Útok dodavatelského řetězce - Supply chain attack

A útok na dodavatelský řetězec je kybernetický útok která se snaží poškodit organizaci zaměřením na méně bezpečné prvky v napájecí síti. K útoku na dodavatelský řetězec může dojít v jakémkoli odvětví, od finančního sektoru, ropného průmyslu nebo vládního sektoru.[1] Kyberzločinci obvykle manipulují s výrobním procesem produktu instalací a rootkit nebo hardwarové špionážní komponenty.[2] Ve zprávě o ohrožení bezpečnosti na internetu, vytvořené společností Symantec, se uvádí, že útoky na dodavatelský řetězec stále zůstávají součástí prostředí hrozeb, přičemž v roce 2018 došlo k nárůstu o 78 procent.

Příkladem útoků na dodavatelský řetězec je nedávné narušení bezpečnosti Target, východoevropský malware ATM a počítačový červ Stuxnet.

Odborníci na řízení dodavatelského řetězce doporučují přísnou kontrolu nad dodavatelskou sítí instituce, aby se předešlo možnému poškození kyberzločinci.[3]

Přehled

Základní diagram sítě dodavatelského řetězce, který ukazuje, jak se zboží přesouvá z fáze surovin do stavu získaného koncovým spotřebitelem.

Dodavatelský řetězec je systém činností zapojených do manipulace, distribuce, výroby a zpracování zboží za účelem přesunu zdrojů od dodavatele do rukou konečného spotřebitele. Dodavatelský řetězec je složitá síť vzájemně propojených hráčů, kterým se řídí nabídka a poptávka.[4]

Přestože útok na dodavatelský řetězec je široký pojem bez všeobecně dohodnuté definice,[5][6] v souvislosti s kybernetickou bezpečností útok na dodavatelský řetězec zahrnuje fyzickou nedovolenou manipulaci s elektronikou (počítače, bankomaty, energetické systémy, tovární datové sítě) za účelem instalace nezjistitelného malwaru za účelem poškození hráče dále v síti dodavatelského řetězce.[1][2][7]

V obecnějším smyslu nemusí útok na dodavatelský řetězec nutně zahrnovat elektroniku. V roce 2010, kdy lupiči získali přístup k farmaceutickému gigantu Eli Lilly zásobovací sklad, vyvrtáním díry ve střeše a naložením léků na předpis do nákladního automobilu v hodnotě 80 milionů dolarů by se také dalo říci, že provedli útok na dodavatelský řetězec.[8][9] Tento článek se však bude zabývat kybernetickými útoky na fyzické napájecí sítě, které se spoléhají na technologii; útok útoku na dodavatelský řetězec je tedy metodou, kterou používá počítačoví zločinci.[10]

Rámec útoku

Útoky dodavatelského řetězce na informační systémy obecně začínají znakem pokročilá trvalá hrozba který určuje člena dodavatelské sítě s nejslabší kybernetickou bezpečností, aby ovlivnil cílovou organizaci.[10] Podle šetření provedeného společností Verizon Enterprise došlo k 92% incidentů kybernetické bezpečnosti analyzovaných v jejich průzkumu mezi malými firmami.[11]

APT mohou často získat přístup k citlivým informacím fyzickým zásahem do výroby produktu.[12] V říjnu 2008 evropští úředníci donucovacích orgánů „odhalili vysoce sofistikovaný podvodný kruh na kreditních kartách“, který ukradl podrobnosti o účtu zákazníka pomocí nevysledovatelných zařízení vložených do čteček kreditních karet vyrobených v Číně, aby získali přístup k informacím o účtu a opakovaně vybírali banky a Internetové nákupy ve výši odhadovaných ztrát 100 milionů USD.[13]

Rizika

Hrozba útoku na dodavatelský řetězec představuje značné riziko pro moderní organizace a útoky se neomezují pouze na odvětví informačních technologií; útoky na dodavatelský řetězec ovlivňují ropný průmysl, velké maloobchodníky, farmaceutický sektor a prakticky jakýkoli průmysl se složitou dodavatelskou sítí.[1][7]

Fórum pro bezpečnost informací vysvětluje, že riziko plynoucí z útoků na dodavatelský řetězec je způsobeno sdílením informací s dodavateli, uvádí, že „sdílení informací s dodavateli je pro fungování dodavatelského řetězce zásadní, přesto také vytváří riziko ... informace ohrožené v dodavatelský řetězec může být stejně škodlivý jako kompromitovaný zevnitř organizace “.[14]

Zatímco Muhammad Ali Nasir z National University of Emerging Sciences spojuje výše zmíněné riziko s širším trendem globalizace a uvádí: „… v důsledku globalizace, decentralizace a outsourcingu dodavatelských řetězců se také zvýšil počet expozičních bodů z důvodu většího počtu zúčastněných subjektů a ty jsou také rozptýleny po celém světě ... [a] kybernetický útok na [a] dodavatelský řetězec je nejničivějším způsobem, jak poškodit mnoho propojených entit najednou kvůli jeho vlnovému efektu. “[15]

Špatně zvládnuto řízení dodavatelského řetězce systémy se mohou stát významným nebezpečím pro kybernetické útoky, což může vést ke ztrátě citlivých informací o zákaznících, narušení výrobního procesu a může poškodit pověst společnosti.[16]

Nedávné příklady

Útoky kompilátoru

Wired nahlásil spojovací vlákno v nedávných útocích na dodavatelský řetězec softwaru, k 05.03.19.[17]

Tito se domnívali, že se rozšířili z infikovaných, pirátských, populárních překladačů zveřejněných na pirátských webových stránkách. To znamená poškozené verze Apple XCode a Microsoft Visual Studio.[18]

(Teoreticky střídavé překladače [19] může detekovat útoky kompilátoru, když je kompilátor kořenem důvěryhodnosti.)


Obrázek kamenného obchodu Target, kde útok dodavatelského řetězce ukradl mezi 27. listopadem a 15. prosincem 2013 finanční informace o 40 milionech zákazníků.

cílová

Další informace: Historie společnosti Target Corporation

Na konci roku 2013 cílová, americký maloobchod, byl zasažen jedním z největších narušení dat v historii maloobchodu.[20]

V období od 27. listopadu do 15. prosince 2013 došlo v amerických kamenných obchodech Target k datovému hacku. Přibližně 40 milionů zákazníků, kteří dostali kreditní a debetní karty, bylo po zavedení malwaru do systému náchylné k podvodům POS systém ve více než 1 800 obchodech.[20] Porušení údajů o zákaznických informacích společnosti Target mělo přímý dopad na zisk společnosti, který ve čtvrtém čtvrtletí roku 2013 poklesl o 46 procent.[21]

Šest měsíců předtím společnost zahájila instalaci kybernetického bezpečnostního systému v hodnotě 1,6 milionu dolarů. Target měl tým bezpečnostních specialistů, kteří neustále sledovali jeho počítače. Útok dodavatelského řetězce však tato bezpečnostní opatření obešel.[22]

Předpokládá se, že počítačoví zločinci infiltrovali dodavatele třetí strany, aby získali přístup k hlavní datové síti Target.[23] Ačkoli to není oficiálně potvrzeno,[24] úředníci vyšetřování mají podezření, že hackeři poprvé vnikli do sítě Target dne 15. listopadu 2013 pomocí identifikačních údajů přístupového kódu odcizených společnosti Fazio Mechanical Services, poskytovatelem HVAC systémy.[25]

Zákazníci podali proti společnosti Target 90 žalob za neopatrnost a náhradu škody. Podle zprávy ze čtvrtého čtvrtletí investorům společnost Target na reakci na porušení utratila zhruba 61 milionů USD.[26]

Model jaderné elektrárny Bushehr - v íránském pavilonu EXPO 2010 Šanghaj

Stuxnet

Hlavní článek: Stuxnet

Předpokládá se, že je americko-izraelský kybernetická zbraň, Stuxnet je nebezpečný počítačový červ.[27] Červ se konkrétně zaměřuje na systémy, které automatizují elektromechanické procesy používané k řízení strojů na továrních montážních linkách nebo zařízení na oddělování jaderného materiálu.

Počítačový červ je údajně speciálně vyvinut za účelem poškození potenciálu obohacování uranu programy podle Vláda Íránu; Kevin Hogan, hlavní ředitel bezpečnostní reakce v Symantec uvedl, že většina infikovaných systémů červem Stuxnet byla umístěna v Íránské islámské republice,[28] což vedlo ke spekulacím, že se mohlo záměrně zaměřovat na „infrastrukturu vysoké hodnoty“ v zemi[29] včetně buď Jaderná elektrárna Bushehr nebo jaderná elektrárna Natanz.[30]

Stuxnet se obvykle zavádí do napájecí sítě prostřednictvím infikovaného USB flash disku u osob s fyzickým přístupem do systému. Červ pak cestuje přes kybernetickou síť a skenuje software na počítačích ovládajících a programovatelný logický řadič (PLC). Stuxnet zavádí infikovaný rootkit do PLC úpravou kódů a vydávání neočekávaných příkazů PLC, zatímco vrací smyčku zpětné vazby hodnot normální provozní hodnoty uživatelům.[31]

ATM malware

V posledních letech ovlivnil malware známý jako Suceful, Plotus, Tyupkin a GreenDispense bankomaty globálně, zejména v Rusku a na Ukrajině.[32] GreenDispenser konkrétně dává útočníkům možnost přistoupit k infikovanému bankomatovému systému a odebrat jeho hotovostní trezor. Po instalaci může GreenDispenser zobrazit v bankomatu zprávu „mimo provoz“, ale útočníci se správnými přístupovými údaji mohou vyprázdnit pokladnu bankomatu a odstranit malware ze systému pomocí nevystopovatelného procesu mazání.[33]

Ostatní typy malwaru se obvykle chovají podobným způsobem, zachycují data magnetického proužku z paměti paměti zařízení a dávají strojům pokyn k výběru hotovosti. Útoky vyžadují, aby osoba s přístupem zasvěcených osob, například technik ATM nebo kdokoli jiný, kdo má klíč od stroje, umístila malware do bankomatu.[34]

Předpokládá se, že malware Tyupkin aktivní v březnu 2014 na více než 50 bankomatech v bankovních institucích ve východní Evropě se v té době rozšířil také do USA, Indie a Číny. Malware ovlivňuje bankomaty od hlavních výrobců s 32bitovými operačními systémy Microsoft Windows. Malware zobrazuje informace o tom, kolik peněz je na každém stroji k dispozici, a umožňuje útočníkovi stáhnout 40 poznámek z vybrané kazety každého bankomatu.[35]

NotPetya / M.E.Doc

Na jaře roku 2017 byl základní kód finančního balíčku „M.E.Doc“ použitého na Ukrajině napaden virem NotPetya a následně stažen předplatiteli. Hack byl proveden v systému poskytovatele: buď hacknutí samotného kódu u poskytovatele, nebo hack přesměrování požadavků na stažení na jiný server. Tiskové zprávy v té době objasňovaly, že se jednalo o útok dodavatelského řetězce, ale použitý vektor útoku není specifikován.[36]

British Airways

Během srpna a září 2018 obsahovala část plateb na webových stránkách British Airways kód, který získal údaje o platbách zákazníků. Vložený kód byl napsán konkrétně pro směrování informací o kreditní kartě na web v doméně baways.com, o kterém by se mohlo mylně domnívat, že patří společnosti British Airways.[37]

Prevence

Vláda

The Komplexní národní iniciativa pro kybernetickou bezpečnost a Cyberspace Policy Review, schválené Bushovou a Obamovou správou, řídí přímé federální financování USA pro rozvoj mnohostranných přístupů k řízení rizik globálního dodavatelského řetězce.[38][39] Podle Adriana Davise ze společnosti Technology Innovation Management Review začíná zabezpečení organizací před útoky na dodavatelský řetězec budováním systémů odolných vůči kybernetickým útokům.[40] Odolnost dodavatelského řetězce je podle experta na řízení rizik v dodavatelském řetězci Donal Waltersa „schopnost dodavatelského řetězce zvládat neočekávané poruchy“ a jednou z jeho charakteristik je celopodnikové uznání toho, kde je dodavatelský řetězec nejvíce náchylný k infiltraci. Řízení dodavatelského řetězce hraje klíčovou roli při vytváření účinné odolnosti dodavatelského řetězce.[41]

V březnu 2015 načrtlo britské ministerstvo obchodu v rámci koalice konzervativní a liberální demokracie nové snahy o ochranu Malé a střední podniky z kybernetických útoků, které zahrnovaly opatření ke zlepšení odolnosti dodavatelského řetězce.[42]

Vláda Spojeného království vypracovala program Cyber ​​Essentials Scheme, který školí firmy na osvědčené postupy k ochraně jejich dodavatelského řetězce a celkové kybernetické bezpečnosti.[43]

Finanční instituce

The Důvěrný depozitář a clearing Group, americká post-trade společnost, ve svých operacích implementovala řízení pro správu zranitelností v celém svém dodavatelském řetězci a zaměřuje se na IT bezpečnost po celou dobu životního cyklu vývoje; to zahrnuje i to, kde byl kódován software a hardware vyroben.[44]

Ve zprávě PwC z roku 2014 s názvem „Threat Smart: Building a Cyber ​​Resilient Financial Institution“ společnost zabývající se finančními službami doporučuje následující přístup ke zmírnění kybernetického útoku:

„Aby se zabránilo možnému poškození spodního řádku, pověsti, značky a duševního vlastnictví finanční instituce, musí výkonný tým převzít odpovědnost za kybernetické riziko. Konkrétně by měl spolupracovat předem, aby pochopil, jak se bude instituce bránit a reagovat na kybernetické riziko. rizika a co bude zapotřebí, aby byla jejich organizace kyberneticky odolná.[45]

Firmy zabývající se kybernetickou bezpečností

FireEye, společnost zabývající se bezpečností sítí v USA, která poskytuje automatizovanou forenzní hrozbu a dynamickou ochranu proti malwaru před pokročilými kybernetickými hrozbami, jako jsou pokročilé trvalé hrozby a phishing typu spear,[46] doporučuje firmám, aby zavedly určité zásady pro vytvoření odolnosti ve svém dodavatelském řetězci, mezi něž patří:

  • Malá dodavatelská základna: To umožňuje firmě mít přísnější kontrolu nad svými dodavateli.
  • Přísné ovládací prvky dodavatele: Ukládání přísných kontrol dodavatelům za účelem dodržování seznamů schválených protokolů. Větší kontrolu umožňuje také provádění příležitostných auditů na místě u dodavatelů a pravidelná návštěva pracoviště pro obchodní účely.
  • Zabezpečení zabudované do designu: V softwaru by měly být navrženy bezpečnostní funkce, jako jsou kontrolní číslice, aby detekovaly jakýkoli předchozí neoprávněný přístup ke kódu. Dobrým přístupem je iterativní testovací proces k získání funkčně zpevněného a zabezpečeného zpevnění kódu.[47]

Dne 27. dubna 2015 Sergey Lozhkin, vedoucí bezpečnostní pracovník s GReAT v Kaspersky Lab, hovořil o důležitosti řízení rizik z cílených útoků a kyberšpionážních kampaní, během konference o kybernetické bezpečnosti uvedl:

„Strategie zmírňování pokročilých hrozeb by měly zahrnovat bezpečnostní politiky a vzdělávání, zabezpečení sítě, komplexní správu systému a specializovaná bezpečnostní řešení, jako jsou ... funkce opravy softwaru, ovládání aplikací, seznam povolených a výchozí režim odepření.“[48]

Viz také

Reference

  1. ^ A b C „Cyber ​​Attacks Next Generation Target Oil and Gas SCADA | Pipeline & Gas Journal“. www.pipelineandgasjournal.com. Citováno 27. října 2015.
  2. ^ A b „Nový malware zasáhl bankomaty a elektronické jízdenky“. SC Magazine UK. Citováno 29. října 2015.
  3. ^ Urciuoli, L., Männistö, T., Hintsa, J., & Khan, T. (2013). BEZPEČNOST DODÁVKY ŘETĚZOVÉHO CYBERU - MOŽNÁ HROZBY. Informace a bezpečnost, 29(1), 51-68. Citováno 2015-10-29
  4. ^ „Definice dodavatelského řetězce | Investopedia“. Investopedia. Citováno 4. listopadu 2015.
  5. ^ Největší rizika představují dodavatelský řetězec, kybernetická bezpečnost a geopolitické problémy, protože riziko stoupá na důležitosti a profil říká, že manažeři rizik na konferenci o meči aktivních rizik. (28. července 2015). M2 Presswire Citováno 2015-11-4
  6. ^ Napolitano, J. (6. ledna 2011). Jak zajistit globální dodavatelský řetězec. Wall Street Journal Citováno 2015-11-4
  7. ^ A b Kuchler, Hannah (28. května 2014). „Kybernetičtí útočníci se zaměřují na zdravotnické a farmaceutické společnosti'". Financial Times. ISSN  0307-1766. Citováno 27. října 2015.
  8. ^ „Krádež drog je velká“. Štěstí. Citováno 4. listopadu 2015.
  9. ^ „Řešení krádeže drog Eli Lilly“. www.securitymagazine.com. Citováno 4. listopadu 2015.
  10. ^ A b CERT-UK (2015). „Kybernetická bezpečnostní rizika v dodavatelském řetězci“ (PDF). Archivovány od originál (PDF) dne 18. února 2015. Citováno 27. října 2015.
  11. ^ „Zpráva o vyšetřování porušení údajů za rok 2014“ (PDF). Verizon Enterprise. 2014. Citováno 27. října 2015.
  12. ^ 21:21, 10. října 2008 v; Ibm, Austin Modine tweet_btn () Austin Modine Zaslat e-mailové upozornění, když tento autor zveřejní společná témata. „Tampoři organizovaného zločinu s evropskými zařízeními pro přejímání karet“. Citováno 27. října 2015.CS1 maint: číselné názvy: seznam autorů (odkaz)
  13. ^ Gorman, Siobhan. „Podvodný prsten nese údaje z karet do Pákistánu“. Wall Street Journal. ISSN  0099-9660. Citováno 27. října 2015.
  14. ^ „Bezpečnostní formulář“ (PDF).
  15. ^ Nasir, Muhammad Ali (červen 2015). „Možné kybernetické útoky na globální dodavatelský řetězec ropy“. 2015 Mezinárodní konference o kybernetické situaci, povědomí o datech a hodnocení (CyberSA). Kybernetické situační povědomí, analýza dat a hodnocení (CyberSA). s. 1–7. CiteSeerX  10.1.1.695.1707. doi:10.1109 / CyberSA.2015.7166137. ISBN  978-0-9932-3380-7. S2CID  18999955.
  16. ^ Urciuoli, Luca (duben 2015). „Kybernetická odolnost: strategický přístup k řízení dodavatelského řetězce“. Talent First Network. ProQuest  1676101578.
  17. ^ Greenberg, Andy (3. května 2019). „Tajemná hackerská skupina je na únosu řádění dodavatelského řetězce“. Kabelové. ISSN  1059-1028. Citováno 16. července 2019.
  18. ^ Cox, Joseph (18. září 2015). „Hack Brief: Malware se vplíží do čínského iOS App Store“. Kabelové. ISSN  1059-1028. Citováno 16. července 2019.
  19. ^ „Plně potlačit důvěryhodnost důvěry prostřednictvím rozmanité dvojí kompilace“. dwheeler.com. Citováno 16. července 2019.
  20. ^ A b „Cílové narušení dat: Proč musí britské podniky věnovat pozornost“. Počítačový týden. Citováno 27. října 2015.
  21. ^ Harris, Elizabeth A. (26. února 2014). „Data Breach bolí zisk v cíli“. The New York Times. ISSN  0362-4331. Citováno 27. října 2015.
  22. ^ „Zmeškané alarmy a 40 milionů odcizených čísel kreditních karet: Jak cíl to vyhodil“. BloombergView. Citováno 30. října 2015.
  23. ^ Kuchler, Hannah (20. října 2014). „Hackeři zjistili, že dodavatelé jsou snadný způsob, jak cílit na společnosti“. Financial Times. ISSN  0307-1766. Citováno 27. října 2015.
  24. ^ „Archivovaná kopie“ (PDF). Archivovány od originál (PDF) dne 6. listopadu 2015. Citováno 27. října 2015.CS1 maint: archivovaná kopie jako titul (odkaz)
  25. ^ „Target Hackers Broke in Via HVAC Company - Krebs on Security“. krebsonsecurity.com. Citováno 27. října 2015.
  26. ^ „Cíl nabízí vypořádání v rozporu s údaji o 10 milionů $“. NPR.org. Citováno 30. října 2015.
  27. ^ „Potvrzeno: USA a Izrael vytvořily Stuxnet, ztratily nad ním kontrolu“. Ars Technica. Citováno 27. října 2015.
  28. ^ „Írán byl hlavním cílem červu SCADA“. Computerworld. Citováno 27. října 2015.
  29. ^ reportér, Jonathan Fildes Technology; Novinky, B. B. C. „Červ Stuxnet 'se zaměřil na vysoce hodnotná íránská aktiva'". BBC novinky. Citováno 27. října 2015.
  30. ^ Fildes, Jonathan (23. září 2010). "Červ Stuxnet 'se zaměřil na vysoce hodnotná íránská aktiva'". BBC novinky. Vyvolány 23 September 2010.
  31. ^ „Prohlášení o kybernetické válce“. VANITY FAIR. Dubna 2011.
  32. ^ "Virus Tyupkin (malware) | Zabezpečení bankomatu | Definice viru". www.kaspersky.com. Citováno 4. listopadu 2015.
  33. ^ „Meet GreenDispenser: A New Breed of ATM Malware | Proofpoint“. www.proofpoint.com. Citováno 30. října 2015.
  34. ^ „Nový ATM Malware zachycuje PIN a hotovost - aktualizováno“. WIRED. Citováno 30. října 2015.
  35. ^ „Tyupkin: manipulace s bankomaty s malwarem - Securelist“. securelist.com. Citováno 19. května 2020.
  36. ^ „Rodinná firma na Ukrajině tvrdí, že není zodpovědná za kybernetický útok“. reuters.com. Citováno 1. června 2019.
  37. ^ „Krádež dat zákazníků“. britishairways.com. Citováno 1. června 2019.
  38. ^ „Recenze zásad kyberprostoru“ (PDF). Whitehouse.gov. Citováno 29. října 2015.
  39. ^ „Komplexní národní iniciativa pro kybernetickou bezpečnost“. Bílý dům. Citováno 29. října 2015.
  40. ^ Davis, A. (2015). Začlenění kybernetické odolnosti do dodavatelských řetězců. Revize řízení technologických inovací, 5(4), 19-27. Citováno 29-10-2015
  41. ^ Waters, D. 2011. Řízení rizik dodavatelského řetězce (2. vyd.). London: Kogan Page. Zpřístupněno 29. 10. 2015
  42. ^ „Kybernetické bezpečnostní pojištění: nové kroky k tomu, aby se světové centrum stalo ve Velké Británii - Tiskové zprávy - GOV.UK“. www.gov.uk. Citováno 30. října 2015.
  43. ^ „Cyber ​​Essentials - OFICIÁLNÍ STRÁNKA“. www.cyberstreetwise.com. Citováno 30. října 2015.
  44. ^ Hoover, J. N. (2009). Zabezpečte kybernetický dodavatelský řetězec. Informační týden, (1247), 45-46,48,50,52. Citováno z 2015-10-29
  45. ^ „Hrozba chytrá: Budování kybernetické odolné finanční instituce“ (PDF). Hledisko FS. PwC. Října 2014. Citováno 4. června 2020.
  46. ^ „Advanced Cyber ​​Security - Stop Cyber ​​Attacks | FireEye“. FireEye. Citováno 30. října 2015.
  47. ^ „NEJLEPŠÍ POSTUPY V ŘÍZENÍ RIZIKA ŘÍZENÍ DODÁVKY CYBER-SUPPLY (PDF). Citováno 30. října 2015.
  48. ^ „Kaspersky Lab a EY varují organizace, aby se připravily na kybernetické hrozby | Kaspersky Lab“. www.kaspersky.com. Citováno 30. října 2015.

externí odkazy