Takové útoky se stávají velkým bolehlavem pro týmy kybernetické bezpečnosti a čelit jim je obrovskou výzvou.
Vzhledem k tomu, že se útoky na dodavatelský řetězec stávají stále běžnějším typem kybernetického útoku, jsou profesionálové v oblasti kybernetické bezpečnosti nuceni přijít s novými, výkonnějšími řešeními pro boj s touto přetrvávající hrozbou pro jednotlivce a organizace po celém světě svět.
Než však budeme schopni vyvinout účinnou obranu proti kybernetickým útokům, musíme zjistit, proč jsou útoky na dodavatelský řetězec na vzestupu, a poučit se z našich minulých chyb.
Co jsou to útoky na dodavatelský řetězec?
Útok na dodavatelský řetězec je typ kybernetického útoku, který se zaměřuje na organizace hledáním slabých článků v jejich dodavatelském řetězci, jako je software, hardware a služby třetích stran. I když má organizace sama o sobě silnou kybernetickou bezpečnost, obvykle existuje nezabezpečený software dodavatelů nebo jiných třetích stran, které lze použít jako zadní vrátka k obejití zabezpečení organizace systémy.
Stručně řečeno, útočník najde snadný cíl a využije důvěryhodného vztahu mezi stranami uvnitř dodavatelského řetězce. Obvykle infikují software dodavatele malwarem, aby získali neoprávněný přístup do dodavatelského řetězce, a poté šíří malware po síti. Jak se domníváte, může to způsobit rozsáhlé úniky dat.
Bohužel, protože kompromitované komponenty v úspěšném útoku na dodavatelský řetězec se šíří jako požár, je těžké tyto typy kybernetických útoků odhalit. Pokud máte podezření, že vaše citlivá data byla ohrožena, existují způsoby, jak to udělat chránit se po úniku dat, ale budete muset jednat rychle.
Proč útoků na dodavatelský řetězec přibývá
To, co dělá útoky na dodavatelský řetězec obzvláště nebezpečné, je skutečnost, že i sebemenší trhlina v zabezpečení nebo sebemenší změna mohou mít vážné následky. Pokud je například kompromitován jeden kus kódu, může utrpět celý dodavatelský řetězec. Ani důvěryhodný software není před těmito typy útoků bezpečný, protože i ten nejdůvěryhodnější software má své slabiny a útočníci jsou více než ochotni je zneužít.
Nyní se podívejme na některé z hlavních důvodů, proč jsou útoky na dodavatelský řetězec na vzestupu.
1. Chyby zabezpečení v softwaru s otevřeným zdrojovým kódem
Zatímco software s otevřeným zdrojovým kódem přináší organizacím skvělé výhody (od flexibility a transparentnosti po snižování nákladů), jeho zranitelnosti představují vážná rizika pro zabezpečení aplikací. Vzhledem k tomu, že kdokoli může kontrolovat, vylepšovat nebo jinak upravovat software s otevřeným zdrojovým kódem, je otevřený útokům na dodavatelský řetězec.
Kyberzločinci by mohli snadno zneužít její zranitelnosti k získání neoprávněného přístupu do systémů organizace, kde by mohli ukrást citlivá data nebo sabotovat software nebo celý systém.
2. Software dodaný dodavatelem
Jak již můžete hádat, spoléhání se na aplikace třetích stran může zvýšit riziko síťových kybernetických útoků a bezpečnostních hrozeb na úrovni sítě. Pokud dojde k napadení aplikace třetí strany, kyberzločinci by se mohli dostat k citlivým datům všech, kteří ji aktuálně používají.
Navíc aplikace nemusí mít stejnou ochranu soukromí jako organizace, což znamená, že uživatelská data by mohla být sdíleny s třetími stranami bez jejich souhlasu – nebo v horším případě by mohly být prodány inzerentům za rychlý peníz.
3. Sofistikovanější malware
Ať už mluvíme o ransomwaru, spywaru nebo útoku typu control and command, škodlivý software (aka malware) je stále sofistikovanější – dokonce i ChatGPT se používá k vytváření malwaru.
Jak se malware vyvíjí, je stále obtížnější jej odhalit v rámci dodavatelského řetězce, protože se může maskovat jako zabezpečená aplikace nebo legitimní aktualizace softwaru.
4. Vnitřní hrozby nebo lidská chyba
U útoků na dodavatelský řetězec se vnitřní hrozby nezastaví u zaměstnanců organizace, ale zahrnují také všechny třetí strany, se kterými organizace spolupracuje. Chcete-li čelit tomuto typu hrozby, je důležité použít přísnou kontrolu přístupu a sledování aktivity uživatelů. Přestože jsou tyto útoky poměrně vzácné, jejich důsledky mohou být pro organizaci katastrofální.
Faktor lidské chyby nelze zcela odstranit, ale lze jej minimalizovat správným zabezpečením postupy, jako je podpora informovanosti o problémech dodavatelského řetězce a poskytování školení pro zaměstnanci. Koneckonců, lidská chyba může být něco tak jednoduchého, jako je kliknutí na špatný odkaz v e-mailu a nevědomé stažení malwaru, aby vás špehoval a ukradl vaše data.
5. Neexistující šifrování
I když důvěřovat obchodním partnerům, poskytovatelům třetích stran, zaměstnancům a koncovým uživatelům je docela zdvořilá věc, pro bezpečnost organizace to moc nepřinese. Aby byla citlivá data v rámci organizace bezpečná, end-to-end šifrování je nutností.
Se silným šifrováním na vaší straně budou mít kyberzločinci potíže s vytvořením zadních vrátek pro exfiltraci dat během útoku na dodavatelský řetězec. Stručně řečeno, všechna vaše soukromá data zůstanou soukromá.
6. Nulová důvěra se snadněji řekne, než udělá
Model nulové důvěry nepředpokládá, že uživatelé a aplikace jsou ve výchozím nastavení důvěryhodní, ale před povolením přístupu k datům a dalším IT aktivům vyžaduje ověření. Blokováním neoprávněných aktivit v rámci sítě může rámec nulové důvěry snížit útoky na dodavatelský řetězec.
Další věcí, kterou by rámec nulové důvěry mohl snížit, je produktivita, a proto jej mnoho organizací přijímá pomalu. Kromě toho je zde také problém s dodržováním stávajících bezpečnostních systémů a také čas a náklady, které by mohly malé organizace zastavit.
Můžeme snížit bezpečnostní rizika dodavatelského řetězce?
Ano, můžeme, i když to není tak jednoduché, jak se může zdát. Ve většině případů jsou útoky na dodavatelský řetězec dalekosáhlé, dobře prozkoumané a dobře financované operace. Využívají také důvěru mezi obchodními partnery a poskytovateli softwaru třetích stran, což ztěžuje předcházení těmto typům útoků a jejich odhalování dříve, než dojde k poškození.
Můžeme však začít aplikací modelu nulové důvěry (zahrnující vícefaktorovou autentizaci a end-to-end šifrování), jakož i posílením bezpečnostních systémů a prováděním pravidelných bezpečnostních auditů. Nikdy také nepodceňujte, co může školení zaměstnanců udělat pro celkovou bezpečnost organizace.
