يُظهر خرق بيانات 3CX أن المؤسسات لا تستطيع التغاضي عن هجمات سلسلة توريد البرامج
انضم إلى كبار المديرين التنفيذيين في سان فرانسيسكو يومي 11 و 12 يوليو ، لمعرفة كيف يدمج القادة استثمارات الذكاء الاصطناعي ويحسنونها لتحقيق النجاح.. يتعلم أكثر
في الشهر الماضي ، واجه مزود VoIP 3CX خرقًا للبيانات بعد أن قام موظف بتنزيل نسخة طروادة من برنامج X_Trader من Trading Technologies. بعد اقتحام بيئة البائع ، استخدم ممثلو التهديد الكوري الشمالي ثغرة لشحن إصدارات ضارة من تطبيق 3CX لسطح المكتب إلى العملاء في نهاية المطاف كجزء من هجوم سلسلة توريد البرامج.
أسفر الحادث عن حل وسط مؤسستين مهمتين للبنية التحتية وكيانين تجاريين ماليين. إنها واحدة من أولى الحالات المعروفة حيث قام أحد الجهات الفاعلة بالتهديد بربط هجومين لسلسلة التوريد معًا في هجوم واحد.
والأهم من ذلك ، أن هذا الخرق البارز يسلط الضوء على الخراب الذي يمكن أن يحدثه حل وسط من طرف ثالث على مؤسسة ، ويظهر أن المنظمات بحاجة إلى التركيز على التخفيف من المخاطر الأولية إذا أرادت تجنب حوادث مماثلة في المستقبل.
بعد كل شيء ، عند التفكير في أن هجمات سلسلة التوريد زادت بنسبة 633٪ خلال العام الماضي ، مع وجود 88000 حالة معروفة ، لا يمكن لقادة الأمن افتراض أن هذه الهجمات نادرة أو غير متكررة.
حدث
تحويل 2023
انضم إلينا في سان فرانسيسكو يومي 11 و 12 يوليو ، حيث سيشارك كبار المسؤولين التنفيذيين في كيفية دمج استثمارات الذكاء الاصطناعي وتحسينها لتحقيق النجاح وتجنب المزالق الشائعة.
سجل الان
فهم مخاطر هجمات سلسلة توريد البرمجيات
منذ أن نظم سايبرغانغ روسي اختراق سلسلة التوريد في ديسمبر 2020 للوصول إلى أنظمة SolarWinds الداخلية وشحن تحديثات ضارة للعملاء ، بالإضافة إلى فتح الوصول إلى ما يصل إلى 18000 من عملاء SolarWinds ، ظلت هذه الأساليب من الهجمات تمثل تهديدًا مستمرًا المنظمات.
أحد الأسباب الرئيسية لذلك هو أنها فعالة من حيث التكلفة. بالنسبة لمجرمي الإنترنت ذوي الدافع المالي والتجسس ، تعد هجمات سلسلة التوريد خيارًا مناسبًا لأن المنظمة يمكنها اختراق بائع برمجيات واحد والوصول إلى العديد من المنظمات النهائية لزيادة وصولها إلى أقصى حد.
في الوقت نفسه ، فإن قدرة المتسلل على وضع نفسه بين البائع وعلاقة العميل ، تجعله في وضع يسمح له بالتنقل أفقياً بين مؤسسات متعددة في وقت واحد للوصول إلى أكبر قدر ممكن من البيانات.
“من الصعب للغاية تنفيذ هجمات سلسلة التوريد ، ولكنها فعالة من حيث التكلفة إذا نجحت ، لأنها تفتح مساحة هجوم واسعة جدًا ، وعادة ما تكون معروفة ومتاحة حصريًا للمهاجم. قال أميتاي كوهين ، قائد مكافحة ناقلات المعلومات في Wiz ، في رسالة بريد إلكتروني: . إلى VentureBeat.
قال كوهين: “بالنسبة لبرامج المستخدم النهائي ، يمكن لممثل التهديد الحصول على وصول مبدئي إلى كل محطة عمل أو خادم في شبكة المؤسسة المستهدفة التي تم تثبيت التطبيق عليها”.
ما الذي يجعل اختراق 3CX بارزًا
وفقًا لاستشارات Mandiant ، الفريق الذي اكتشف ناقل التسوية الأولي للخرق ، كان الحادث ملحوظًا ليس فقط بسبب هجمات سلسلة توريد البرامج المرتبطة ، ولكن لأنه سلط الضوء على أن ممثل التهديد الكوري الشمالي ، المشار إليه باسم UNC4736 ، قد طور . القدرة على شن هذه الهجمات.
هذه الأنواع من الانتهاكات تحدث منذ فترة طويلة. قال بن ريد ، مدير مانديانت لتحليل التجسس الإلكتروني ، في مقابلة مع VentureBeat: “كان هذا ملحوظًا لأنها كانت المرة الأولى التي رأينا فيها هذه الأشياء نوعًا ما مرتبطة ببعضها البعض ، حيث أدى نوع ما إلى نوع آخر”. وأضاف أن الهجوم نبه الخبراء الأمنيين إلى أن “كوريا الشمالية لديها القدرة الفنية على تنفيذ هذه الأشياء”.
عنصر آخر مثير للقلق في هذا الحادث هو حقيقة أن الخرق ظل غير مكتشف لفترة طويلة من الزمن ، مما أدى إلى مخاوف من احتمال تضرر منظمات أخرى غير معروفة.
والجزء الآخر هو تقنيات التداول [breach] حدث ذلك في ربيع عام 2022 وبقدر ما نعلم ، لم يتم الكشف عن تفاصيله من قبل. لذلك هناك احتمال أن يكون هذا قد حدث في أماكن أخرى ولم يعثر عليه أحد بعد “.
المزيد قادم من UNC4736
في هذه المرحلة ، من السابق لأوانه تحديد ما إذا كان نجاح هذا الاختراق سيلهم الجهات الفاعلة الأخرى في التهديد لشن هجمات مماثلة. ومع ذلك ، يعتقد ديك أوبراين ، محلل الاستخبارات الرئيسي في سيمانتيك ، الذي كان يراقب الحادث عن كثب ، أن مجموعة UNC4736 التي تقف وراء الهجوم من المرجح أن تشن هجمات مماثلة في المستقبل.
“نحن نرى ممثلاً برعاية من كوريا الشمالية يحصل على موطئ قدم في منظمات متعددة في مناطق جغرافية متعددة. وبينما يبدو أن الدافع في الوقت الحالي ربما يكون ماليًا ؛ مع كوريا الشمالية ، لا يمكنك استبعاد حدوث أي شيء آخر “.
قال أوبراين: “لن أتفاجأ على الإطلاق إذا رأينا هجومًا آخر على سلسلة التوريد من هذه المجموعة”. “أعتقد أن مدى وصول هذه المجموعة من خلال هجمات سلسلة التوريد هو مدعاة للقلق.”
نتيجة لذلك ، تحتاج المؤسسات إلى تشديد ضوابط الشبكة الداخلية لمنع هؤلاء الممثلين من الانتقال أفقياً من نظام إلى آخر ، كجزء مما تسميه القراءة نهج “افتراض التسوية”.
في الممارسة العملية ، يعني هذا دمج تجزئة الشبكة ، والذي يقسم الشبكة إلى أجزاء أصغر وتنفيذ ضوابط وصول بدون ثقة للحد من الوصول المتميز إلى الموارد. بهذه الطريقة ، إذا تمكن المهاجم من الوصول إلى البيئة ، فإن حركته تكون محدودة ، مما يسهل احتواء الحادث.
كيف يمكن للمؤسسات التخفيف من مخاطر الطرف الثالث
في حين أن الضوابط الداخلية مثل تجزئة الشبكة وعناصر التحكم في الوصول إلى الثقة الصفرية تقطع طريقة ما للتخفيف من مخاطر الحركة الجانبية بمجرد دخول المهاجم إلى بيئة المؤسسة ، فإنها لا تفعل شيئًا يذكر لمواجهة مخاطر اختراق بائع البرامج الأولية في المقام الأول.
نظرًا لأن المؤسسات لا يمكنها التحكم في ممارسات وعمليات الأمن الداخلي لبائعي الجهات الخارجية ، يجادل كوهين بأن العملاء بحاجة إلى “اختيار البائعين الذين لديهم سجل حافل بالأمان”.
يقترح Gartner أنه يمكن للمؤسسات اختبار الوضع الأمني للبائع من خلال إجراء العناية الواجبة في شكل تقييمات للمخاطر ، ليس فقط قبل توقيع العقد مع طرف ثالث ، ولكن طوال العلاقة التجارية بأكملها.
كجزء من تقييم المخاطر ، يجب على المؤسسة أن تطلب عمليات تدقيق داخلية وتقارير للمخاطر ، وتصدر استبيانات ، وتحلل بيانات الصناعة الأوسع (على سبيل المثال ، هل تنتمي المنظمة إلى صناعة معرضة بدرجة أكبر لخطر الهجمات الإلكترونية) لتحديد مستوى المخاطر التي يقدمها شراكة تجارية.
من المفيد أيضًا مراجعة اللوائح التي تلتزم بها المؤسسة والتحقق من إثبات أي شهادات صادرة عن مؤسسات تقييم قياسية تابعة لجهات خارجية ، مثل ISO ، لفهم مستوى الضوابط المطبقة داخل البيئة بشكل أفضل.
في حين أن العناية الواجبة وحدها لن تخفف من مخاطر الطرف الثالث تمامًا ، إلا أنها يمكن أن تساعد المؤسسات على استبعاد البائعين بإجراءات أمنية أقل تحديدًا أو فاعلية.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
