Παρά τις τρομακτικές συζητήσεις για κυβερνοεπιθέσεις από πωλητές και ειδικούς του κλάδου, σχετικά λίγες επιθέσεις είναι πραγματικά καταστροφικές. Αλλά το Jaguar Land Rover (JLR) επίθεση ήταν.
Η παραβίαση του JLR δεν ήταν κάποια ενοχλητική επίθεση που κόστισε μερικές εκατοντάδες χιλιάδες δολάρια. Έκλεισε εντελώς την παραγωγή για εβδομάδες, πιθανότατα θα κοστίσει στη βρετανική οικονομία περισσότερα από 2 δισεκατομμύρια δολάρια και θα επηρεάσει έως και 5000 οργανισμούς, σύμφωνα με το Reuters. Πραγματικοί άνθρωποι έχασαν τις δουλειές τους.
Η κυβέρνηση του Ηνωμένου Βασιλείου έπρεπε να παρέμβει με εγγύηση δανείου σχεδόν 2 δισεκατομμυρίων δολαρίων για να διατηρήσει τη λειτουργία της JLR.
Ένας εφιάλτης που έγινε πραγματικότητα
Η επίθεση της JLR ήταν το εφιαλτικό σενάριο που οι κατασκευαστές γνώριζαν ότι θα μπορούσε θεωρητικά να συμβεί. Όταν συνέβη στην πραγματικότητα, έστειλε πολλούς κατασκευαστικούς οργανισμούς να προσπαθούν να καταλάβουν πώς θα μπορούσαν να αποτρέψουν την ίδια μοίρα.
Ένα θέμα έγινε σαφές αμέσως: Η αλυσίδα εφοδιασμού είναι ένας από τους πιο αδύναμους κρίκους ασφάλειας για τους κατασκευαστές. Άλλωστε, η επίθεση JLR ξεκίνησε από την αλυσίδα εφοδιασμού της εταιρείας με τον συμβιβασμό των διαπιστευτηρίων που χρησιμοποιούνται από τρίτους εργολάβους.
Πώς εισβάλλουν οι εισβολείς στις αλυσίδες εφοδιασμού; Μια ισχυρή τακτική περιλαμβάνει τη στόχευση των εργαλείων και διαδικασιών ανάπτυξης για εφαρμογές λογισμικού που χρησιμοποιούν οι κατασκευαστές και οι συνεργάτες τους στην αλυσίδα εφοδιασμού.
Μπορεί να μην είναι ο τύπος της επίθεσης που οδήγησε το JLR, ή μπορεί. πλήρεις λεπτομέρειες για την προέλευση της επίθεσης δεν είναι δημόσιες. Αλλά ένα σημαντικό μάθημα είναι ότι εάν οι κατασκευαστές και οι συνεργάτες τους στην εφοδιαστική αλυσίδα δεν επαγρυπνούν για να διασφαλίσουν ότι οι πάροχοι λογισμικού χρησιμοποιούν ασφαλείς πρακτικές ανάπτυξης, αφήνουν τον εαυτό τους ανοιχτό στο επίπεδο επίθεσης που υπέστη η JLR.
Εφοδιαστικές αλυσίδες στο στόχαστρο
Οι επιθέσεις στις αλυσίδες εφοδιασμού μέσω ανάπτυξης λογισμικού δεν είναι καινούριες. αλλά παραμένουν ισχυρά και επικίνδυνα. Μερικές από τις πιο διάσημες κυβερνοεπιθέσεις που διαπράχθηκαν ποτέ περιελάμβαναν την τακτική, συμπεριλαμβανομένου ενός περιβόητου 2020 επίθεση στην SolarWindsμια επίθεση του 2021 στο Kaseya VSA και μια επίθεση το 2023 στον πάροχο VoIP 3CX.
Οι εισβολείς έχουν αναπτύξει μια νέα προσέγγιση πιο πρόσφατα: Απελευθερώνουν κακόβουλους διαχειριστές πακέτων κόμβων (NPM) στη διαδικασία ανάπτυξης λογισμικού. Οι προγραμματιστές JavaScript χρησιμοποιούν NPM για κοινή χρήση και εγκατάσταση επαναχρησιμοποιήσιμου κώδικα.
Όταν τα NPM είναι κακόβουλα, μια επίθεση μπορεί να εξαπλωθεί γρήγορα, να αντέξει για μήνες και να βρει το δρόμο της σε κάθε είδους εφαρμογές.
Ένα από τα πιο πρόσφατα παραδείγματα στόχευσης NPM είναι ο κρυπτοκλοπής Shai-Hulud, ο οποίος φέρεται να έχει θέσει σε κίνδυνο περισσότερα από 500 πακέτα NPM, συμπεριλαμβανομένων πολλών που χρησιμοποιούνται από παρόχους κυβερνοασφάλειας.
Οι επιθέσεις NPM είναι μόνο μια μέθοδος που έχουν βρει οι εισβολείς για να εισέλθουν στις αλυσίδες εφοδιασμού. Για παράδειγμα, οι εισβολείς μπορούν επίσης να παραβιάσουν τις ενημερώσεις των προμηθευτών λογισμικού και να εκμεταλλευτούν ευπάθειες λογισμικού.
Η ουσία είναι ότι οι εφαρμογές της εφοδιαστικής αλυσίδας είναι ευάλωτες και οι κατασκευαστές πρέπει να είναι σίγουροι ότι οι εφαρμογές που χρησιμοποιούν οι συνεργάτες τους είναι ασφαλείς.
Το Acronis Cyber Protect Cloud ενσωματώνει την προστασία δεδομένων, την ασφάλεια στον κυβερνοχώρο και τη διαχείριση τελικών σημείων.
Κλιμακώστε εύκολα τις υπηρεσίες κυβερνοπροστασίας από μια ενιαία πλατφόρμα – ενώ διευθύνετε αποτελεσματικά την επιχείρησή σας MSP.
Ανάγκη για πιο προσεκτικές αξιολογήσεις
Με τις αλυσίδες εφοδιασμού τους σε κίνδυνο, οι κατασκευαστές πρέπει να αξιολογούν τους υπάρχοντες και δυνητικούς συνεργάτες με πρακτικές ασφαλούς κύκλου ζωής ανάπτυξης λογισμικού (SSDLC).
Στα περισσότερα περιβάλλοντα επιχειρησιακής τεχνολογίας (OT).οι αξιολογήσεις προμηθειών επικεντρώνονται σε μεγάλο βαθμό στην οικονομική υγεία των προμηθευτών, στις συμφωνίες σε επίπεδο υπηρεσιών και στην ασφάλεια των υποδομών. Ωστόσο, συχνά παραβλέπουν τα τρωτά σημεία στη διαδικασία ανάπτυξης λογισμικού – ζητήματα που μπορούν να υπονομεύσουν τις εφαρμογές της αλυσίδας εφοδιασμού.
Αυτός είναι ο λόγος για τον οποίο η διασφάλιση αυστηρών πρακτικών SSDLC είναι τόσο σημαντική τόσο για τους κατασκευαστές όσο και για τους συνεργάτες τους στην αλυσίδα εφοδιασμού. Όταν οι κατασκευαστές δεν διασφαλίζουν τις πρακτικές SSDLC μεταξύ των συνεργατών τους, κινδυνεύουν να αντιμετωπίσουν διακοπές λειτουργίας, οικονομικές απώλειες, παραβιάσεις συμμόρφωσης και ζημιά στη φήμη.
SSDLC: Περισσότερα από πλαίσια ελέγχου συμμόρφωσης
Τι κάνει το SSDLC τόσο σημαντικό και αποτελεσματικό; Για αρχή, είναι υποχρεωτικό σύμφωνα με την οδηγία NIS 2 της ΕΕ, η οποία απαιτεί μια επίσημη, τεκμηριωμένη διαδικασία SSDLC.
Αντιπροσωπεύει επίσης μια θεμελιώδη αλλαγή από την αντιμετώπιση της ασφάλειας ως πρόσθετου μετά την ανάπτυξη στην ενσωμάτωσή της σε όλη τη διαδικασία δημιουργίας λογισμικού.
Μια ευπάθεια που εντοπίστηκε κατά την ανάλυση απαιτήσεων μπορεί να χρειαστούν ώρες για να διορθωθεί. Το ίδιο ελάττωμα που ανακαλύφθηκε μετά την κυκλοφορία θα μπορούσε να απαιτήσει εβδομάδες απόκρισης έκτακτης ανάγκης.
Στην πράξη, η ώριμη υλοποίηση SSDLC περιλαμβάνει:
- Ασφάλεια βάσει σχεδίου: Καθορίζονται απαιτήσεις ασφαλείας και μοντελοποιούνται οι απειλές πριν από την εγγραφή οποιουδήποτε κώδικα.
- Ασφαλείς πρακτικές κωδικοποίησης: Προγραμματιστές εκπαιδευμένοι στην ασφάλεια, με υποχρεωτική αναθεώρηση κώδικα και αυτοματοποιημένες δοκιμές ασφαλείας.
- Διαχείριση εξάρτησης: Στοιχεία τρίτων κατασκευαστών που ελέγχονται, παρακολουθούνται και διατηρούνται μέσω πρακτικών λογισμικών τιμολογίων υλικού (SBOM).
- Ασφαλείς αγωγοί απελευθέρωσης: Οι ενημερώσεις έχουν υπογραφεί, η ακεραιότητα ελέγχεται και παραδίδεται μέσω σκληρυμένων καναλιών.
- Διαχείριση ευπάθειας: Συντονισμένες διαδικασίες αποκάλυψης και καθορισμένα χρονοδιαγράμματα απόκρισης για θέματα ασφάλειας.
Για τους κατασκευαστές, αυτό σημαίνει ότι το λογισμικό που ελέγχει γραμμές παραγωγής, διαχειρίζεται κρίσιμα συστήματα και συνδέει βιομηχανικές λειτουργίες έχει ενσωματωμένη ασφάλεια από την πρώτη γραμμή κώδικα έως την τελική ανάπτυξη.
Αξιόπιστη απόδειξη ασφαλούς ανάπτυξης: Πιστοποίηση IEC 62443-4-1
Οι πιστοποιήσεις του κλάδου είναι ένα αξιόπιστο μέτρο χρήσης του SSDLC στη διαδικασία ανάπτυξης. Ενώ υπάρχουν διάφορες πιστοποιήσεις ασφαλείας, το IEC 62443-4-1 έχει ιδιαίτερη σημασία για την κατασκευή αλυσίδων εφοδιασμού.
Η οικογένεια προτύπων IEC 62443 αντιμετωπίζει συγκεκριμένα την ασφάλεια των συστημάτων βιομηχανικού αυτοματισμού και ελέγχου, το ακριβές περιβάλλον όπου λειτουργούν οι κατασκευαστές.
Σε αυτό το πλαίσιο, το IEC 62443-4-1 εστιάζει αποκλειστικά στις απαιτήσεις του κύκλου ζωής ασφαλούς ανάπτυξης προϊόντων και παρέχει ένα από τα πιο αυστηρά και σχετικά πρότυπα για την αξιολόγηση προμηθευτών λογισμικού ΟΤ.
Σε αντίθεση με τα γενικά πλαίσια ασφάλειας πληροφοριών, η πιστοποίηση IEC 62443-4-1 αποδεικνύει ότι ένας προμηθευτής έχει εφαρμόσει πρακτικές ειδικά σχεδιασμένες για βιομηχανικά περιβάλλοντα όπου ο χρόνος λειτουργίας είναι κρίσιμος, η επιδιόρθωση των παραθύρων μπορεί να είναι περιορισμένη και οι φυσικές συνέπειες μπορεί να προκύψουν από αστοχίες λογισμικού.
Η πιστοποίηση IEC 62443-4-1 παρέχει συγκεκριμένες, ανεξάρτητα επαληθευμένες αποδείξεις ότι οι προμηθευτές λογισμικού σχεδιάζουν συστηματικά την ασφάλεια σε κάθε προϊόν, όχι απλώς το υπόσχονται. Για τους κατασκευαστές πρωτότυπου εξοπλισμού (OEM), τους ενοποιητές συστημάτων και τους τελικούς πελάτες στην κατασκευή και τις υποδομές ζωτικής σημασίας, αυτό παρέχει μια κρίσιμη βάση εμπιστοσύνης.
Επανεξέταση των αξιολογήσεων
Κατά την αξιολόγηση συνεργατών έχοντας κατά νου το SSDLC, οι κατασκευαστές θα πρέπει:
- Ενσωματώστε κριτήρια SSDLC στις διαδικασίες προμηθειών: Συμπεριλάβετε απαιτήσεις ασφαλούς ανάπτυξης σε RFP και συμβόλαια, ώστε οι προμηθευτές να κατανοούν τις προσδοκίες από την αρχή.
- Ζητήστε δομημένα αποδεικτικά στοιχεία: Ζητήστε πεδία πιστοποίησης, εκθέσεις ελεγκτών, αρχεία SBOM και αποτελέσματα δοκιμών ως μέρος της δέουσας επιμέλειας.
- Δώστε προτεραιότητα στις σχετικές πιστοποιήσεις: Αναζητήστε ειδικά το IEC 62443-4-1 για προμηθευτές προϊόντων που δραστηριοποιούνται σε βιομηχανικά περιβάλλοντα, που υποστηρίζεται από το ISO/IEC 27001 για τη διακυβέρνηση της οργανωτικής ασφάλειας και τις ειδικές για το cloud πιστοποιήσεις όπου υπάρχουν.
- Αξιολογήστε την ωριμότητα συνεχώς: Προχωρήστε πέρα από τα δυαδικά ερωτηματολόγια και αξιολογήστε τους προμηθευτές κατά μήκος μιας συνέχειας ωριμότητας, με συνεχή παρακολούθηση ενσωματωμένη στη διαχείριση προμηθευτών.
Οι κατασκευαστές δεν έχουν πλέον την πολυτέλεια να αντιμετωπίζουν την αξιολόγηση ασφάλειας προμηθευτή ως μια άσκηση που επικεντρώνεται αποκλειστικά στην υποδομή και τις λειτουργίες. Ο κύκλος ζωής της ανάπτυξης είναι εκεί όπου προέρχονται τα τρωτά σημεία — και όπου οι κατασκευαστές πρέπει να βεβαιωθούν ότι αποτρέπονται.
Σχετικά με το Acronis TRU
Ο Acronis Threat Research Unit (TRU) είναι μια ομάδα ειδικών στον τομέα της κυβερνοασφάλειας που ειδικεύεται στην ευφυΐα απειλών, την τεχνητή νοημοσύνη και τη διαχείριση κινδύνου. Η ομάδα TRU ερευνά τις αναδυόμενες απειλές, παρέχει πληροφορίες για την ασφάλεια και υποστηρίζει τις ομάδες πληροφορικής με κατευθυντήριες γραμμές, αντιμετώπιση περιστατικών και εκπαιδευτικά εργαστήρια.
Δείτε την τελευταία έρευνα της TRU
Χορηγός και γραμμένος από Ακρόνης.
VIA: bleepingcomputer.com
