• День 365: Задача EO 4w: сводная поддержка пилота

Правительство

Всеобъемлющая национальная инициатива по кибербезопасности и Обзор политики киберпространства, принятые администрациями Буша и Обамы соответственно, направляют федеральное финансирование США на разработку многосторонних подходов к управлению рисками глобальной цепочки поставок. ^{[105] [106]} По словам Эдриана Дэвиса из Technology Innovation Management Review, защита организаций от атак на цепочки поставок начинается с создания киберустойчивых систем. ^[107] Устойчивость цепочки поставок , по словам эксперта по управлению рисками цепочки поставок Донала Уолтерса, — это «способность цепочки поставок справляться с неожиданными нарушениями», и одной из ее характеристик является признание в масштабах всей компании того, где цепочка поставок наиболее подвержена проникновению. Управление цепочкой поставок играет решающую роль в создании эффективной устойчивости цепочки поставок. ^[108]

В марте 2015 года в рамках коалиции консервативных и либеральных демократов правительства Министерство бизнеса Великобритании наметило новые меры по защите МСП от кибератак, включавшие меры по повышению устойчивости цепочки поставок. ^[109]

Правительство Великобритании разработало программу Cyber ​​Essentials Scheme, которая обучает компании передовым методам защиты своей цепочки поставок и общей кибербезопасности. ^{[110] [111]}

Финансовые учреждения

Depository Trust and Clearing Group, американская постторговая компания, в своей деятельности внедрила управление для управления уязвимостями по всей своей цепочке поставок и рассматривает ИТ-безопасность на протяжении всего жизненного цикла разработки; это включает в себя то, где было закодировано программное обеспечение и изготовлено оборудование. ^[112]

В отчете PwC за 2014 год под названием «Умные угрозы: создание киберустойчивого финансового учреждения» финансовая компания рекомендует следующий подход к смягчению последствий кибератак:

«Чтобы избежать потенциального ущерба для прибыли, репутации, бренда и интеллектуальной собственности финансового учреждения, руководящая группа должна взять на себя ответственность за киберриски. В частности, они должны сотрудничать заранее, чтобы понять, как учреждение будет защищаться от киберрисков и реагировать на них, и что необходимо для того, чтобы сделать свою организацию киберустойчивой. ^[113]

Фирмы по кибербезопасности

FireEye , американская компания по сетевой безопасности, которая предоставляет автоматизированную экспертизу угроз и динамическую защиту от вредоносного ПО от сложных киберугроз, таких как сложные постоянные угрозы и целевой фишинг, ^[114] рекомендует компаниям использовать определенные принципы для создания устойчивости в своей цепочке поставок, в том числе: ^[115]

• Небольшая база поставщиков: это позволяет фирме осуществлять более жесткий контроль над своими поставщиками.
• Строгий контроль поставщиков: введение строгих мер контроля над поставщиками с целью соблюдения списков утвержденных протоколов. Также проведение периодических проверок на местах расположения поставщиков и регулярное посещение объектов персоналом в деловых целях позволяет усилить контроль.
• Безопасность, встроенная в дизайн: функции безопасности, такие как контрольные цифры , должны быть встроены в программное обеспечение для обнаружения любого предыдущего несанкционированного доступа к коду. Итеративный процесс тестирования для получения кода, функционально защищенного и защищенного, является хорошим подходом. ^[116]

27 апреля 2015 года Сергей Ложкин, старший научный сотрудник по безопасности GReAT в «Лаборатории Касперского» , рассказал о важности управления рисками целевых атак и кампаний кибершпионажа. Во время конференции по кибербезопасности он заявил:

«Стратегии смягчения последствий сложных угроз должны включать политики безопасности и обучение, сетевую безопасность, комплексное системное администрирование и специализированные решения по безопасности, такие как... функции исправления программного обеспечения, контроль приложений, белый список и режим запрета по умолчанию». ^[117]

Смотрите также

• Постоянная угроза повышенной сложности
• Кибератака
• Ад зависимости
• Атака на водопой

Примечания

1. Шакед Райнер (12-11-2017) Golden SAML: недавно обнаруженная техника атаки подделывает аутентификацию в облачных приложениях, цитируется Mandiant ^[79]

Ссылки

1. Мария Котолов (4 февраля 2021 г.) Атаки на цепочки поставок показывают, почему следует опасаться сторонних поставщиков
2. "Next Generation Cyber ​​Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal". www.pipelineandgasjournal.com . Архивировано из оригинала 9 февраля 2015 г. Получено 27 октября 2015 г.
3. "Атаки на цепочки поставок". docs.microsoft.com . Получено 10 апреля 2022 г. .
4. "Новое вредоносное ПО атакует банкоматы и электронные билетные автоматы". SC Magazine UK . Получено 29 октября 2015 г.
5. "2019 Internet Security Threat Report Executive Summary". Broadcom . Получено 23 ноября 2021 г. .
6. "Определение цепочки поставок | Investopedia". Investopedia . Получено 4 ноября 2015 г. .
7. Цепочка поставок, кибербезопасность и геополитические проблемы представляют наибольшие риски, поскольку риск становится все более важным и профильным, говорят менеджеры по рискам на конференции Sword Active Risk. (28 июля 2015 г.). M2 Presswire Получено 4 ноября 2015 г.
8. Наполитано, Дж. (6 января 2011 г.). Как обеспечить безопасность глобальной цепочки поставок. Wall Street Journal Получено 4 ноября 2015 г.
9. Kuchler, Hannah (28 мая 2014 г.). «Кибератаки нацелены на компании здравоохранения и фармацевтики». Financial Times . ISSN  0307-1766 . Получено 27 октября 2015 г. .
10. Гудин, Дэн (24 июня 2024 г.). «Бэкдор проник в несколько плагинов WordPress в ходе продолжающейся атаки на цепочку поставок». Ars Technica . Получено 25 июня 2024 г.
11. "Кража наркотиков становится большой". Fortune . Получено 4 ноября 2015 г.
12. «Раскрытие кражи наркотиков Eli Lilly». www.securitymagazine.com . Получено 4 ноября 2015 г. .
13. CERT-UK (2015). "Риски кибербезопасности в цепочке поставок" (PDF) . Архивировано из оригинала (PDF) 18 февраля 2015 г. . Получено 27 октября 2015 г. .
14. БРЭД Д. УИЛЬЯМС (1 июля 2021 г.) США и Великобритания предупреждают о новом всемирном российском кибершпионаже Контекст для некоторых схем наименования угроз: APT, GRU, Fancy Bear, SVR и т. д.
15. "Отчет о расследовании утечек данных за 2014 год" (PDF) . Verizon Enterprise. 2014 . Получено 27 октября 2015 .
16. Модин, Остин (10 октября 2008 г.). «Организованная преступность вмешивается в работу европейских устройств для считывания карт». The Register . Получено 27 октября 2015 г.
17. Горман, Сиобхан. «Мошенническая сеть переправляет данные с карт в Пакистан». Wall Street Journal . ISSN  0099-9660 . Получено 27 октября 2015 г.
18. "Форма безопасности" (PDF) .
19. Насир, Мухаммед Али (июнь 2015 г.). «Потенциальные кибератаки против глобальной цепочки поставок нефти». Международная конференция по киберситуационной осведомленности, анализу и оценке данных 2015 г. (CyberSA) . стр. 1–7. CiteSeerX 10.1.1.695.1707 . doi :10.1109/CyberSA.2015.7166137. ISBN  978-0-9932-3380-7. S2CID  18999955. {{cite book}}: |journal=проигнорировано ( помощь )
20. Урчиуоли, Лука (апрель 2015 г.). «Киберустойчивость: стратегический подход к управлению цепочками поставок». Talent First Network . ProQuest  1676101578.
21. Гринберг, Энди (3 мая 2019 г.). «Таинственная хакерская группа занимается кражей цепочки поставок». Wired . ISSN  1059-1028 . Получено 16 июля 2019 г. .
22. Кокс, Джозеф (18 сентября 2015 г.). «Краткий обзор взлома: вредоносное ПО проникает в китайский магазин приложений iOS». Wired . ISSN  1059-1028 . Получено 16 июля 2019 г. .
23. «Полное противодействие доверию доверия посредством разнообразной двойной компиляции». dwheeler.com . Получено 16 июля 2019 г. .
24. "Target data leak: Why UK business should be careful". ComputerWeekly . Получено 27 октября 2015 г.
25. Харрис, Элизабет А. (26 февраля 2014 г.). «Утечка данных вредит прибыли Target». The New York Times . ISSN  0362-4331 . Получено 27 октября 2015 г.
26. «Пропущенные сигналы тревоги и 40 миллионов украденных номеров кредитных карт: как Target все упустила». Bloomberg.com . 17 марта 2014 г. Получено 30 октября 2015 г.
27. Кухлер, Ханна (20 октября 2014 г.). «Хакеры находят поставщиков — это простой способ атаковать компании». Financial Times . ISSN  0307-1766 . Получено 27 октября 2015 г. .
28. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 6 ноября 2015 года . Получено 27 октября 2015 года .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
29. "Target Hackers Broke in Via HVAC Company — Krebs on Security". krebsonsecurity.com . 9 февраля 2014 г. Получено 27 октября 2015 г.
30. Паркс, Майлз (19 марта 2015 г.). «Target предлагает компенсацию в размере 10 миллионов долларов в иске о нарушении данных». NPR.org . Получено 30 октября 2015 г.
31. «Подтверждено: США и Израиль создали Stuxnet, потеряли над ним контроль». Ars Technica . Июнь 2012. Получено 27 октября 2015 .
32. "Иран был главной целью червя SCADA". Computerworld . 23 июля 2010 г. Архивировано из оригинала 27 июля 2010 г. Получено 27 октября 2015 г.
33. репортер, Jonathan Fildes Technology; Новости, BBC (23 сентября 2010 г.). "Червь Stuxnet 'нацелился на дорогостоящие иранские активы'". BBC News . Получено 27 октября 2015 г. . {{cite news}}: |last2=имеет общее название ( помощь )
34. Филдс, Джонатан (23 сентября 2010 г.). «Червь Stuxnet „нацелился на дорогостоящие иранские активы“». BBC News. Получено 23 сентября 2010 г.
35. «Декларация кибервойны». VANITY FAIR. Апрель 2011.
36. "Вирус Тюпкина (вредоносное ПО) | Безопасность банкоматов | Определение вируса". www.kaspersky.com . Получено 4 ноября 2015 г.
37. «Знакомьтесь, GreenDispenser: новое поколение вредоносного ПО для банкоматов | Proofpoint». www.proofpoint.com . 22 сентября 2015 г. . Получено 30 октября 2015 г. .
38. "Новое вредоносное ПО для банкоматов захватывает PIN-коды и наличные — обновлено". WIRED . Получено 30 октября 2015 г.
39. "Тюпкин: манипулирование банкоматами с помощью вредоносного ПО - Securelist". securelist.com . 7 октября 2014 г. . Получено 19 мая 2020 г. .
40. Polityuk, Jack Stubbs (3 июля 2017 г.). «Семейная фирма в Украине заявила, что не несет ответственности за кибератаку». reuters.com . Получено 1 июня 2019 г.
41. "NotPetya (2017)". Международное киберправо: интерактивный инструментарий . 14 ноября 2022 г. Получено 2 мая 2023 г.
42. Brewster, Thomas. «Petya или NotPetya: почему последняя программа-вымогатель смертоноснее WannaCry». Forbes . Получено 2 мая 2023 г.
43. «Украинская софтверная компания столкнется с обвинениями в кибератаке, предполагает полиция». ABC News . 3 июля 2017 г. Получено 2 мая 2023 г.
44. "Кража данных клиентов". britishairways.com . Получено 1 июня 2019 г. .
45. "Что такое Magecart | Примеры атак и методы предотвращения | Imperva". Центр обучения . Получено 2 мая 2023 г.
46. Колесников, Олег; Харшвардхан, Парашар (6 ноября 2018 г.). "Исследование угроз Securonix: НАРУШЕНИЕ BRITISH AIRWAYS: ОБНАРУЖЕНИЕ АТАКИ MAGECART FORMGRABBING SUPPLY CHAIN" (PDF) . Securonix.com . Получено 2 мая 2023 г. .
47. Кристина Чжао (14 декабря 2020 г.). «Solar Winds, вероятно, взломанный Россией, служит Белому дому, Пентагону, НАСА». Newsweek . Получено 14 декабря 2020 г.
48. Сэнгер, Дэвид Э.; Перлрот, Николь; Шмитт, Эрик (15 декабря 2020 г.). «Масштаб российского взлома становится очевидным: атаковано несколько американских агентств». The New York Times .
49. Джонсон, Кевин; Снайдер, Майк (18 декабря 2020 г.). «Российская кибератака против США: эксперты опасаются, что худшее может быть еще впереди, поскольку Трамп хранит молчание». USA Today .
50. Министерство внутренней безопасности (13 декабря 2020 г.) Чрезвычайная директива 21-01, «Устранение компрометации кода SolarWinds Orion»
51. «Массовая кибератака выходит за пределы США, усиливая опасения». AFP. 18 декабря 2020 г. Получено 2 мая 2023 г. – через France 24.
52. Алекс Марквардт, Брайан Фанг и Закари Коэн, CNN (17 декабря 2020 г.) Microsoft выявила более 40 организаций, подвергшихся масштабной кибератаке
53. TC Sottek (31 декабря 2020 г.) Microsoft утверждает, что хакерам удалось увидеть часть ее исходного кода.
54. Ionut Ilascu (17 декабря 2020 г.) Хакеры национального государства взломали американский аналитический центр трижды подряд
55. Майкл Трантас (декабрь 2016 г.) Уязвимость в программном обеспечении прокси-сервера аутентификации Duo
56. Брэд Д. Уильямс (6 марта 2021 г.) Microsoft срочно вносит исправления, поскольку злоумышленники атакуют серверы Exchange по всему миру
57. Брэд Д. Уильямс (29 марта 2021 г.) SolarWinds: «Правда гораздо сложнее». Последующий ущерб правительству США от российской операции
58. The New York Times Дэвид Э. Сэнгер (14 июля 2021 г.) «Группа вымогателей отключается. Виновник пока не ясен». стр. A6
59. Дэн Гудин Ars Technica (18.02.2019) ПОСЛЕ ПОГИБЛИ — Microsoft заявляет, что хакеры SolarWinds украли исходный код для 3 продуктов
60. Брайан Барретт (6 марта 2021 г.) Потребуются годы, чтобы разобраться в шпионской деятельности Китая и России
61. The_Exchange_Team Microsoft (8 марта 2021 г.) Март 2021 г. Обновления безопасности Exchange Server для старых накопительных обновлений Exchange Server 10.03.2021 г. выпущены обновления для E2019 CU3. E2016 CU12, 13 и 17. E2013 CU21 и 22. 08.03.2021 г. выпущены обновления для E2019 CU4, 5 и 6. E2016 CU14, 15 и 16.
62. Джозеф Менн, Рафаэль Саттер, Тревор Ханникатт (5 марта 2021 г.) Более 20 000 организаций США были скомпрометированы из-за уязвимости Microsoft
63. Лили Хей Ньюман (10 марта 2021 г.) Сезон взлома серверов Microsoft Exchange открыт
64. (9 марта 2021 г.) Не могу поверить, что мне приходится говорить это (снова)...
65. Reuters (март 2021 г.) По меньшей мере 10 хакерских групп используют уязвимость программного обеспечения Microsoft - исследователи
66. Аллана Ахар (12 марта 2021 г.) Google обвинила Microsoft в несправедливом нападении на технологического гиганта с целью отвлечь внимание от масштабного взлома Exchange Отвлекающие факторы конкурентов
67. Дэн Гудин (23 марта 2021 г.) Операторы программ-вымогателей нападают на уже взломанные серверы Exchange
68. Чарли Осборн (12 марта 2021 г.) Количество взломов Microsoft Exchange Server «удваивается» каждые два часа
69. Shadowserver (28 марта 2021 г.) Злоумышленники взломали 21 000 серверов Microsoft Exchange, установили вредоносное ПО, указывающее на Брайана Кребса (krebsonsecurity.com) вредоносный код, подделывающий Кребса
70. Брэд Д. Уильямс (13 апреля 2021 г.) Раскрыто: секретная кибероперация ФБР по очистке серверов Exchange
71. Джилл Дисис и Захид Махмуд (28 мая 2021 г.) Microsoft заявляет, что хакеры SolarWinds снова атаковали США и другие страны
    • Фил Хелсель, Эзра Каплан и Кевин Коллиер (28 мая 2021 г.) Хакеры SolarWinds снова взялись за дело, нацелившись на 150 организаций, предупреждает Microsoft
    • Патрик Ривелл (28 мая 2021 г.) Кремль отвергает новые обвинения Microsoft в совершении взлома электронной почты Госдепартамента: в четверг Microsoft заявила, что взлом затронул десятки организаций.
72. Лили Хей Ньюман (30 мая 2021 г.) Хакеры SolarWinds не вернулись — они никуда не делись
73. Дэн Гудин (26 июня 2021 г.) Хакеры SolarWinds взломали новых жертв, включая агента службы поддержки Microsoft
74. Брэд Д. Уильямс (2 июля 2021 г.) Китай, скорее всего, скоро будет разоблачен за взломы бирж
75. ЭРИК ТАКЕР (19 июля 2021 г.) Взлом электронной почты Microsoft Exchange был совершен Китаем, заявляют США
76. Брэд Д. Уильямс (22 июля 2021 г.) США ведут долгую игру, чтобы оказать давление на Китай в кибероперациях: эксперты
77. Кристофер Бинг и Крис Прентис, Джозеф Менн (10 сентября 2021 г.) Широкомасштабный зонд SolarWinds вызывает страх в корпоративной Америке (Reuters.com)
78. Дэн Гудин (30 июня 2022 г.) Серверы Microsoft Exchange по всему миру подверглись атаке из-за нового скрытого бэкдора
79. Дэн Гудин (6 декабря 2021 г.) У хакеров SolarWinds есть целый мешок новых трюков для массовых атак с целью взлома
80. "Golden SAML Revisited: The Solorigate Connection". www.cyberark.com . Получено 2 мая 2023 г. .
81. "Обнаружение и охота за атакой Golden SAML". blog.sygnia.co . 21 июля 2021 г. . Получено 2 мая 2023 г. .
82. Goud, Naveen (7 января 2021 г.). «Что такое Solorigate». Cybersecurity Insiders . Получено 2 мая 2023 г.
83. Reuters (8 мая 2021 г.) Кибератака остановила работу главной топливной сети США
84. BBC (10 мая 2021 г.) США изо всех сил пытаются сохранить поток топлива после кибератаки на трубопровод. Подозреваются российские киберпреступники
85. Дастин Фольц (10 мая 2021 г.) США обвиняют преступную группировку во взломе колониального трубопровода Darkside
86. Associated Press (10 мая 2021 г.) США задействуют чрезвычайные полномочия после того, как кибератака перекрыла важный топливный трубопровод
87. Брэд Д. Уильямс (27 мая 2021 г.) Приказ Министерства внутренней безопасности о кибератаках сигнализирует о переходе к «обязательным мерам»
88. Уильям Тертон (3 июля 2021 г.) Массированная атака с использованием программ-вымогателей может затронуть тысячи жертв°
89. AP (5 июля 2021 г.) Крупнейшая в мире атака с использованием программ-вымогателей затронула «тысячи» пользователей в 17 странах
90. NBC news (7 июля 2021 г.) Код в огромной атаке с использованием вируса-вымогателя был написан, чтобы обойти компьютеры, использующие русский язык, говорится в новом отчете REvil. Darkside — это вирус-вымогатель, атакующий трубопровод Colonial
91. Paganini, Pierluigi (4 апреля 2023 г.). «Атака на цепочку поставок 3CX позволила атаковать криптовалютные компании». Security Affairs . Получено 2 мая 2023 г.
92. "Не просто похититель информации: бэкдор Gopuram, развернутый через атаку на цепочку поставок 3CX". securelist.com . 3 апреля 2023 г. Получено 2 мая 2023 г.
93. Фройнд, Андрес (29 марта 2024 г.). «бэкдор в upstream xz/liblzma, ведущий к компрометации сервера ssh». Почтовая рассылка oss-security.
94. «Срочное предупреждение безопасности для пользователей Fedora 41 и Rawhide». www.redhat.com . Получено 29 марта 2024 г. .
95. "CVE-2024-3094". security-tracker.debian.org . Получено 30 марта 2024 г. .
96. «Срочное предупреждение безопасности для пользователей Fedora 41 и Fedora Rawhide». www.redhat.com . Получено 30 марта 2024 г. .
97. "Все о бэкдоре xz-utils | Блог Kali Linux". Kali Linux . 29 марта 2024 г. . Получено 30 марта 2024 г. .
98. "openSUSE устраняет атаку на цепочку поставок против библиотеки сжатия xz". Новости openSUSE . 29 марта 2024 г. Получено 30 марта 2024 г.
99. Джеймс, Сэм. "Ситуация с бэкдором xz-utils". Gist .
100. "Arch Linux - Новости: Пакет xz был замаскирован". archlinux.org . Получено 30 марта 2024 г. .
101. "Раскрыт бэкдор в релизах xz - FreeBSD не затронута" . Получено 30 марта 2024 г. .
102. (11 июля 2021 г.) NIST представляет две ключевые публикации для повышения безопасности цепочки поставок программного обеспечения, предусмотренные указом президента
103. Семинар NIST (2–3 июня 2021 г.) и призыв к представлению аналитических докладов по стандартам и рекомендациям по повышению безопасности цепочки поставок программного обеспечения. 1400 участников, 150 аналитических докладов.
104. NIST (25 июня 2021 г.) Определение критического программного обеспечения в соответствии с указом (EO) 14028 другой источник NIST: ИСПОЛНИТЕЛЬНЫЙ УКАЗ 14028, УЛУЧШЕНИЕ КИБЕРБЕЗОПАСНОСТИ НАЦИИ, задача 4g (26 июня 2021 г.) Определение критического программного обеспечения
105. "Обзор политики киберпространства" (PDF) . Whitehouse.gov. Архивировано из оригинала (PDF) 30 мая 2009 г. . Получено 29 октября 2015 г. .
106. "Комплексная национальная инициатива по кибербезопасности". Белый дом . Получено 29 октября 2015 г.
107. Дэвис, А. (2015). Создание киберустойчивости в цепочках поставок. Обзор управления инновационными технологиями, 5 (4), 19-27. Получено 29-10-2015
108. Уотерс, Д. 2011. Управление рисками в цепочке поставок (2-е изд.). Лондон: Kogan Page. Доступ 29-10-2015
109. "Страхование кибербезопасности: новые шаги по превращению Великобритании в мировой центр - Пресс-релизы - GOV.UK". www.gov.uk . Получено 30 октября 2015 г.
110. "Cyber ​​Essentials - ОФИЦИАЛЬНЫЙ САЙТ". www.cyberstreetwise.com . Получено 30 октября 2015 г. .
111. «Атаки на цепочку поставок: 6 шагов по защите цепочки поставок программного обеспечения». GitGuardian . 5 ноября 2021 г. . Получено 5 сентября 2023 г. .
112. Hoover, JN (2009). Защитите киберцепочку поставок. InformationWeek, (1247), 45-46,48,50,52. Получено от 29.10.2015
113. "Threat smart: Building a cyber resilient financial organization" (PDF) . FS Viewpoint . PwC. Октябрь 2014 . Получено 4 июня 2020 .
114. "Advanced Cyber ​​Security - Stop Cyber ​​Attacks | FireEye". FireEye . Получено 30 октября 2015 г. .
115. Сюань, Чо До; Дуонг, Дук; Дау, Хоанг Сюань (21 июня 2021 г.). «Многослойный подход к расширенному постоянному обнаружению угроз с использованием машинного обучения на основе сетевого трафика». Журнал интеллектуальных и нечетких систем . 40 (6): 11311–11329. doi : 10.3233/jifs-202465. ISSN  1064-1246. S2CID  235815012.
116. "ЛУЧШИЕ ПРАКТИКИ УПРАВЛЕНИЯ РИСКАМИ КИБЕРЦЕПОЧКИ ПОСТАВОК" (PDF) . Получено 30 октября 2015 г.
117. «Лаборатория Касперского и EY предупреждают организации о необходимости подготовиться к киберугрозам | Лаборатория Касперского». www.kaspersky.com . Получено 30 октября 2015 г.

Внешние ссылки

• Новое вредоносное ПО для банкоматов захватывает PIN-коды и наличные — обновлено – Wired