Атака на цепочку поставок - Supply chain attack

А атака цепочки поставок это кибератака который стремится нанести ущерб организации, нацеливаясь на менее безопасные элементы в сети поставок. Атака на цепочку поставок может произойти в любой отрасли, будь то финансовый сектор, нефтяная промышленность или государственный сектор.[1] Киберпреступники обычно вмешиваются в процесс производства продукта, устанавливая руткит или аппаратные шпионские компоненты.[2] В отчете об угрозах безопасности в Интернете, разработанном Symantec, говорится, что атаки на цепочки поставок по-прежнему являются характерной чертой ландшафта угроз, и в 2018 году их количество увеличилось на 78 процентов.

Недавнее нарушение безопасности Target, вредоносное ПО для банкоматов в Восточной Европе, а также компьютерный червь Stuxnet являются примерами атак на цепочку поставок.

Эксперты по управлению цепочками поставок рекомендуют строго контролировать сеть поставок учреждения, чтобы предотвратить потенциальный ущерб от киберпреступников.[3]

Обзор

Базовая схема сети цепочки поставок, которая показывает, как товары перемещаются от стадии сырья к приобретению конечным потребителем.

Цепочка поставок - это система действий, связанных с обработкой, распределением, производством и переработкой товаров с целью передачи ресурсов от продавца в руки конечного потребителя. Цепочка поставок - это сложная сеть взаимосвязанных игроков, управляемая спрос и предложение.[4]

Хотя атака на цепочку поставок - это широкий термин без общепринятого определения,[5][6] Что касается кибербезопасности, атака на цепочку поставок включает в себя физическое вмешательство в электронику (компьютеры, банкоматы, системы питания, заводские сети передачи данных) с целью установки необнаруживаемого вредоносного ПО с целью причинения вреда игроку, находящемуся на более низком уровне сети цепочки поставок.[1][2][7]

В более общем смысле атака на цепочку поставок не обязательно связана с электроникой. В 2010 году, когда грабители получили доступ к фармацевтическому гиганту Эли Лилли склад снабжения, просверлив отверстие в крыше и погрузив в грузовик рецептурных лекарств на сумму 80 миллионов долларов, можно было бы также сказать, что они совершили атаку на цепочку поставок.[8][9] Однако в этой статье будут обсуждаться кибератаки на физические сети снабжения, основанные на технологиях; следовательно, атака на цепочку поставок - это метод, используемый киберпреступники.[10]

Структура атаки

Как правило, атаки цепочки поставок на информационные системы начинаются с продвинутая постоянная угроза который определяет члена сети поставок с самой слабой кибербезопасностью, чтобы повлиять на целевую организацию.[10] Согласно исследованию, проведенному Verizon Enterprise, 92% инцидентов кибербезопасности, проанализированных в их исследовании, произошли среди небольших компаний.[11]

APT часто могут получить доступ к конфиденциальной информации, физически вмешавшись в процесс производства продукта.[12] В октябре 2008 года европейские правоохранительные органы «раскрыли очень изощренную сеть мошенничества с кредитными картами», которая похищала реквизиты клиентов с помощью неотслеживаемых устройств, вставленных в считыватели кредитных карт, произведенных в Китае, для получения доступа к информации о счете и повторного снятия средств со счета и Покупки в Интернете, убытки которых оцениваются в 100 миллионов долларов.[13]

Риски

Угроза атаки на цепочку поставок представляет значительный риск для современных организаций, и атаки не ограничиваются исключительно сектором информационных технологий; Атаки на цепочки поставок затрагивают нефтяную промышленность, крупных предприятий розничной торговли, фармацевтический сектор и практически любую отрасль со сложной сетью поставок.[1][7]

Форум информационной безопасности объясняет, что риск, связанный с атаками на цепочку поставок, связан с обменом информацией с поставщиками, он заявляет, что «обмен информацией с поставщиками необходим для функционирования цепочки поставок, но он также создает риск ... информация, скомпрометированная в цепочка поставок может быть столь же разрушительной, как и скомпрометированная внутри организации ».[14]

В то время как Мухаммед Али Насир из Национального университета новых наук связывает вышеупомянутый риск с более широкой тенденцией глобализации, заявляя, что «… из-за глобализации, децентрализации и аутсорсинга цепочек поставок количество точек воздействия также увеличилось из-за большего числа вовлеченных организаций, которые тоже разбросаны по всему миру ... [а] кибератака на [] цепочку поставок - самый разрушительный способ нанести ущерб сразу нескольким связанным объектам из-за ее волнового эффекта ».[15]

Плохо управляемый система управления цепями поставок системы могут стать серьезной угрозой для кибератак, что может привести к потере конфиденциальной информации о клиентах, нарушению производственного процесса и может нанести ущерб репутации компании.[16]

Недавние примеры

Атаки компилятора

Wired сообщила о связующей нити в недавних атаках на цепочку поставок программного обеспечения по состоянию на 05.03.19.[17]

Предполагается, что они распространяются от зараженных, пиратских, популярных компиляторов, размещенных на пиратских сайтах. То есть поврежденные версии XCode Apple и Microsoft Visual Studio.[18]

(Теоретически чередующиеся компиляторы [19] может обнаруживать атаки компилятора, когда компилятор является доверительным корнем.)


Изображение обычного магазина Target, где в период с 27 ноября по 15 декабря 2013 года в результате атаки на цепочку поставок была украдена финансовая информация 40 миллионов клиентов.

Цель

Дальнейшая информация: История Target Corporation

В конце 2013 г. Цель Компания розничной торговли из США пострадала от одной из крупнейших утечек данных в истории розничной торговли.[20]

В период с 27 ноября по 15 декабря 2013 года в американских обычных магазинах Target произошел взлом данных. Около 40 миллионов кредитных и дебетовых карт клиентов стали уязвимыми для мошенничества после того, как вредоносное ПО было внедрено в POS система в более чем 1800 магазинах.[20] Нарушение данных о клиентах Target оказало прямое влияние на прибыль компании, которая упала на 46 процентов в четвертом квартале 2013 года.[21]

За шесть месяцев до этого компания начала установку системы кибербезопасности стоимостью 1,6 миллиона долларов. У Target была команда специалистов по безопасности, которые постоянно следили за ее компьютерами. Тем не менее, атака на цепочку поставок обошла эти меры безопасности.[22]

Считается, что киберпреступники проникли на стороннего поставщика, чтобы получить доступ к основной сети передачи данных Target.[23] Хотя официально не подтверждено,[24] Чиновники следствия подозревают, что хакеры впервые взломали сеть Target 15 ноября 2013 года, используя учетные данные с паролем, украденные у Fazio Mechanical Services, поставщика услуг в Пенсильвании. HVAC системы.[25]

Заказчики подали 90 исков против Target о невнимательности и возмещении ущерба. Согласно отчету для инвесторов за четвертый квартал, Target потратила около 61 миллиона долларов на устранение нарушений.[26]

Макет АЭС Бушер - в иранском павильоне ЭКСПО 2010 Шанхай

Stuxnet

Основная статья: Stuxnet

Считается американо-израильским кибероружие, Stuxnet - это вредоносный компьютерный червь.[27] Червь специально нацелен на системы, автоматизирующие электромеханические процессы, используемые для управления оборудованием на заводских сборочных линиях или оборудованием для разделения ядерных материалов.

Считается, что компьютерный червь был специально разработан для того, чтобы обогащение урана программы Правительство Ирана; Кевин Хоган, старший директор службы безопасности Symantec, сообщил, что большинство систем, зараженных червем Stuxnet, находились в Исламской Республике Иран,[28] что привело к предположению, что это могло быть преднамеренно нацелено на "дорогостоящую инфраструктуру" в стране.[29] включая либо Атомная электростанция Бушер или атомная электростанция в Натанзе.[30]

Stuxnet обычно вводится в сеть снабжения через зараженный USB-накопитель с людьми, имеющими физический доступ к системе. Затем червь путешествует по киберсети, сканируя программное обеспечение на компьютерах, управляющих Программируемый логический контроллер (ПЛК). Stuxnet вводит зараженный руткит в ПЛК, изменяя коды и давая неожиданные команды ПЛК, возвращая пользователям цикл обратной связи о значениях нормальной работы.[31]

Вредоносное ПО для банкоматов

В последние годы вредоносные программы Suceful, Plotus, Tyupkin и GreenDispense затронули банкоматы глобально, особенно в России и на Украине.[32] GreenDispenser специально дает злоумышленникам возможность подойти к зараженной системе банкомата и удалить ее хранилище для наличных. После установки GreenDispenser может отображать на банкомате сообщение «Не работает», но злоумышленники с соответствующими учетными данными могут опустошить хранилище банкоматов и удалить вредоносное ПО из системы, используя процесс удаления, который невозможно отследить.[33]

Другие типы вредоносных программ обычно ведут себя аналогичным образом, захватывая данные с магнитной полосы из памяти машины и инструктируя машины снять наличные. Атаки требуют, чтобы человек с внутренним доступом, например специалист по банкоматам или кто-либо другой, имеющий ключ от машины, разместил вредоносное ПО на банкомате.[34]

Вредоносное ПО Tyupkin, активировавшееся в марте 2014 года более чем в 50 банкоматах в банковских учреждениях в Восточной Европе, как полагают, в то время также распространилось в США, Индии и Китае. Вредоносная программа поражает банкоматы крупных производителей под управлением 32-разрядной операционной системы Microsoft Windows. Вредоносная программа отображает информацию о том, сколько денег доступно на каждой машине, и позволяет злоумышленнику снимать 40 банкнот с выбранной кассеты каждого банкомата.[35]

NotPetya / M.E.Doc

Весной 2017 года основной код финансового пакета «M.E.Doc», который использовался в Украине, был заражен вирусом NotPetya и впоследствии был загружен подписчиками. Взлом был произведен в системе провайдера: либо взлом самого кода у провайдера, либо хак, перенаправляющий запросы загрузки на другой сервер. Сообщения в прессе того времени ясно дают понять, что это была атака на цепочку поставок, но использованный вектор атаки не указан.[36]

British Airways

В течение августа и сентября 2018 года платежный раздел веб-сайта British Airways содержал код, который собирал данные о платежах клиентов. Внедренный код был написан специально для перенаправления информации о кредитной карте на веб-сайт в домене baways.com, который можно ошибочно принять за British Airways.[37]

Профилактика

Правительство

В Комплексная национальная инициатива по кибербезопасности и Обзор политики в области киберпространства, одобренный администрациями Буша и Обамы соответственно, направляет федеральное финансирование США на разработку многоаспектных подходов к управлению рисками глобальной цепочки поставок.[38][39] По словам Адриана Дэвиса из журнала Technology Innovation Management Review, защита организаций от атак на цепочки поставок начинается с создания кибер-устойчивых систем.[40] По словам эксперта по управлению рисками цепочки поставок Донала Уолтерса, устойчивость цепочки поставок - это «способность цепочки поставок справляться с неожиданными сбоями», и одной из ее характеристик является признание в масштабах всей компании того, где цепочка поставок наиболее подвержена проникновению. Управление цепочкой поставок играет решающую роль в создании эффективной устойчивости цепочки поставок.[41]

В марте 2015 года в рамках правительственной коалиции консерваторов и либерально-демократических правительств Министерство бизнеса Великобритании обрисовало новые меры по защите МСП от кибератак, в том числе меры по повышению устойчивости цепочки поставок.[42]

Правительство Великобритании разработало Cyber ​​Essentials Scheme, которая обучает компании передовым методам защиты своей цепочки поставок и общей кибербезопасности.[43]

Финансовые институты

В Депозитарный траст и клиринг Group, американская посттрейдинговая компания, в своей деятельности внедрила управление для управления уязвимостями по всей цепочке поставок и рассматривает ИТ-безопасность на протяжении всего жизненного цикла разработки; это включает в себя кодирование программного обеспечения и производство оборудования.[44]

В отчете PwC за 2014 год, озаглавленном «Умная угроза: построение киберустойчивого финансового учреждения», финансовая компания рекомендует следующий подход к противодействию кибератакам:

«Чтобы избежать потенциального ущерба для прибыли, репутации, бренда и интеллектуальной собственности финансового учреждения, исполнительная команда должна взять на себя ответственность за киберриски. В частности, они должны сотрудничать заранее, чтобы понять, как организация будет защищаться от кибер-рисков и реагировать на них. риски и что потребуется для обеспечения киберустойчивости организации.[45]

Фирмы кибербезопасности

FireEye, американская компания по обеспечению сетевой безопасности, которая обеспечивает автоматизированную экспертизу угроз и динамическую защиту от вредоносных программ от сложных киберугроз, таких как сложные постоянные угрозы и целевой фишинг[46] рекомендует фирмам иметь определенные принципы для создания устойчивости в своей цепочке поставок, которые включают:

  • Небольшая база поставщиков: Это позволяет фирме более жестко контролировать своих поставщиков.
  • Строгий контроль поставщиков: Введение строгого контроля над поставщиками с целью соблюдения списков утвержденных протоколов. Кроме того, проведение периодических аудитов на объектах поставщиков и регулярное посещение объекта сотрудниками для деловых целей позволяет усилить контроль.
  • Безопасность встроена в дизайн: Функции безопасности, такие как контрольные цифры, должны быть встроены в программное обеспечение для обнаружения любого предыдущего несанкционированного доступа к коду. Хорошим подходом является итеративный процесс тестирования для повышения функциональной защиты и защиты кода.[47]

27 апреля 2015 г. Сергей Ложкин, старший научный сотрудник отдела безопасности GReAT, г. Лаборатория Касперского, говорил о важности управления рисками от целевых атак и кампаний кибершпионажа, во время конференции по кибербезопасности он заявил:

«Стратегии смягчения продвинутых угроз должны включать в себя политики безопасности и обучение, сетевую безопасность, комплексное системное администрирование и специализированные решения безопасности, такие как… функции исправления программного обеспечения, контроль приложений, белые списки и режим запрета по умолчанию».[48]

Смотрите также

использованная литература

  1. ^ а б c «Кибератаки нового поколения нацелены на SCADA для нефтегазовой отрасли | Pipeline & Gas Journal». www.pipelineandgasjournal.com. Получено 27 октября 2015.
  2. ^ а б «Новое вредоносное ПО поражает банкоматы и электронные билетные автоматы». SC Magazine UK. Получено 29 октября 2015.
  3. ^ Урчиуоли, Л., Мяннистё, Т., Хинца, Дж., И Хан, Т. (2013). КИБЕРБЕЗОПАСНОСТЬ ЦЕПИ ПОСТАВОК - ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ. Информация и безопасность, 29(1), 51-68. Проверено 29 октября 2015 г.
  4. ^ "Определение цепочки поставок | Investopedia". Инвестопедия. Получено 4 ноября 2015.
  5. ^ Цепочка поставок, кибербезопасность и геополитические вопросы представляют собой наибольшие риски, поскольку риск возрастает по важности и профилю, говорят менеджеры по рискам на конференции по активным рискам. (28 июля 2015 г.). M2 Presswire Проверено 4 ноября 2015 г.
  6. ^ Наполитано, Дж. (6 января 2011 г.). Как обезопасить глобальную цепочку поставок. Wall Street Journal Проверено 4 ноября 2015 г.
  7. ^ а б Кучлер, Ханна (28 мая 2014 г.). «Кибератаки нацелены на медицинские и фармацевтические компании.'". Financial Times. ISSN  0307-1766. Получено 27 октября 2015.
  8. ^ «Воровство наркотиков идет очень быстро». Удача. Получено 4 ноября 2015.
  9. ^ "Раскрытие кражи наркотиков Эли Лилли". www.securitymagazine.com. Получено 4 ноября 2015.
  10. ^ а б CERT-UK (2015). «Риски кибербезопасности в цепочке поставок» (PDF). Архивировано из оригинал (PDF) 18 февраля 2015 г.. Получено 27 октября 2015.
  11. ^ «Отчет о расследовании утечки данных за 2014 год» (PDF). Verizon Enterprise. 2014 г.. Получено 27 октября 2015.
  12. ^ 21:21, 10 окт 2008 г., в; Ibm, Austin Modine tweet_btn () Austin Modine Получать оповещение по электронной почте, когда этот автор публикует общие темы. «Организованная преступность взламывает европейские устройства для считывания карт». Получено 27 октября 2015.CS1 maint: числовые имена: список авторов (ссылка на сайт)
  13. ^ Горман, Шивон. "Кольцо мошенничества передает данные с карт в Пакистан". Wall Street Journal. ISSN  0099-9660. Получено 27 октября 2015.
  14. ^ «Форма безопасности» (PDF).
  15. ^ Насир, Мухаммед Али (июнь 2015 г.). «Возможные кибератаки на глобальную цепочку поставок нефти». Международная конференция по киберситуационной осведомленности, аналитике и оценке данных (CyberSA), 2015 г.. Киберситуационная осведомленность, анализ и оценка данных (CyberSA). С. 1–7. CiteSeerX  10.1.1.695.1707. Дои:10.1109 / CyberSA.2015.7166137. ISBN  978-0-9932-3380-7. S2CID  18999955.
  16. ^ Урчуоли, Лука (апрель 2015 г.). «Кибер-устойчивость: стратегический подход к управлению цепочкой поставок». Сеть Talent First. ProQuest  1676101578.
  17. ^ Гринберг, Энди (3 мая 2019 г.). «Таинственная хакерская группа занимается захватом цепочки поставок». Проводной. ISSN  1059-1028. Получено 16 июля 2019.
  18. ^ Кокс, Джозеф (18 сентября 2015 г.). «Краткое описание взлома: вредоносное ПО проникает в китайский магазин приложений для iOS». Проводной. ISSN  1059-1028. Получено 16 июля 2019.
  19. ^ «Полное противодействие доверию посредством разнообразной двойной компиляции». dwheeler.com. Получено 16 июля 2019.
  20. ^ а б «Целевая утечка данных: почему британскому бизнесу нужно обращать внимание». КомпьютерЕженедельно. Получено 27 октября 2015.
  21. ^ Харрис, Элизабет А. (26 февраля 2014 г.). "Нарушение данных снижает прибыль в целевой". Нью-Йорк Таймс. ISSN  0362-4331. Получено 27 октября 2015.
  22. ^ «Пропущенные сигналы тревоги и 40 миллионов украденных номеров кредитных карт: как Target взорвала это». BloombergView. Получено 30 октября 2015.
  23. ^ Кучлер, Ханна (20 октября 2014 г.). «Хакеры находят поставщиков - это простой способ атаковать компании». Financial Times. ISSN  0307-1766. Получено 27 октября 2015.
  24. ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) 6 ноября 2015 г.. Получено 27 октября 2015.CS1 maint: заархивированная копия как заголовок (ссылка на сайт)
  25. ^ "Целевые хакеры взломали компанию HVAC - Кребс о безопасности". krebsonsecurity.com. Получено 27 октября 2015.
  26. ^ «Target предлагает компенсацию в размере 10 миллионов долларов США по иску о утечке данных». NPR.org. Получено 30 октября 2015.
  27. ^ «Подтверждено: США и Израиль создали Stuxnet, но потеряли над ним контроль». Ars Technica. Получено 27 октября 2015.
  28. ^ «Иран стал главной целью червя SCADA». Computerworld. Получено 27 октября 2015.
  29. ^ репортер, Jonathan Fildes Technology; Новости, Б. Б. С. «Червь Stuxnet» нацелился на дорогостоящие иранские активы'". Новости BBC. Получено 27 октября 2015.
  30. ^ Филдс, Джонатан (23 сентября, 2010 г.). «Червь Stuxnet« нацелился на дорогостоящие иранские активы »». Новости BBC. Проверено 23 сентября 2010 года.
  31. ^ «Объявление кибервойны». ЯРМАРКА ТЩЕСЛАВИЯ. Апрель 2011 г.
  32. ^ "Вирус Тюпкина (Вредоносное ПО) | Безопасность банкоматов | Определение вируса". www.kaspersky.com. Получено 4 ноября 2015.
  33. ^ "Встречайте GreenDispenser: новое поколение вредоносного ПО для банкоматов | Доказательство". www.proofpoint.com. Получено 30 октября 2015.
  34. ^ «Новое вредоносное ПО для банкоматов захватывает PIN-коды и наличные деньги - обновлено». ПРОВОДНОЙ. Получено 30 октября 2015.
  35. ^ «Тюпкин: манипулирование банкоматами с помощью вредоносного ПО - Securelist». securelist.com. Получено 19 мая 2020.
  36. ^ «Семейная компания в Украине заявляет, что не несет ответственности за кибератаки». reuters.com. Получено 1 июня 2019.
  37. ^ «Кража данных клиента». britishairways.com. Получено 1 июня 2019.
  38. ^ «Обзор политики киберпространства» (PDF). Whitehouse.gov. Получено 29 октября 2015.
  39. ^ «Комплексная национальная инициатива по кибербезопасности». Белый дом. Получено 29 октября 2015.
  40. ^ Дэвис, А. (2015). Повышение киберустойчивости цепочек поставок. Обзор управления инновационными технологиями, 5(4), 19-27. Проверено 29-10-2015.
  41. ^ Уотерс, Д. 2011. Управление рисками цепочки поставок (2-е изд.). Лондон: Коган Пейдж. Доступ 29-10-2015
  42. ^ «Страхование кибербезопасности: новые шаги к тому, чтобы Великобритания стала мировым центром - пресс-релизы - GOV.UK». www.gov.uk. Получено 30 октября 2015.
  43. ^ «Cyber ​​Essentials - ОФИЦИАЛЬНЫЙ САЙТ». www.cyberstreetwise.com. Получено 30 октября 2015.
  44. ^ Гувер, Дж. Н. (2009). Защитите цепочку поставок в киберпространстве. Информационная неделя, (1247), 45-46,48,50,52. Проверено 29 октября 2015 г.
  45. ^ «Умная угроза: построение кибер-устойчивого финансового учреждения» (PDF). Точка обзора FS. PwC. Октябрь 2014 г.. Получено 4 июн 2020.
  46. ^ «Расширенная кибербезопасность - остановить кибератаки | FireEye». FireEye. Получено 30 октября 2015.
  47. ^ «НАИЛУЧШИЕ ПРАКТИКИ УПРАВЛЕНИЯ РИСКАМИ ЦЕПИ КИБЕРПоставок» (PDF). Получено 30 октября 2015.
  48. ^ «Лаборатория Касперского и EY предупреждают организации о необходимости подготовиться к киберугрозам | Лаборатория Касперского». www.kaspersky.com. Получено 30 октября 2015.

внешние ссылки