Supply chain attack - Supply chain attack
Et supply chain-angreb er et cyberangreb, der søger at skade en organisation ved at målrette mod mindre sikre elementer i forsyningskæden . Et forsyningskædeangreb kan forekomme i enhver industri, fra finanssektoren, olieindustrien til en offentlig sektor. Cyberkriminelle manipulerer typisk med produktets fremstillingsproces ved at installere et rootkit eller hardware-baserede spionage-komponenter. I en trusselsrapport om internetsikkerhed, drevet af Symantec, hedder det, at forsyningskædeangreb stadig er et træk ved landskabet med en stigning på 78 procent i 2018.
Den Target sikkerhedsbrud , Østeuropæisk ATM malware , samt Stuxnet computerorm er eksempler på supply chain-angreb.
Supply chain management -eksperter anbefaler streng kontrol af en institutions forsyningsnetværk for at forhindre potentiel skade fra cyberkriminelle.
Oversigt
En forsyningskæde er et system af aktiviteter, der er involveret i håndtering, distribution, fremstilling og forarbejdning af varer for at flytte ressourcer fra en sælger til den endelige forbruger. En forsyningskæde er et komplekst netværk af sammenkoblede aktører styret af udbud og efterspørgsel .
Selvom forsyningskædeangreb er et bredt begreb uden en universelt aftalt definition, med henvisning til cybersikkerhed, indebærer et forsyningskædeangreb fysisk manipulation med elektronik (computere, pengeautomater, elsystemer, fabriksdatanetværk) for at installere uopdagelig malware til formålet med at skade en spiller længere nede i forsyningskædenettet.
I en mere generel forstand kan et supply chain -angreb ikke nødvendigvis involvere elektronik. I 2010, da indbrudstyve fik adgang til lægemiddelgiganten Eli Lillys forsyningslager ved at bore et hul i taget og indlæse receptpligtige lægemidler til en værdi af 80 millioner dollars i en lastbil, kunne man også have sagt, at de skulle udføre et angreb i forsyningskæden. Denne artikel vil dog diskutere cyberangreb på fysiske forsyningsnetværk, der er afhængige af teknologi; derfor er et supply chain-angreb en metode, der bruges af cyberkriminelle .
Angreb ramme
Generelt begynder forsyningskædeangreb på informationssystemer med en avanceret vedvarende trussel (APT), der bestemmer et medlem af forsyningsnetværket med den svageste cybersikkerhed for at påvirke målorganisationen. Ifølge en undersøgelse foretaget af Verizon Enterprise fandt 92% af de cybersikkerhedshændelser, der blev analyseret i deres undersøgelse, sted blandt små virksomheder.
APT'er kan ofte få adgang til følsomme oplysninger ved fysisk at manipulere med produktionen af produktet. I oktober 2008 afslørede europæiske retshåndhævende embedsmænd en meget sofistikeret ring med kreditkortbedrageri, der stjal kundens kontooplysninger ved hjælp af ikke-sporbare enheder indsat i kreditkortlæsere fremstillet i Kina for at få adgang til kontooplysninger og foretage gentagne bankudbetalinger og Internetkøb, der beløber sig til anslået 100 millioner dollars i tab.
Risici
Truslen om et forsyningskædeangreb udgør en betydelig risiko for moderne organisationer, og angreb er ikke udelukkende begrænset til informationsteknologisektoren; forsyningskædeangreb påvirker olieindustrien, store detailhandlere, medicinalindustrien og stort set enhver industri med et komplekst forsyningsnetværk.
Informationssikkerhedsforum forklarer, at risikoen ved forsyningskædeangreb skyldes informationsdeling med leverandører, det hedder, at "deling af oplysninger med leverandører er afgørende for, at forsyningskæden fungerer, men det skaber også risiko ... information kompromitteret i forsyningskæden kan være lige så skadelig som den, der er kompromitteret indefra organisationen ".
Mens Muhammad Ali Nasir fra National University of Emerging Sciences, forbinder den ovennævnte risiko med den bredere tendens til globalisering, der siger "... på grund af globalisering, decentralisering og outsourcing af forsyningskæder, er antallet af eksponeringspunkter også steget på grund af det større antal af involverede enheder, og som også er spredt over hele kloden ... [et] cyberangreb på [a] forsyningskæde er den mest ødelæggende måde at skade mange sammenkoblede enheder på én gang på grund af dens ringvirkninger. "
Dårligt styrede supply chain management systemer kan blive betydelige farer for cyberangreb, hvilket kan føre til tab af følsomme kundeoplysninger, afbrydelse af fremstillingsprocessen og kan skade en virksomheds omdømme.
Eksempler
Compiler angreb
Wired rapporterede en forbindelsestråd i de seneste softwareforsyningskædeangreb fra den 3. maj 2019. Disse har formodet at have spredt sig fra inficerede, piratkopierede, populære kompilatorer, der blev lagt ud på piratwebsteder. Det vil sige ødelagte versioner af Apples XCode og Microsoft Visual Studio. (I teorien kan alternerende kompilatorer muligvis registrere compiler -angreb, når compileren er tillidens rod.)
Mål
.jpg)
I slutningen af 2013 blev Target , en amerikansk forhandler, ramt af et af de største databrud i detailbranchens historie.
Mellem den 27. november og den 15. december 2013 oplevede Targets amerikanske murstensbutikker et datahack. Omkring 40 millioner kunders kredit- og betalingskort blev modtagelige for svig, efter at malware blev introduceret i POS -systemet i over 1.800 butikker. Databruddet af Target's kundeoplysninger så en direkte indvirkning på virksomhedens overskud, der faldt 46 procent i fjerde kvartal 2013.
Seks måneder før begyndte virksomheden at installere et cybersikkerhedssystem på 1,6 millioner dollars. Target havde et team af sikkerhedsspecialister til konstant at overvåge dets computere. Ikke desto mindre omgåede forsyningskædeangrebet disse sikkerhedsforanstaltninger.
Det menes, at cyberkriminelle infiltrerede en tredjepartsleverandør for at få adgang til Target's hoveddatanetværk. Selvom det ikke er officielt bekræftet, mistænker efterforskningstjenestemænd, at hackerne først brød ind i Target's netværk den 15. november 2013 ved hjælp af adgangskodeoplysninger stjålet fra Fazio Mechanical Services, en Pennsylvania-baseret udbyder af HVAC- systemer.
90 retssager er blevet anlagt mod Target af kunder for skødesløshed og erstatningsskader. Target brugte omkring $ 61 millioner på at reagere på overtrædelsen, ifølge rapporten for fjerde kvartal til investorer.
Stuxnet
Antages at være et amerikansk-israelsk cybervåben , og Stuxnet er en ondsindet computerorm . Ormen retter sig specifikt mod systemer, der automatiserer elektromekaniske processer, der bruges til at styre maskiner på fabriks samlebånd eller udstyr til adskillelse af nukleart materiale.
Computeren orm siges at have været specielt udviklet med henblik på at ødelægge potentielle uranberigelse programmerne, Irans regering ; Kevin Hogan, Senior Director of Security Response hos Symantec , rapporterede, at størstedelen af de inficerede systemer fra Stuxnet-ormen var placeret i Den Islamiske Republik Iran, hvilket har ført til spekulationer om, at det kan have bevidst målrettet "infrastruktur af høj værdi" i landet herunder enten Bushehr atomkraftværket eller Natanz atomkraftværket.
Stuxnet introduceres typisk i forsyningsnetværket via et inficeret USB -flashdrev med personer med fysisk adgang til systemet. Ormen bevæger sig derefter over cybernetværket og scanner software på computere, der styrer en programmerbar logisk controller (PLC). Stuxnet introducerer det inficerede rootkit på PLC'en, ændrer koderne og giver uventede kommandoer til PLC'en, mens brugerne returnerer en loop med normal driftsværdi -feedback.
ATM malware
I de senere år har malware kendt som Suceful, Plotus, Tyupkin og GreenDispense påvirket automatiserede tellermaskiner globalt, især i Rusland og Ukraine. GreenDispenser giver specifikt angribere muligheden for at gå op til et inficeret pengeautomat og fjerne dets kontanthælv. Når den er installeret, viser GreenDispenser muligvis en meddelelse om 'ude af drift' på pengeautomaten, men angribere med de rigtige adgangsoplysninger kan tømme pengeautomatens pengebok og fjerne malware fra systemet ved hjælp af en sporbar sletningsproces.
De andre typer malware opfører sig normalt på en lignende måde, idet de indsamler magnetstribe -data fra maskinens hukommelseslager og instruerer maskinerne i at hæve kontanter. Angrebene kræver, at en person med insideradgang, f.eks. En pengeautomat eller en anden med en nøgle til maskinen, placerer malware på pengeautomaten.
Tyupkin -malware, der var aktiv i marts 2014 på mere end 50 pengeautomater i pengeinstitutter i Østeuropa, menes også at have spredt sig på det tidspunkt til USA, Indien og Kina. Malwaren påvirker pengeautomater fra større producenter, der kører Microsoft Windows 32-bit operativsystemer. Malwaren viser oplysninger om, hvor mange penge der er til rådighed i hver maskine, og gør det muligt for en angriber at trække 40 sedler tilbage fra den valgte kassette i hver pengeautomat.
NotPetya / MEDoc
I løbet af foråret 2017 blev kernekoden for den finansielle pakke "MEDoc", der blev brugt i Ukraine, inficeret med NotPetya -virussen og derefter downloadet af abonnenter. Hacket blev udført på udbyderens system: enten hacking af selve koden hos udbyderen, eller et hack omdirigerede downloadanmodninger til en anden server. Presserapporter på det tidspunkt gør det klart, at dette var et supply chain -angreb, men den angrebsvektor, der blev brugt, er ikke specificeret.
British Airways
I løbet af august og september 2018 indeholdt British Airways webstedets betalingsafsnit kode, der indsamlede betalingsdata fra kunder. Den injicerede kode blev skrevet specifikt for at lede kreditkortoplysninger til et websted på et domæne baways.com, som fejlagtigt kunne tænkes at tilhøre British Airways.
SolarWinds
Det antages, at Cyberattack fra 2020 i den globale forsyningskæde har resulteret i et forsyningskæde -angreb rettet mod it -infrastrukturselskabet SolarWinds , som tæller mange føderale institutioner blandt sine kunder, herunder forretningscomputere fra National Nuclear Security Administration (NNSA). Den Department of Homeland Security har udstedt Emergency direktiv 21-01, "afbøde SolarWinds Orion kode kompromis", som indebærer at frakoble ethvert ramte Windows host OS fra sit foretagende domæne, og genopbygge disse Windows-værter ved hjælp af pålidelige kilder. De ramte Windows -operativsystem (OS) -værter var dem, der blev overvåget af SolarWinds Orion -overvågningssoftware. DOE's NNSA har siden afbrudt de overtrådte Windows -værter.
Ud over den amerikanske føderale regering er 18.000 ud af SolarWinds '33.000 kunder, der bruger SolarWinds Orion softwareopdateringsplatform, sårbare. Orion blev kompromitteret i marts og juni 2020, inden cyberbruddet blev opdaget af FireEye i december 2020. For eksempel var Microsoft selv et offer for opdateringen af softwareovertrædelsen. Microsoft arbejder nu sammen med FireEye for at dæmme op for det igangværende cyberangreb i forsyningskædesoftware, der bruges af "regering, rådgivning, teknologi, telekommunikation og ekstraktionsenheder i Nordamerika, Europa, Asien og Mellemøsten" - FireEye.
Volexity, et cybersikkerhedsfirma, har rekonstrueret angrebssekvensen på en ikke navngivet amerikansk tænketank: Først udnyttede angriberen en sårbarhed ved fjernudførelse af kode i en Microsoft Exchange-server på stedet; efter at denne sårbarhed var afhjulpet, udnyttede angriberen sikkerhedshuller i SolarWinds Orion -platformen, som blev afsløret i december 2020; for det tredje blev tænketankens Duo-tofaktorsgodkendelsesproxyserver udnyttet til igen at få adgang til at overtræde infrastrukturen i tænketanken. Baseret på Volexitys genopbygning har Breaking Defense offentliggjort en forenklet dræbningskæde, der forklarer Exchange Server -angrebet på anslået 30.000 kunder verden over. I juli 2021 meddelte SolarWinds, at det blev angrebet endnu en gang.
Microsoft Exchange Server
I februar 2021 fastslog Microsoft, at angriberne havde downloadet et par filer "(undersæt af service, sikkerhed, identitet)" hver fra:
- "en lille delmængde af Azure -komponenter"
- "en lille delmængde af Intune -komponenter"
- "en lille delmængde af Exchange -komponenter"
Ingen af Microsofts lagre indeholdt produktionsoplysninger. Lagrene blev sikret i december, og disse angreb ophørte i januar. Imidlertid blev mere end 20.000 amerikanske organisationer kompromitteret i marts 2021, selvom en bagdør blev installeret via fejl i Exchange Server. De berørte organisationer bruger self-hosted e-mail (på stedet frem for cloud-baserede) såsom kreditforeninger, kommuner og små virksomheder. Fejlene blev rettet den 2. marts 2021, men inden den 5. marts 2021 havde kun 10% af de kompromitterede organisationer implementeret programrettelsen; bagdøren forbliver åben. De amerikanske embedsmænd forsøger at underrette de berørte organisationer, som er mindre end de organisationer, der blev berørt i december 2020.
Microsoft har opdateret sit indikatorer for kompromisværktøj og har frigivet nødhjælpsforanstaltninger for sine Exchange Server -fejl. Angrebene på SolarWinds og Microsoft -software menes i øjeblikket at være uafhængige fra marts 2021. Værktøjet Indikatorer for kompromis gør det muligt for kunder at scanne deres Exchange Server -logfiler for kompromis. Mindst 10 angribende grupper bruger Exchange Server -fejlene. Webskaller kan forblive på en patched server; dette tillader stadig cyberangreb baseret på de berørte servere. Den 12. marts 2021 fordobles udnyttelsesforsøg hvert par timer, ifølge Check Point Research, nogle i navnet på sikkerhedsforskere selv.
Den 14. april 2021 havde FBI afsluttet en skjult cyberoperation for at fjerne webskallerne fra ramte servere og informerede serverejerne om, hvad der var gjort.
I maj 2021 identificerede Microsoft 3000 ondsindede e -mails til 150 organisationer i 24 lande, der blev lanceret af en gruppe, som Microsoft har betegnet 'Nobelium'. Mange af disse e -mails blev blokeret før levering. 'Nobelium' fik adgang til en konstant kontakt "e -mailmarketingkonto, der bruges af US Agency for International Development ( USAID )". Sikkerhedsforskere hævder, at 'Nobelium' laver e-mail-meddelelser med spydfishing, som intetanende brugere klikker på; linkene derefter direkte installation af ondsindet 'Nobelium' kode for at inficere brugernes systemer, hvilket gør dem genstand for løsesum, spionage, desinformation osv. Den amerikanske regering har identificeret 'Nobelium' som stammer fra Ruslands føderale sikkerhedstjeneste. I juli 2021 forventes den amerikanske regering at navngive initiativtageren til Exchange Server -angrebene: "Kinas ministerium for stats sikkerhed har brugt kriminelle kontrakt hackere".
I september 2021 har Securities and Exchange Commission (SEC) håndhævelsespersonale anmodet alle virksomheder, der har downloadet eventuelle kompromitterede SolarWinds -opdateringer, om frivilligt at videregive data til SEC, hvis de har installeret de kompromitterede opdateringer på deres servere.
Ransomware angreb
I maj 2021 afslørede et ransomware -angreb på kolonial rørledning sårbarheden ved USA's benzintilførsel på østkysten. Den 16. juni 2021 advarede præsident Biden præsident Putin om, at 16 former for infrastruktur skulle være off-limits for cyberangreb, ellers ville Rusland lide i form af naturalier. En kombination af supply chain-angreb og ransomware-angreb dukkede op den 2. juli 2021 hos tusinder af virksomheder i 17 lande. En REvil ransomware -kode er skrevet for at undgå at ramme websteder, der bruger russisk. REvil -webstedet er nu offline ifølge The New York Times .
Forebyggelse
Den 12. maj 2021 pålagde bekendtgørelse 14028 (EO), Improving nationens cybersikkerhed , NIST såvel som andre amerikanske regeringsorganer at øge cybersikkerheden i USA. Den 11. juli 2021 (dag 60 i EO -tidslinjen) leverede NIST i samråd med Cybersecurity and Infrastructure Security Agency (CISA) og Office of Management and Budget (OMB) '4i': vejledning til brugere af kritisk software, som samt '4r': til minimumsleverandortest af sikkerhed og integritet i softwareforsyningskæden.
- Dag 30: bed om input
- Dag 45: Definer 'kritisk software'
- Dag 60: EO -opgave 4i, 4r: brugervejledning og leverandørtest
- Dag 180: EO -opgave 4c: retningslinjer for forbedring af forsyningskædesoftwaresikkerhed
- Dag 270: EO opgave 4e, 4s, 4t, 4u: retningslinjer for forbedring af forsyningskædesoftware
- Dag 360: EO opgave 4d: retningslinjer for gennemgang og opdatering af procedurer for forsyningskædesoftware
- Dag 365: EO -opgave 4w: kortfattet understøttelse af piloten
Regering
The Comprehensive National Cybersecurity Initiative og Cyberspace Policy Review, der blev vedtaget af henholdsvis Bush og Obama-administrationerne, dirigerer amerikansk føderal finansiering til udvikling af flerstrengede tilgange til global risikostyring af forsyningskæder. Ifølge Adrian Davis fra Technology Innovation Management Review begynder sikring af organisationer mod forsyningskædeangreb med at bygge cyber-modstandsdygtige systemer. Supply chain modstandsdygtighed er ifølge supply chain risk management ekspert Donal Walters "supply chain's evne til at klare uventede forstyrrelser", og en af dens egenskaber er en virksomhedsomfattende erkendelse af, hvor supply chain er mest modtagelig for infiltration. Supply chain management spiller en afgørende rolle i at skabe effektiv supply chain -modstandsdygtighed.
I marts 2015 skitserede det britiske erhvervsministerium under den konservative og liberale demokratiske regerings koalition nye bestræbelser på at beskytte SMV'er mod cyberangreb, som omfattede foranstaltninger til forbedring af forsyningskædens modstandsdygtighed.
Den britiske regering har produceret Cyber Essentials Scheme, som træner virksomheder i god praksis for at beskytte deres forsyningskæde og generelle cybersikkerhed.
Finansielle institutioner
Den Depository Trust og Clearing Group, en amerikansk post-handel selskab i sine operationer har implementeret styring til sårbarhedsstyring hele dets forsyningskæde og ser på it-sikkerheden langs hele udviklingslivscyklus; dette omfatter, hvor software blev kodet og hardware fremstillet.
I en PwC -rapport fra 2014 med titlen "Threat Smart: Building a Cyber Resilient Financial Institution" anbefaler finansservicefirmaet følgende tilgang til at afbøde et cyberangreb:
"For at undgå potentiel skade på et finansinstituts bundlinje, omdømme, mærke og intellektuel ejendomsret skal ledelsen tage ejerskab af cyberrisiko. Specifikt bør de samarbejde på forhånd for at forstå, hvordan institutionen vil forsvare sig mod og reagere på cyber risici, og hvad der skal til for at gøre deres organisation cyber -modstandsdygtig.
Cybersikkerhedsfirmaer
FireEye , et amerikansk netværkssikkerhedsfirma, der leverer automatiseret trusselsmedicin og dynamisk malware -beskyttelse mod avancerede cybertrusler, såsom avancerede vedvarende trusler og spydfishing, anbefaler virksomheder at have visse principper på plads for at skabe modstandsdygtighed i deres forsyningskæde, herunder at have:
- En lille leverandørbase: Dette giver en virksomhed mulighed for at have strammere kontrol over sine leverandører.
- Streng leverandørkontrol: Pålægger leverandører strenge kontroller for at overholde lister over godkendt protokol. Også lejlighedsvis foretagelse af stedrevisioner på leverandørlokationer og regelmæssigt besøg af personale på webstederne i forretningsøjemed giver større kontrol.
- Sikkerhed indbygget i design: Sikkerhedsfunktioner, f.eks. Tjekcifre , bør designes i softwaren for at registrere enhver tidligere uautoriseret adgang til koden. En iterativ testproces for at få koden funktionelt hærdet og sikkerhedshærdet er en god tilgang.
Den 27. april 2015 talte Sergey Lozhkin, en senior sikkerhedsforsker med GReAT ved Kaspersky Lab , om vigtigheden af at håndtere risiko fra målrettede angreb og cyber-spionage-kampagner under en konference om cybersikkerhed, han udtalte:
"Afbødningsstrategier for avancerede trusler bør omfatte sikkerhedspolitikker og uddannelse, netværkssikkerhed, omfattende systemadministration og specialiserede sikkerhedsløsninger, såsom ... softwarepatching -funktioner, applikationskontrol, hvidliste og en standard -afvisningstilstand."