ENISA предложило организациям проверять все обновления ПО перед установкой
03/08/21
По данным Европейского агентства по сетевой и информационной безопасности (European Union Agency for Cybersecurity, ENISA), половина всех атак на цепочку поставок были осуществлены «известными APT-группами», поэтому необходимо стимулировать «новые методы защиты» от них.
Из 24 кибератак на цепочки поставок, изученных ENISA с января 2020 года (в том числе атаки на Accellion, SolarWinds, Kaseya, Fujitsu ProjectWeb, Bignox Noxplayer Android emulator), 12 были осуществлены APT-группами, а 10 не были отнесены ни к кому.
Исследование ENISA было проведено в качестве учебного пособия по атакам на цепочку поставок, которые обычно заключаются в атаках на B2B-поставщиков программного обеспечения, имеющих обширную клиентскую базу. Как только поставщик скомпрометирован, злоумышленники продвигаются в сети клиентов, как правило, с целью кражи данных и развертывания вымогательского ПО.
ENISA раскритиковало поставщиков за то, что они либо не знали, либо не раскрывали публично, как они были скомпрометированы.
Великобритания использует Brexit для снижения требований по предоставлению информации об инцидентах, предъявляемых законами Евросоюз, и, возможно, ЕС последует ее примеру.
В связи со всем вышесказанным ENISA предложило собственную уникальную таксономию для анализа атак на цепочки поставок. По мнению агентства, фреймворки MITRE ATT&CK и Lockheed Martin Cyber Kill Chain являются «слишком общими».
«Примерно в 66% зарегистрированных инцидентов для того, чтобы скомпрометировать целевых клиентов, злоумышленники атаковали код поставщиков ПО. Это показывает, что организациям следует сосредоточить свои усилия на проверке стороннего кода и программного обеспечения перед их использованием, чтобы гарантировать, что они не были подделаны или подвергнуты манипуляциям», - считает ENISA.
Хотя данный агентством совет на первый взгляд кажется весьма разумным, следовать ему нет так легко.
Самой громкой атакой на цепочку поставок за последнее время стала компрометация ПО SolarWinds Orion. Злоумышленники взломали системы поставщика SolarWinds с целью внедрения бэкдора в обновление ПО для управления и мониторинга сети Orion. Конечная цель состояла в том, чтобы клиенты SolarWinds установили вредоносное обновление, и злоумышленники в итоге могли получить доступ к сетям интересующих их жертв.
Вредоносное обновление установили 18 тыс. клиентов SolarWinds. Обновление было установлено через официальный канал, а бэкдор был скрыт в подписанном файле .dll, поэтому никто ничего не заподозрил. Нет практически никаких шансов, что обычная организация, являющаяся клиентом поставщика ПО, каким-либо образом могла догадаться о наличии бэкдора в обновлении.
Тем не менее, невозможно обязать каждую организацию разработать дизассемблеры, редакторы исходного кода и инструменты анализа сети и памяти, а также иметь персонал, способный их использовать для проверки каждого обновления, будь то открытый или закрытый исходный код.