Útoky na dodávateľský reťazec: Počítačoví zločinci sa zameriavajú na poskytovateľov softvéru

• Autor:
• meno autora

  Predvídavosť Quantumrun
• Februára 9, 2023

Útoky na dodávateľský reťazec vyvolávajú rastúce obavy podnikov a organizácií na celom svete. K týmto útokom dochádza, keď kyberzločinec prenikne do dodávateľského reťazca spoločnosti a použije ho na prístup k systémom alebo údajom cieľovej organizácie. Dôsledky týchto útokov môžu byť vážne, vrátane finančných strát, poškodenia dobrého mena spoločnosti, ohrozenia citlivých informácií a narušenia prevádzky. 

Kontext útokov na dodávateľský reťazec

Útok dodávateľského reťazca je kybernetický útok, ktorý sa zameriava na softvér tretích strán, najmä na tie, ktoré spravujú systémy alebo údaje cieľovej organizácie. Podľa správy „Threat Landscape for Supply Chain Attacks“ z roku 2021 sa 66 percent útokov na dodávateľský reťazec za posledných 12 mesiacov zameralo na systémový kód dodávateľa, 20 percent na údaje a 12 percent na interné procesy. Malvér bol najčastejšie používanou metódou pri týchto útokoch a predstavoval 62 percent incidentov. Dve tretiny útokov na zákazníkov však využili dôveru v ich dodávateľov.

Jedným z príkladov útoku na dodávateľský reťazec je útok z roku 2017 na softvérovú spoločnosť CCleaner. Hackerom sa podarilo ohroziť dodávateľský reťazec softvéru spoločnosti a distribuovať malvér prostredníctvom aktualizácií softvéru, čo ovplyvnilo milióny používateľov. Tento útok poukázal na potenciálne slabé miesta spoliehania sa na poskytovateľov tretích strán a na dôležitosť silných bezpečnostných opatrení na ochranu pred týmito útokmi.

Rastúce spoliehanie sa na poskytovateľov tretích strán a zložité siete digitálneho dodávateľského reťazca sú hlavnými prispievateľmi k nárastu trestných činov digitálneho dodávateľského reťazca. Ako podniky outsourcujú viac svojich operácií a služieb, zvyšuje sa počet potenciálnych vstupných bodov pre útočníkov. Tento trend je obzvlášť znepokojujúci, pokiaľ ide o malých alebo menej bezpečných dodávateľov, pretože nemusia mať rovnakú úroveň bezpečnostných opatrení ako väčšia organizácia. Ďalším faktorom je používanie zastaraného alebo neopraveného softvéru a systémov. Kyberzločinci často využívajú známe zraniteľné miesta v softvéri alebo systémoch, aby získali prístup k digitálnemu dodávateľskému reťazcu spoločnosti. 

Rušivý vplyv

Útoky na dodávateľský reťazec môžu mať vážne dlhodobé poškodenie. Výrazným príkladom je kybernetický útok na SolarWinds z decembra 2020, ktorý poskytuje vládnym agentúram a podnikom softvér na správu IT. Hackeri použili aktualizácie softvéru na distribúciu malvéru zákazníkom spoločnosti vrátane viacerých vládnych agentúr USA. Tento útok bol významný z dôvodu rozsahu kompromisu a skutočnosti, že ostal niekoľko mesiacov neodhalený.

Škoda je ešte horšia, keď cieľová spoločnosť poskytuje základné služby. Ďalším príkladom bol máj 2021, keď globálnu potravinársku spoločnosť JBS zasiahol ransomvérový útok, ktorý narušil jej prevádzku vo viacerých krajinách vrátane USA, Kanady a Austrálie. Útok vykonala zločinecká skupina známa ako REvil, ktorá zneužila zraniteľnosť softvéru tretích strán spoločnosti. Incident zasiahol aj zákazníkov JBS, vrátane mäsokombinátov a obchodov s potravinami. Tieto spoločnosti čelili nedostatku mäsových výrobkov a museli hľadať alternatívne zdroje alebo prispôsobiť svoju prevádzku.

Na ochranu pred digitálnymi útokmi na dodávateľský reťazec je nevyhnutné, aby podniky mali zavedené odolné a flexibilné bezpečnostné opatrenia. Tieto opatrenia zahŕňajú vykonávanie dôkladnej povinnej starostlivosti u poskytovateľov tretích strán, pravidelnú aktualizáciu a opravu softvéru a systémov a implementáciu prísnych bezpečnostných zásad a postupov. Je tiež dôležité, aby spoločnosti vzdelávali svojich zamestnancov o tom, ako identifikovať a predchádzať potenciálnym útokom vrátane pokusov o phishing.

Dôsledky útokov na dodávateľský reťazec 

Širšie dôsledky útokov na dodávateľský reťazec môžu zahŕňať:

• Znížené využitie softvéru tretích strán a väčšia závislosť na interných riešeniach pre citlivé údaje, najmä medzi vládnymi agentúrami.
• Zvýšené rozpočty na interne vyvinuté opatrenia kybernetickej bezpečnosti, najmä medzi organizáciami, ktoré poskytujú základné služby, ako sú verejné služby a telekomunikácie.
• Rastúci počet prípadov, keď sa zamestnanci stanú obeťami phishingových útokov alebo neúmyselného zavedenia škodlivého softvéru do systémov svojej spoločnosti.
• Zero-day útoky sa stávajú samozrejmosťou, keďže kyberzločinci využívajú výhody vývojárov softvéru implementujúcich pravidelné aktualizácie záplat, ktoré môžu obsahovať viacero chýb, ktoré môžu títo hackeri zneužiť.
• Rastúce využívanie etických hackerov najatých na vyhľadávanie zraniteľností v procesoch vývoja softvéru.
• Viac vlád prijíma nariadenia, ktoré vyžadujú, aby predajcovia poskytli úplný zoznam svojich dodávateľov tretích strán, ako aj potenciálne audity procesov vývoja softvéru.

Otázky na komentár

• Na koľko aplikácií tretích strán sa spoliehate pri každodennom podnikaní a koľko prístupov povoľujete?
• Aké zabezpečenie je podľa vás dostatočné pre predajcov tretích strán?
• Mala by vláda zasiahnuť, aby presadzovala regulačné normy pre predajcov tretích strán?