حماية مؤسستك من تزايد هجمات سلسلة توريد البرامج
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
يجد المهاجمون صعوبة في مقاومة إغراء سلاسل توريد البرامج: يمكنهم الوصول بسرعة كبيرة وبسهولة إلى مجموعة واسعة من المعلومات الحساسة – وبالتالي الحصول على دفعات أفضل.
في عام واحد فقط – بين عامي 2000 و 2021 – نمت هجمات سلسلة توريد البرمجيات بأكثر من 300٪. وتعترف 62٪ من المنظمات بأنها تأثرت بمثل هذه الهجمات.
يحذر الخبراء من أن الهجوم لن يتباطأ. في الواقع ، وفقًا لبيانات Gartner ، ستواجه 45٪ من المؤسسات حول العالم هجومًا ببرامج الفدية على سلاسل التوريد الرقمية بحلول عام 2025.
قال زاك مور ، مدير المنتجات الأمنية في InterVision: “لا أحد في أمان”. “من الشركات الصغيرة إلى شركات Fortune 100 إلى أعلى المستويات في حكومة الولايات المتحدة – تأثر الجميع بهجمات سلسلة التوريد في العامين الماضيين.”
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
أمثلة كثيرة
يعد هجوم SolarWinds وثغرة Log4j من أكثر الأمثلة شهرة لهجمات سلسلة توريد البرامج في الذاكرة الحديثة. وكشف كلاهما كيف يمكن أن تكون هجمات سلسلة توريد البرامج منتشرة ، وفي كلتا الحالتين ، لا يزال النطاق الكامل للتداعيات غير واضح حتى الآن.
قال مايكل إيسبيتسكي ، مدير استراتيجية الأمن السيبراني في Sysdig: “أصبحت SolarWinds الطفل الملصق لمخاطر سلسلة التوريد الرقمية”.
ومع ذلك ، قال ، Microsoft Exchange هو مثال آخر كان له نفس التأثير ، “ولكن سرعان ما تم نسيانه.” وأشار إلى أن مكتب التحقيقات الفيدرالي ومايكروسوفت يواصلان تعقب حملات برامج الفدية التي تستهدف عمليات نشر Exchange الضعيفة.
مثال آخر هو Kaseya ، الذي تم اختراقه بواسطة عملاء برامج الفدية في منتصف عام 2021. نتيجة لذلك ، تلقى أكثر من 2000 من عملاء موفر برامج إدارة تكنولوجيا المعلومات نسخة مخترقة من المنتج ، وتم تشفير أنظمتهم في النهاية بين 1000 و 1500 عميل.
قال مور: “الأضرار الفورية لهجوم مثل هذا هائلة”. لكن الأخطر من ذلك هو العواقب طويلة المدى. يمكن أن تكون التكلفة الإجمالية للتعافي هائلة وقد تستغرق سنوات “.
فلماذا تستمر هجمات سلسلة توريد البرامج في الحدوث؟
قال مور إن سبب القصف المستمر هو الاعتماد المتزايد على كود الطرف الثالث (بما في ذلك Log4j).
وأوضح أن هذا يجعل الموزعين والموردين أكثر عرضة للخطر من أي وقت مضى ، وغالبًا ما يتم ربط الضعف بدفع تعويضات أعلى.
قال مور أيضًا ، “أصبح الفاعلون في برامج الفدية دقيقين بشكل متزايد ويستخدمون طرقًا غير تقليدية للوصول إلى أهدافهم”.
على سبيل المثال ، باستخدام بروتوكولات التجزئة المناسبة ، يستهدف وكلاء برامج الفدية أنظمة برامج إدارة تكنولوجيا المعلومات والشركات الأم. ثم ، بعد الخرق ، يستفيدون من هذه العلاقة للتسلل إلى البنية التحتية للشركات التابعة لتلك المنظمة والشركاء الموثوق بهم.
قال مور: “لسوء الحظ ، فإن هجمات سلسلة التوريد شائعة الآن ، ويرجع ذلك جزئيًا إلى وجود مخاطر أكبر”. “أدت الاضطرابات الممتدة في سلسلة التوريد إلى وضع الصناعة في مفترق طرق هش.”
تكلفة منخفضة ومكافأة عالية
قال Crystal Morin ، مهندس أبحاث التهديدات في Sysdig ، إن هجمات سلسلة التوريد منخفضة التكلفة ويمكن أن تكون مجهودًا ضئيلًا ويمكن أن تحقق مكافأة عالية. وغالبًا ما تتم مشاركة الأدوات والتقنيات بسهولة عبر الإنترنت ، وكذلك يتم الكشف عنها من قبل شركات الأمن ، التي تنشر نتائج مفصلة بشكل متكرر.
قال مورين: “إن توفر الأدوات والمعلومات يمكن أن يوفر للمهاجمين الأقل مهارة فرصًا لتقليد الجهات الفاعلة في التهديد المتقدمة أو التعرف بسرعة على التقنيات المتقدمة”.
قال زاك نيومان ، كبير مهندسي البرمجيات والباحثين في Chainguard ، إن هجمات برامج الفدية على سلسلة التوريد تسمح للممثلين السيئين بإلقاء شبكة واسعة. بدلاً من إنفاق الموارد على مهاجمة مؤسسة واحدة ، يمكن أن يؤثر خرق جزء من سلسلة التوريد على مئات أو آلاف المنظمات النهائية. على الجانب الآخر ، إذا كان المهاجم يستهدف منظمة أو كيانًا حكوميًا معينًا ، فإن سطح الهجوم يتغير.
قال نيومان: “بدلاً من الانتظار حتى تواجه منظمة واحدة مشكلة أمنية ، يتعين على المهاجم فقط العثور على مشكلة أمنية واحدة في أي من تبعيات سلسلة توريد البرامج الخاصة بهم”.
لا يوجد تكتيك هجومي / دفاعي واحد يمكنه حماية جميع سلاسل توريد البرامج
قال مور إن الهجمات الأخيرة على سلسلة التوريد تسلط الضوء على حقيقة أنه لا توجد أداة واحدة توفر دفاعًا كاملاً. إذا تم اختراق أداة واحدة فقط في حزمة المنظمة ، فقد تكون العواقب وخيمة.
وقال: “بعد كل شيء ، يمكن اختراق أي إطار حماية أنشأه أشخاص أذكياء من قبل أشخاص أذكياء آخرين”.
وقال إن الدفاع المتعمق ضروري ؛ يجب أن يتضمن ذلك سياسة أمان ذات طبقات ، وحماية الحافة ، وحماية نقطة النهاية ، والمصادقة متعددة العوامل (MFA) وتدريب المستخدم. تعد إمكانات الاسترداد القوية ، بما في ذلك النسخ الاحتياطية المخزنة بشكل صحيح – ومن الناحية المثالية ، خبراء الجهوزية المستعدين للتعبئة بعد الهجوم – أمرًا ضروريًا أيضًا.
قال مور إنه بدون وجود أشخاص مطلعين يديرونها ويديرونها بشكل صحيح ، تفقد التقنيات متعددة الطبقات قيمتها. أو ، إذا لم يطبق القادة الإطار الصحيح لكيفية تفاعل هؤلاء الأشخاص والتقنيات ، فإنهم يتركون ثغرات للمهاجمين ليستغلوها.
قال: “قد يكون العثور على التركيبة الصحيحة من الأشخاص والعمليات والتكنولوجيا أمرًا صعبًا من وجهة نظر التوافر والتكلفة ، ولكنه مع ذلك أمر بالغ الأهمية”.
رؤية شاملة وشاملة
وأشار مورين إلى أن البرامج التجارية عادة ما تكون على رادار فرق الأمن ، ولكن غالبًا ما يتم تجاهل المصدر المفتوح. يجب أن تظل المؤسسات على دراية بجميع البرامج التي تستهلكها وتعيد توظيفها ، بما في ذلك البرامج مفتوحة المصدر وبرامج الجهات الخارجية.
وقالت إن الفرق الهندسية في بعض الأحيان أسرع من اللازم ، أو ينفصل الأمان عن تصميم التطبيقات وتسليمها باستخدام برامج مفتوحة المصدر.
ولكن ، كما تم توضيحه مع المشكلات في التبعيات مثل OpenSSL و Apache Struts و Apache Log4j ، تنتشر الثغرات القابلة للاستغلال بسرعة عبر البيئات والتطبيقات والبنية التحتية والأجهزة.
قال مورين: “الأساليب التقليدية لإدارة نقاط الضعف لا تعمل”. “المنظمات لديها سيطرة قليلة أو معدومة على أمن مورديها خارج الالتزامات التعاقدية ، ولكن هذه ليست ضوابط استباقية.”
قالت إن أدوات الأمان موجودة لتحليل التطبيقات والبنية التحتية لهذه الحزم الضعيفة قبل التسليم وبعده ، لكن يتعين على المؤسسات التأكد من نشرها.
ولكن ، “ما زالت أفضل الممارسات الأمنية الأخرى سارية” ، على حد قولها.
توسيع التركيز الأمني
نصح موران: تحديث وتحسين الاكتشافات بانتظام. قم دائمًا بالتثبيت في المكان – وبأسرع ما يمكن – في أسرع وقت ممكن. اسأل البائعين والشركاء والموردين عما يفعلونه لحماية أنفسهم وعملائهم وبياناتهم الحساسة.
قالت: “ابقوا فوقهم أيضًا”. إذا رأيت مشكلات يمكن أن تؤثر عليها في جهودك الأمنية المعتادة ، فقم بإخبارهم عنها. إذا كنت قد بذلت العناية الواجبة ، لكن أحد مورديك لم يفعل ذلك ، فسوف يزعجك ذلك أكثر إذا تعرضوا للاختراق أو تسريب بياناتك “.
وقال إيسبيتسكي إن مخاوف المخاطر تمتد أيضًا إلى ما هو أبعد من مجرد ثنائيات التطبيقات التقليدية. يتم استهداف صور الحاويات والبنية التحتية كرمز بالعديد من أنواع التعليمات البرمجية الضارة ، وليس فقط برامج الفدية.
قال إيسبيتسكي: “نحن بحاجة إلى توسيع نطاق تركيزنا الأمني ليشمل التبعيات الضعيفة التي تُبنى عليها التطبيقات والبنية التحتية ، وليس فقط البرنامج الذي نثبته على أجهزة الكمبيوتر المكتبية والخوادم”.
في نهاية المطاف ، قال جون جيتر ، كبير مسؤولي المنتجات والتكنولوجيا في RKVST ، بدأت الشركات تكتسب قدرًا أكبر من التقدير لما يصبح ممكنًا “عندما تنفذ النزاهة والشفافية والثقة بطريقة آلية معيارية.”
ومع ذلك ، أكد أن الأمر لا يتعلق دائمًا بسلسلة التوريد فقط الهجمات.
قال جيتر: “في الواقع ، تأتي معظم المشاكل من الأخطاء أو الإغفالات التي نشأت في سلسلة التوريد ، والتي تفتح الهدف بعد ذلك للهجمات الإلكترونية التقليدية”.
لاحظ أنه اختلاف طفيف ، لكنه مهم. “أعتقد أن الجزء الأكبر من الاكتشافات الناشئة عن التحسينات في رؤية سلسلة التوريد العام المقبل ستسلط الضوء على أن معظم التهديدات تنشأ عن الخطأ وليس عن الحقد”.
لا تنشغل فقط ببرامج الفدية
وقال إيسبيتسكي ، على الرغم من أن مخاوف برامج الفدية هي المقدمة والمركز كجزء من نهج أمان نقطة النهاية ، إلا أنها ليست سوى تقنية هجوم محتملة واحدة.
وقال إن هناك العديد من التهديدات الأخرى التي تحتاج المنظمات للاستعداد لها – بما في ذلك التقنيات الحديثة مثل cryptojacking والهجمات القائمة على الهوية وجمع الأسرار.
قال إيسبيتسكي: “يستخدم المهاجمون ما هو أكثر فاعلية ومحورية في البيئات الموزعة لسرقة البيانات وتعريض الأنظمة للخطر والاستيلاء على الحسابات”. “إذا كان لدى المهاجمين وسيلة لنشر تعليمات برمجية ضارة أو برامج فدية ، فسيستخدمونها.”
التقنيات الشائعة ضرورية
في الواقع ، اعترف نيومان بأن هناك تنوعًا كبيرًا فيما يتعلق بما يشكل هجومًا على سلسلة التوريد ، بحيث يصعب على المؤسسات فهم ماهية سطح الهجوم وكيفية الحماية من الهجمات.
على سبيل المثال ، على أعلى مستوى ، تعتبر إحدى الثغرات التقليدية في مكتبة OpenSSL ثغرة أمنية في سلسلة التوريد. يعتبر تعرض مشرف OSS للخطر ، أو المارقة لأسباب سياسية ، ثغرة في سلسلة التوريد. كما أن اختراق مستودع حزم OSS أو اختراق نظام إنشاء مؤسسة يعتبر هجمات على سلسلة التوريد.
قال نيومان: “نحن بحاجة إلى استخدام تقنيات مشتركة نتحملها للحماية من كل نوع من أنواع الهجمات على طول سلسلة التوريد والتخفيف من حدتها”. “يجب إصلاحها جميعًا ، ولكن البدء من حيث يمكن تتبع الهجمات يمكن أن يؤدي إلى بعض النجاح في التخلص منها.”
واقترح نيومان أنه من خلال تبني سياسات قوية وأفضل الممارسات بشكل استباقي لوضعها الأمني ، قد تنظر المؤسسات إلى قائمة التحقق من المعايير ضمن مستويات سلسلة التوريد لإطار عمل البرمجيات (SLSA). يجب على المؤسسات أيضًا فرض سياسات أمان قوية عبر دورة حياة تطوير البرامج الخاصة بالمطورين.
برامج التشجيع والبحوث الأمنية لسلسلة التوريد
ومع ذلك ، أكد نيومان أنه لا يزال هناك الكثير مما يدعو للتفاؤل ؛ الصناعة تحرز تقدمًا.
قال نيومان: “كان الباحثون يفكرون في حل أمن سلسلة توريد البرمجيات لفترة طويلة”. يعود هذا إلى الثمانينيات.
على سبيل المثال ، أشار إلى التقنيات الناشئة من المجتمع مثل إطار التحديث (TUF) أو إطار العمل الداخلي.
وقال إن تركيز الصناعة على فواتير مواد البرمجيات (SBOMs) يعد أيضًا علامة إيجابية ، ولكن هناك المزيد مما يتعين القيام به لجعلها فعالة ومفيدة. على سبيل المثال ، يجب إنشاء SBOMs في وقت البناء مقابل ما بعد وقوعه ، لأن “هذا النوع من البيانات سيكون ذا قيمة كبيرة في المساعدة على منع انتشار الهجوم وتأثيره”.
وأشار أيضًا إلى أن Chainguard شارك في إنشاء مجموعة بيانات واحدة من التسويات الخبيثة لسلسلة توريد البرامج وتحتفظ بها الآن. كشف هذا الجهد عن تسع فئات رئيسية من الهجمات ومئات أو آلاف الحلول الوسط المعروفة.
قال نيومان ، في نهاية المطاف ، “يبحث الباحثون والمنظمات على حدٍ سواء عن طرق لحل هذه المشكلات بشكل نهائي” ، مقابل اتباع مناهج الإسعافات الأولية الشائعة التي نراها اليوم في مجال الأمن.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.