Supply chain attack - Supply chain attack
Et forsyningskjedeangrep er et nettangrep som søker å skade en organisasjon ved å målrette mot mindre sikre elementer i forsyningskjeden . Et forsyningskjedeangrep kan forekomme i enhver bransje, fra finanssektoren, oljeindustrien, til en offentlig sektor. Nettkriminelle tukler vanligvis produksjonsprosessen til et produkt ved å installere en rootkit eller maskinvarebaserte spioneringskomponenter. I en trusselrapport for Internett -sikkerhet, drevet av Symantec, heter det at angrep i forsyningskjeden fortsatt er et trekk i trussellandskapet, med en økning på 78 prosent i 2018.
The Target sikkerhetsbrudd , Østeuropeisk ATM malware , samt Stuxnet dataorm er eksempler på forsyningskjeden angrep.
Eksperter i forsyningskjeden anbefaler streng kontroll av en institusjons forsyningsnettverk for å forhindre potensiell skade fra nettkriminelle.
Oversikt
En forsyningskjede er et system av aktiviteter involvert i håndtering, distribusjon, produksjon og behandling av varer for å flytte ressurser fra en leverandør til hendene på den endelige forbrukeren. En forsyningskjede er et komplekst nettverk av sammenkoblede aktører styrt av tilbud og etterspørsel .
Selv om forsyningskjedeangrep er et bredt begrep uten en universelt avtalt definisjon, med henvisning til cybersikkerhet, innebærer et forsyningskjedeangrep fysisk manipulering med elektronikk (datamaskiner, minibanker, kraftsystemer, fabrikkdatanettverk) for å installere uoppdagelig skadelig programvare for formålet med å skade en spiller lenger ned i forsyningskjedenettet.
I en mer generell forstand trenger ikke et angrep i forsyningskjeden nødvendigvis å omfatte elektronikk. I 2010 da innbruddstyver fikk tilgang til legemiddelgiganten Eli Lillys forsyningslager, ved å bore et hull i taket og laste reseptbelagte legemidler til en verdi av 80 millioner dollar, kunne de også ha blitt sagt å ha utført et angrep i forsyningskjeden. Imidlertid vil denne artikkelen diskutere cyberangrep på fysiske forsyningsnettverk som er avhengige av teknologi; Derfor er et forsyningskjedeangrep en metode som brukes av cyberkriminelle .
Angrep rammeverk
Vanligvis begynner forsyningskjedeangrep på informasjonssystemer med en avansert vedvarende trussel (APT) som bestemmer et medlem av forsyningsnettet med den svakeste cybersikkerheten for å påvirke målorganisasjonen. Ifølge en undersøkelse utført av Verizon Enterprise, skjedde 92% av cybersikkerhetshendelsene som ble analysert i undersøkelsen blant små bedrifter.
APT -er kan ofte få tilgang til sensitiv informasjon ved å fysisk tukle med produksjonen av produktet. I oktober 2008 avslørte europeiske rettshåndhevelsesmyndigheter en svært sofistikert ring med svindel med kredittkort "som stjal kundens kontodetaljer ved å bruke sporbare enheter satt inn i kredittkortlesere laget i Kina for å få tilgang til kontoinformasjon og gjøre gjentatte bankuttak og Internettkjøp, til et estimert tap på 100 millioner dollar.
Risiko
Trusselen om et angrep i forsyningskjeden utgjør en betydelig risiko for dagens organisasjoner, og angrep er ikke bare begrenset til informasjonsteknologisektoren; forsyningskjedeangrep påvirker oljeindustrien, store forhandlere, farmasøytisk sektor og praktisk talt enhver industri med et komplekst forsyningsnettverk.
Informasjonssikkerhetsforumet forklarer at risikoen fra forsyningskjedeangrep skyldes informasjonsdeling med leverandører, det heter at "deling av informasjon med leverandører er avgjørende for at forsyningskjeden skal fungere, men det skaper også risiko ... informasjon kompromittert i forsyningskjeden kan være like skadelig som den som kompromitteres fra organisasjonen ".
Mens Muhammad Ali Nasir fra National University of Emerging Sciences, forbinder den ovennevnte risikoen med den bredere trenden med globalisering som sier "... på grunn av globalisering, desentralisering og outsourcing av forsyningskjeder, har antall eksponeringspunkter også økt på grunn av det større antallet av involverte enheter og som også er spredt over hele verden ... [et] cyberangrep på [a] forsyningskjeden er den mest ødeleggende måten å skade mange sammenkoblede enheter på en gang på grunn av ringvirkningen. "
Dårlig administrerte systemer for forsyningskjede kan utgjøre betydelige farer for cyberangrep, noe som kan føre til tap av sensitiv kundeinformasjon, avbrudd i produksjonsprosessen og kan skade et selskaps omdømme.
Eksempler
Compiler angrep
Wired rapporterte en forbindelsestråd i nylige angrep på programvareforsyningskjeder, fra 3. mai 2019. Disse har antatt å ha spredt seg fra infiserte, piratkopierte, populære kompilatorer som ble lagt ut på piratnettsteder. Det vil si ødelagte versjoner av Apples XCode og Microsoft Visual Studio. (I teorien kan alternerende kompilatorer oppdage kompilatorangrep når kompilatoren er tillitsrot.)
Mål
.jpg)
På slutten av 2013 ble Target , en amerikansk forhandler, rammet av et av de største databruddene i detaljhandelsindustrien.
Mellom 27. november og 15. desember 2013 opplevde Targets amerikanske murstein-og-mørtel-butikker et datahack. Rundt 40 millioner kunder kreditt- og debetkort ble utsatt for svindel etter at skadelig programvare ble introdusert i POS -systemet i over 1800 butikker. Databruddet mot Target kundeinformasjon så en direkte innvirkning på selskapets resultat, som falt 46 prosent i fjerde kvartal 2013.
Seks måneder før begynte selskapet å installere et cybersikkerhetssystem på 1,6 millioner dollar. Target hadde et team med sikkerhetsspesialister for å overvåke datamaskinene sine hele tiden. Likevel omgås forsyningskjedeangrepet disse sikkerhetstiltakene.
Det antas at cyberkriminelle infiltrerte en tredjepartsleverandør for å få tilgang til Targets hoveddatanettverk. Selv om det ikke er offisielt bekreftet, mistenker etterforskningstjenestemenn at hackerne først brøt seg inn i Target-nettverket 15. november 2013 ved å bruke passordopplysninger stjålet fra Fazio Mechanical Services, en Pennsylvania-basert leverandør av HVAC- systemer.
90 søksmål har blitt anlagt mot Target av kunder for uforsiktighet og erstatningsskade. Target brukte rundt 61 millioner dollar på å svare på bruddet, ifølge rapporten fra fjerde kvartal til investorer.
Stuxnet
Antatt å være et amerikansk-israelsk nettvåpen , er Stuxnet en ondsinnet datamask . Ormen retter seg spesielt mot systemer som automatiserer elektromekaniske prosesser som brukes til å kontrollere maskiner på fabrikkmonteringslinjer eller utstyr for å skille kjernefysisk materiale.
Datamaskinen ormen sies å ha blitt spesielt utviklet for å skade potensielle anriking av uran programmer ved den regjering Iran ; Kevin Hogan, senior direktør for sikkerhetsrespons i Symantec , rapporterte at flertallet av infiserte systemer av Stuxnet-ormen var lokalisert i Den islamske republikken Iran, noe som har ført til spekulasjoner om at det kan ha vært bevisst rettet mot "infrastruktur av høy verdi" i landet inkludert enten Bushehr atomkraftverk eller Natanz atomkraftverk.
Stuxnet blir vanligvis introdusert i forsyningsnettverket via en infisert USB -flash -stasjon med personer med fysisk tilgang til systemet. Ormen beveger seg deretter over cybernettverket og skanner programvare på datamaskiner som styrer en programmerbar logisk kontroller (PLC). Stuxnet introduserer den infiserte rootkiten på PLS -en og endrer kodene og gir uventede kommandoer til PLS -en mens den returnerer en sløyfe med tilbakemeldinger på normal driftsverdi til brukerne.
ATM malware
De siste årene har skadelig programvare kjent som Suceful, Plotus, Tyupkin og GreenDispense påvirket automatiserte kasseringsmaskiner globalt, spesielt i Russland og Ukraina. GreenDispenser gir angripere spesifikt muligheten til å gå opp til et infisert minibanksystem og fjerne kontanthvelvet. Når den er installert, kan GreenDispenser vise en melding om "ute av drift" på minibanken, men angripere med riktig tilgangsinformasjon kan tømme minibankens kontanthvelv og fjerne skadelig programvare fra systemet ved hjelp av en sporbar slettingsprosess.
De andre typene skadelig programvare oppfører seg vanligvis på en lignende måte, og fanger opp magnetiske stripedata fra maskinens minnelagring og instruerer maskinene om å ta ut penger. Angrepene krever at en person med innside -tilgang, for eksempel en minibank -tekniker eller noen andre med en nøkkel til maskinen, plasserer skadelig programvare på minibanken.
Tyupkin -skadelig programvare som var aktiv i mars 2014 på mer enn 50 minibanker ved bankinstitusjoner i Øst -Europa, antas også å ha spredt seg til USA, India og Kina. Skadelig programvare påvirker minibanker fra store produsenter som kjører Microsoft Windows 32-biters operativsystemer. Den skadelige programvaren viser informasjon om hvor mye penger som er tilgjengelig i hver maskin, og lar en angriper ta ut 40 sedler fra den valgte kassetten til hver minibank.
NotPetya / MEDoc
Våren 2017 ble kjernekoden for finanspakken "MEDoc" som ble brukt i Ukraina infisert av NotPetya -viruset og deretter lastet ned av abonnenter. Hackingen ble utført på leverandørens system: enten hacking av selve koden hos leverandøren, eller en hack som omdirigerer nedlastingsforespørsler til en annen server. Presserapporter på den tiden gjør det klart at dette var et forsyningskjede -angrep, men angrepsvektoren som brukes er ikke spesifisert.
British Airways
I løpet av august og september 2018 inneholdt British Airways nettstedets betalingsdel kode som hentet inn betalingsdata fra kunder. Den injiserte koden ble skrevet spesielt for å rute kredittkortinformasjon til et nettsted på et domene baways.com, som feilaktig kan antas å tilhøre British Airways.
SolarWinds
Det antas at den globale forsyningskjedens cyberangrep i 2020 har resultert i et forsyningskjedeangrep rettet mot IT -infrastrukturselskapet SolarWinds , som teller mange føderale institusjoner blant sine kunder, inkludert forretningsmaskinene til National Nuclear Security Administration (NNSA). Den Department of Homeland Security har utstedt Emergency direktiv 21-01, "dempe Solarwinds Orion Kode Kompromiss" som innebærer å koble fra eventuelle nødstilte Windows host OS fra sin virksomhet domene, og gjenoppbygge disse Windows-maskiner ved hjelp av pålitelige kilder. De rammede Windows -operativsystem (OS) -vertene var de som ble overvåket av SolarWinds Orion -overvåkingsprogramvare. DOEs NNSA har siden koblet fra de bruddte Windows -vertene.
I tillegg til den amerikanske føderale regjeringen er 18 000 av SolarWinds 33 000 kunder som bruker SolarWinds Orion programvareoppdateringsplattform sårbare. Orion ble kompromittert i mars og juni 2020, før nettbruddet ble oppdaget av FireEye i desember 2020. For eksempel var Microsoft selv et offer for brudd på oppdateringsprogramvaren. Microsoft jobber nå med FireEye for å inneholde det pågående cyberangrepet i forsyningskjedeprogramvare som brukes av "myndigheter, rådgivning, teknologi, telekom og utvinningsenheter i Nord -Amerika, Europa, Asia og Midtøsten" - FireEye.
Volexity, et cybersikkerhetsfirma, har rekonstruert angrepssekvensen på en ikke navngitt amerikansk tenketank: først utnyttet angriperen et sårbarhet for ekstern kjøring av kode i en Microsoft Exchange-server på stedet; etter at sårbarheten ble utbedret, utnyttet angriperen sikkerhetshull i SolarWinds Orion -plattformen, som ble avslørt i desember 2020; for det tredje ble tenketanken Duo to-faktor autentiserings proxy-server utnyttet for å få tilgang til å bryte infrastrukturen til tenketanken igjen. Basert på Volexity gjenoppbygging, Breaking Forsvars har publisert en forenklet kill kjede forklarer Exchange Server angrepet på anslagsvis 30.000 kunder over hele verden. I juli 2021 kunngjorde SolarWinds at det ble angrepet igjen.
Microsoft Exchange Server
I februar 2021 bestemte Microsoft at angriperne hadde lastet ned noen få filer "(undersett av tjeneste, sikkerhet, identitet)" fra hver:
- "et lite delsett av Azure -komponenter"
- "en liten delmengde av Intune -komponenter"
- "en liten delmengde av Exchange -komponenter"
Ingen av Microsofts arkiver inneholdt produksjonsopplysninger. Lagrene ble sikret i desember, og angrepene opphørte i januar. Imidlertid ble mer enn 20 000 amerikanske organisasjoner i mars 2021 kompromittert om en bakdør som ble installert via feil i Exchange Server. De berørte organisasjonene bruker egen hostet e-post (på stedet i stedet for skybasert) som kredittforeninger, bystyre og små bedrifter. Feilene ble reparert 2. mars 2021, men innen 5. mars 2021 hadde bare 10% av de kompromitterte organisasjonene implementert oppdateringen; bakdøren forblir åpen. Amerikanske tjenestemenn prøver å varsle de berørte organisasjonene som er mindre enn organisasjonene som ble rammet i desember 2020.
Microsoft har oppdatert verktøyet Indikatorer for kompromiss, og har lansert nødhjelpstiltak for Exchange Server -feil. Angrepene på SolarWinds og Microsoft -programvaren antas for øyeblikket å være uavhengige, fra mars 2021. Indikatorene for kompromissverktøyet lar kundene skanne Exchange Server -loggfiler for kompromisser. Minst 10 angripende grupper bruker Exchange Server -feilene. Nettskall kan forbli på en lappet server; dette tillater fortsatt cyberangrep basert på de berørte serverne. Fra 12. mars 2021 dobler utnyttelsesforsøkene seg noen få timer, ifølge Check Point Research, noen i navnet på sikkerhetsforskere selv.
I april 1421 hadde FBI fullført en skjult cyberoperasjon for å fjerne nettskallene fra rammede servere, og informerte serverne om hva som var gjort.
I mai 2021 identifiserte Microsoft 3000 ondsinnede e -postmeldinger til 150 organisasjoner i 24 land, som ble lansert av en gruppe som Microsoft har betegnet 'Nobelium'. Mange av disse e -postene ble blokkert før levering. 'Nobelium' fikk tilgang til en konstant kontakt "e -postmarkedsføringskonto som ble brukt av US Agency for International Development ( USAID )". Sikkerhetsforskere hevder at 'Nobelium' lager e-postmeldinger med spydfisking som blir klikket på av intetanende brukere; koblingene deretter direkte installasjon av ondsinnet 'Nobelium' kode for å infisere brukernes systemer, noe som gjør dem utsatt for løsepenger, spionasje, desinformasjon, etc. Den amerikanske regjeringen har identifisert 'Nobelium' som stammer fra Russlands føderale sikkerhetstjeneste. I juli 2021 forventes den amerikanske regjeringen å navngi initiativtakeren til Exchange Server -angrepene: "Kinas departement for statlig sikkerhet har brukt kriminelle kontrakthackere".
I september 2021 har håndhevingspersonalet i Securities and Exchange Commission (SEC) bedt alle selskaper som har lastet ned eventuelle kompromitterte SolarWinds -oppdateringer om frivillig å overføre data til SEC hvis de har installert de kompromitterte oppdateringene på serverne sine.
Ransomware -angrep
I mai 2021 avslørte et ransomware -angrep på kolonialrørledningen sårbarheten til USAs bensintilførsel på østkysten. Juni 2021 advarte president Biden president Putin om at 16 typer infrastruktur skulle være utenfor grenser for cyberangrep, ellers ville Russland lide under natur. En kombinasjon av forsyningskjede-angrep og ransomware-angrep dukket opp 2. juli 2021 hos tusenvis av selskaper i 17 land. En REvil ransomware -kode er skrevet for å unngå å treffe nettsteder som bruker russisk. REvil -nettstedet er nå frakoblet ifølge The New York Times .
Forebygging
Mai 2021 ga Executive Order 14028 (EO), Improving nationens cybersecurity , oppgave til NIST så vel som andre amerikanske myndigheter å styrke cybersikkerheten i USA. Juli 2021 (dag 60 på EO -tidslinjen) leverte NIST i samråd med Cybersecurity and Infrastructure Security Agency (CISA) og Office of Management and Budget (OMB) '4i': veiledning for brukere av kritisk programvare, som samt "4r": for minimum leverandørtesting av sikkerhet og integritet i programvareforsyningskjeden.
- Dag 30: be om innspill
- Dag 45: Definer 'kritisk programvare'
- Dag 60: EO oppgave 4i, 4r: brukerveiledning og leverandørtesting
- Dag 180: EO oppgave 4c: retningslinjer for å forbedre programvaresikkerheten i forsyningskjeden
- Dag 270: EO oppgave 4e, 4s, 4t, 4u: retningslinjer for forbedring av programvaren i forsyningskjeden
- Dag 360: EO oppgave 4d: retningslinjer for gjennomgang og oppdatering av prosedyrer for programvare i forsyningskjeden
- Dag 365: EO oppgave 4w: sammendragsstøtte for piloten
Myndighetene
The Comprehensive National Cybersecurity Initiative og Cyberspace Policy Review vedtatt av henholdsvis Bush og Obama-administrasjonene, dirigerer amerikansk føderal finansiering for utvikling av flerstrengede tilnærminger for global risikostyring i forsyningskjeden. I følge Adrian Davis fra Technology Innovation Management Review begynner sikring av organisasjoner mot forsyningskjedeangrep med å bygge cyber-motstandsdyktige systemer. Forsyningskjedens motstandskraft er, ifølge ekspert Donal Walters i risikostyring i forsyningskjeden, "forsyningskjedens evne til å takle uventede forstyrrelser", og en av dens kjennetegn er en anerkjennelse av bedriften hvor leverandørkjeden er mest utsatt for infiltrasjon. Supply chain management spiller en avgjørende rolle for å skape effektiv motstandskraft i forsyningskjeden.
I mars 2015 skisserte det britiske forretningsdepartementet under den konservative og liberale demokratiske regjeringskoalisjonen nye forsøk på å beskytte små og mellomstore bedrifter mot cyberangrep, som inkluderte tiltak for å forbedre forsyningskjedens motstandskraft.
Den britiske regjeringen har produsert Cyber Essentials Scheme, som trener bedrifter for god praksis for å beskytte forsyningskjeden og generell cybersikkerhet.
Finansinstitusjoner
The Depository Trust og Clearing Group, en amerikansk post-handel selskap, i sin virksomhet har implementert styring for sårbarhetsstyring i hele leverandørkjeden og ser på IT-sikkerhet langs hele utviklingsprosessen; Dette inkluderer hvor programvare ble kodet og maskinvare produsert.
I en PwC -rapport fra 2014, med tittelen "Threat Smart: Building a Cyber Resilient Financial Institution", anbefaler finanstjenestefirmaet følgende tilnærming for å dempe et cyberangrep:
"For å unngå potensiell skade på en finansinstitusjons bunnlinje, omdømme, merkevare og intellektuell eiendom, må ledergruppen ta eierskap til cyberrisiko. Spesielt bør de samarbeide på forhånd for å forstå hvordan institusjonen vil forsvare seg mot og svare på cyber risiko, og hva som skal til for å gjøre organisasjonen sin cyber motstandsdyktig.
Cybersikkerhetsfirmaer
FireEye , et amerikansk nettverkssikkerhetsselskap som tilbyr automatisert trusselforensikk og dynamisk malware -beskyttelse mot avanserte cyber -trusler, for eksempel avanserte vedvarende trusler og spydfishing, anbefaler bedrifter å ha visse prinsipper på plass for å skape motstandskraft i forsyningskjeden, som inkluderer å ha:
- En liten leverandørbase: Dette gjør at et firma kan ha strammere kontroll over sine leverandører.
- Streng leverandørkontroll: Innføre strenge kontroller på leverandører for å følge lister over godkjent protokoll. Også å gjennomføre sporadiske nettstedrevisjoner på leverandørsteder og å ha personell som besøker nettstedene regelmessig for forretningsformål, gir større kontroll.
- Sikkerhet innebygd i design: Sikkerhetsfunksjoner, for eksempel kontrollsifre , bør utformes i programvaren for å oppdage tidligere uautorisert tilgang til koden. En iterativ testprosess for å få koden funksjonelt herdet og sikkerhetsherdet er en god tilnærming.
April 2015 snakket Sergey Lozhkin, senior sikkerhetsforsker med GReAT ved Kaspersky Lab , om viktigheten av å håndtere risiko fra målrettede angrep og cyber-spionasje-kampanjer, under en konferanse om cybersikkerhet uttalte han:
"Avbøtningsstrategier for avanserte trusler bør omfatte sikkerhetspolicyer og utdanning, nettverkssikkerhet, omfattende systemadministrasjon og spesialiserte sikkerhetsløsninger, som ... programvareoppdateringsfunksjoner, applikasjonskontroll, hvitlisting og en standard nektemodus."