Все по-сложните бизнес-партньорства и нарастващата зависимост от софтуерни компоненти от трети страни се оказват причина за постоянно напрежение в сферата на киберсигурността. По-голямата част (71%) от организациите са преживели поне един съществен инцидент в сферата на ИТ сигурността заради участието на „трета страна”.
Участието на трети страни в пробивите в ИТ сигурността се е удвоило през последните години. То е нараснало от 15% до близо 30%, според данни от доклад за пробивите от SecurityScorecard. В него 5% от главните експерти по ИТ сигурността са съобщили за наличието на 10 или повече подобни инцидента в рамките на последната година.
Разрастваща се екосистема
Предприятията работят с обширни мрежи от доставчици и партньори, в това число и доставчици на цифрови технологии и услуги. Тази разпростираща се екосистема от взаимосвързани бизнеси значително увеличава повърхността за атака.
Киберпрестъпниците, създателите на рансъмуер и всички нападатели знаят добре, че могат да използват въпросната мрежа, която носи „пролуки“.
„Атакуващите рядко влизат директно през входната врата“, казва Василиос Мурцинос, анализатор заплахи в консултантската фирма за киберсигурност Quorum Cyber. „Те се прицелват в доставчиците, SaaS платформите и доставчиците на услуги, от които всички зависим“.
Последните атаки, включващи Salesforce, Workday и Colt Technology, показват как „едно слабо звено във веригата за доставки може да причини ефект на домино“, добавя Мурцинос.
„Организациите често позволяват онлайн достъп на трети страни, без да прилагат същия контрол, който използват със собствения си вътрешен софтуер и приложения,” посочва Грег Съливан, основател на фирмата за услуги по киберсигурност CIOSO Global и бивш CIO в Carnival. “Тази небрежност създава бели петна, които противниците често експлоатират“.
SaaS платформите представляват „зависимост от трета страна – и директен риск за веригата за доставки“, съгласен е Ариел Парнес, бивш полковник от израелската IDF 8200 Cyber Unit и съосновател на Mitiga, доставчик на услуги за реагиране при инциденти.
„Последните кампании срещу клиентите на Salesforce и пробивът във Farmers Insurance показват как тези атаки се разпространяват в различни индустрии“, казва Парнес. „Сега нападателите прескачат “входната врата” и експлоатират надеждни облачни системи и SaaS взаимоотношения“.
Заплахи за веригата за доставки на софтуер
Веригата за доставки на софтуер е силно зависима от програмен код, разработен от трети, външни разработчици – явление, което вероятно само ще се увеличава с появата на изкуствения интелект.
Но колкото по-сложни са тези вериги на създаване на софтуера, толкова повече те представляват нарастваща заплаха, казва Брайън Фокс, съосновател и главен технически директор на доставчика на софтуер за сигурност с отворен код Sonatype.
„Твърде много организации нямат представа на какви пакети с отворен код, транзитивни зависимости, модели на изкуствен интелект или библиотеки, поддържани от общността, разчитат – камо ли кой ги поддържа или дали са сигурни“, казва Фокс. Затова, според него, е налице нарастване на атаките чрез веригите за доставки на софтуер.
Атакуващите внедряват злонамерен код в публични хранилища – често прикрит като полезни пакети. Това е отлично работещо средство за компрометиране на системи, кражба на данни или осигуряване на достъп през задни вратички.
„Атакуващите усъвършенстват зловредния софтуер, фокусиран върху извличане на данни, за да събират тайни и идентификационни данни. Това им позволява атаки надолу по веригата, например пробиви във веригата за доставки или превземане на облачни акаунти“, предупреждава Фокс.
Липсата на видимост усложнява нарастващия проблем, според Ник Джоунс, ръководител на изследванията в консултантската фирма за киберсигурност Reversec. Според него, атакуващите са се изхитрили да компрометират проекти с отворен код, вмъквайки злонамерен код в пакетите, използвани надолу по веригата на разработване.
Ненаучени уроци
Слабостите по веригите за доставки на софтуер бяха използвани при нашумялата хакерска атака срещу SolarWinds през 2020 г., но пет години по-късно същият проблем продължава да измъчва индустрията със същата, че даже и с по-голяма сила. След като самият процес на разработка на софтуер бъде компрометиран, всеки клиент надолу по веригата “наследява” риска.
Най-добрата защита е да добиете ясна представа за цялата си верига за доставки на софтуер – нейните активи, инструменти, пътища и контроли – и след това да работите, за да гарантирате, че са налице правилните предпазни мерки, според Джо Никастро, главен технически директор в компанията за сигурност на приложенията Legit Security.
Списъците на софтуерните компоненти (SBOM) позволяват на дадена организация да разбере какво всъщност работи „под капака“ на софтуера, с който борави, чак до отделните библиотеки и пакети.
„[SBOM] се налагат от множество индустриални организации, включително CISA, и са изискване съгласно Закона на ЕС за устойчивост на киберсигурността (CRA), но всеки доставчик на софтуер трябва да създава свои собствени SBOM за своите продукти и затова досега индустрията е бавна“, казва Джоунс от Reversec.
Липса на видимост
Малко организации имат цялостна видимост върху цялата си верига за доставки, още по-малко върху възможността да наблюдават киберхигиената на всеки доставчик и неговите партньори надолу по веригата.
SecurityScorecard установи, че само 21% от анкетираните могат да потвърдят, че поне половината от тяхната верига за доставки е обхваната от програма за киберсигурност. Само четвърт (26%) от организациите включват реагиране на инциденти в своите програми за киберсигурност на веригата за доставки.
„Пробивите продължават, защото управлението на риска при трети страни остава до голяма степен едно търсене на пасивно, фокусирано върху оценки и контролни списъци за съответствие, а не върху действия“, казва Райън Шерстобитоф, главен служител по разузнаване на заплахите в SecurityScorecard.
