على مدى السنوات العديدة الماضية ، انتقل المتسللون من استهداف الشركات فقط إلى استهداف سلسلة التوريد الخاصة بتلك الشركات أيضاً. إحدى أهم نقاط الضعف في هذا المجال هي سلسلة توريد البرامج software supply chain. أصبح استغلال هذه النقطة طريقة شائعة للوصول إلى المعلومات الهامة للشركات. توقعت دراسة أجرتها Gartner أنه بحلول عام 2025 ، ستواجه 45٪ من الشركات هجوماً يستهدف سلسلة التوريد.
يمكن أن يأتي هجوم سلسلة توريد البرامج بأشكال مختلفة ، سواءاً عن طريق إدخال تعليمات برمجية ضارة في برامج المؤسسة أواستغلال نقاط الضعف في البرامج التي تستخدمها شركتك. للتخفيف من هذه المخاطر ، يجب على الشركات التعرف على الأساليب المستخدمة لتنفيذ الهجمات وفهم نقاط الضعف في دفاعاتهم السيبرانية..
تلقي هذه المقالة نظرة عن قرب على 5 هجمات حديثة استهدفت سلسلة توريد البرامج و تشرح كيف يمكن للموردين و شركاء الأعمال أن يشكلوا خطراً أمنياً على شركتك. ولذلك يقدم cybersecurity.att توصيات حول كيفية تأمين عملك ضد هجمات سلسلة توريد البرامج وكيف يمكنك اكتشاف هذه الهجمات بشكل مبكر للرد على التهديدات في الوقت المناسب قبل أن تقضي على مؤسستك.
ما هو هجوم سلسلة توريد البرامج؟
تُعرِّف CISA هجوم سلسلة توريد البرامج على أنه هجوم “يحدث عندما يتسلل أحد مجرمي الانترنت إلى شبكة بائع البرامج ويستخدم رمزاً ضاراً -malicious code- لخرق البرنامج قبل أن يرسله البائع إلى عملائه و من ثم يعرض البرنامج المخترق بيانات العميل أو نظامه للخطر”.
تتضمن سلسلة توريد البرامج أي شركة تشتري منها برنامجاً وأي برنامج مفتوح المصدر و المشاريع البرمجية العامة-public repositories- التي يستفيد من مكتباتها المطورون في شركتك لكتابة برامجهم. ويشمل هذا النوع من الهجمات أيضاً أي مؤسسات لديها حق الوصول إلى بياناتك. في المجمل ، يعمل كل هؤلاء الموردين المختلفين ، بقصد أو من غير قصد، على زيادة احتمال التعرض لهجوم محتمل بشكل كبير.
تعتبر هجمات سلسلة توريد البرامج بالغة الخطر. حيث تعمل سلسلة توريد البرامج كمضخم -amplifier -يضاعف ارتداد هجمات القراصنة عليك. هذا يعني أنه عندما يصاب مزود واحد ، سيمكن للقراصنة الوصول إلى أي من عملائه ، مما يضخم عدد ضحايا هجماتهم مقارنة مع سيناريو مهاجمتهم لشركة واحدة معزولة.
وفقًا لـ CISA، هناك سببان رئيسيان يساهمان في تفاقم الخطر:
- عادةً ما تتطلب منتجات برامج الجهات الخارجية وصولاً بصلاحيات مميزة.
- غالباً ما تتطلب تلك البرامج اتصالات متكررة بين شبكة الشركة المزودة software vendor وبرامج ذلك المزود عند شبكات العملاء.
يستفيد المهاجمون من قناة وصولهم و صلاحيات وصولهم المتميزة -privileged للدخول كخطوة أولى إلى شبكة الضحية الهدف. لاحقاً،اعتماداًعلى مستوى الوصول المتاح ، سيمكن للمهاجمين استهداف العديد من الأجهزة في مستويات مختلفة من المؤسسة بسهولة. بعض قطاعات الأعمال، مثل الرعاية الصحية ، معرضة للخطر بشكل خاص لأنها تمتلك كميات هائلة من بيانات المرضى الخاضعة للوائح والمحمية بموجب قوانين الامتثال الصارمة.
خمس هجمات رئيسية على سلسلة توريد البرامج
مؤخراً ، حظيت هجمات سلسلة توريد البرامج باهتمام متزايد من المهتمين بأمن المعلومات عبر العالم. يعود ذلك لمدى الضرر الذي قد يلحق بالشركة وسمعتها نتيجة هذا النوع من الهجمات. أظهرت الثغرة الأمنية Log4j مدى ضعف الشركات فيما يتعلق باعتمادها على برامج الطرف الثالث -third-party software- ، على سبيل المثال. و لدينا في هذه النطاق بعض الأمثلة المشابهة مثل SolarWinds. لقد قدم هجوم REvil أيضاً تذكيراً مؤلماً بمدى الضرر الذي يمكن أن تحدثه هجمات سلسلة توريد البرامج.
فشل حماية سلسلة توريد البرامج – The SolarWinds SUNBURST
في 13 ديسمبر 2020 ، تم الكشف عن backdoor الثغرة SUNBURST لأول مرة. استخدم الهجوم مجموعة SolarWinds Orion لمراقبة وإدارة تكنولوجيا المعلومات الشهيرة لتحويل تحديث روتيني لهذا البرنامج إلى حصان طروادة.
تسلل الماهجمون من الباب الخلفي backdoor الذي فتحه ذلك التحديث المخترق. و وصلوا للمؤسسات التي التي تشغل برنامج Orion. يبدو أن الهجوم كان موجهاً بالأساس ضد وزارة الخزانة والتجارة الأمريكية. لكن مع ذلك، لوحظ أن Fortune 500 وشركات الاتصالات والوكالات الحكومية الأخرى والجامعات قد تأثرت أيضاً.
في هذه الحالة ، كان كعب أخيل الشركات هو خوادم التطبيقات مصادرتحديث البرامج الخاصة بها. إن أفضل إجراء ضد هذا النوع من الهجوم هو مراقبة الجهاز.
أشارت التقارير إلى أن نطاق-domain – التحكم في الأوامر (C&C) تم تسجيله في وقت مبكر من 26-شباط-2020. لكن و بشكل مخادع، مثل الأنواع الأخرى من هجمات سلسلة التوريد ، أظهر الباب الخلفي SUNBURST فترة من السكون لتجنب تنبه الشركات إلى السلوك المريب لتحديثات برامج Orion.
مما يثير القلق بشكل خاص في SUNBURST هو استهداف خوادم الاستضافة المخصصة Dedicated . غالباً ما تتم مراقبة هذه الأنواع من الخوادم بشكل أقل تركيزاً مقارنة مع الخوادم التشاركية Shared . عرفنا متأخرين أن منع هجمات على غرار SUNBURST يتطلب مراقبة فعالة لجميع مستويات شبكة الشركة.
نقاط ضعف Log4Shell / Log4j Exploit وبرامج المصدر المفتوح
نوع آخر من الثغرات الأمنية هو ثغرات البرمجيات مفتوحة المصدر. في هذا الهجوم تم استغلال أداة Apache الشهيرة Log4Shell / Log4j المستندة إلى Java Log4j. لقد سمح هذا الاستغلال للمتسللين بتنفيذ التعليمات البرمجية عن بُعد ، بما في ذلك القدرة على السيطرة الكاملة على المخدم.
في حالة Log4Shell كنا أمام zero-day vulnerability. حيث بدأ استغلال هذه الثغرة قبل أن يتم التنبه لها و إصدار التحديث المناسب لها من قبل مزودي البرنامج . و نظراً لأن الاستغلال كان جزءاً من مكتبة مفتوحة المصدر ، فمن المحتمل أن يتأثر أي من الثلاثة مليارات أو أكثر من الأجهزة التي تشغل Java.
يتطلب معالجة استغلال Log4Shell ونقاط الضعف المماثلة وجود جرد كامل لجميع الأجهزة المتصلة بالشبكة في المؤسسة. يعني ذلك استخدام نظام لاكتشاف الأجهزة ومراقبة نشاط Log4Shell وإصلاح الأجهزة المتأثرة بأسرع ما يمكن.
هجوم Kaseya VSA والخدمات المدارة وبرامج الفدية
الغرض الأساسي من استخدام هجمات سلسلة التوريد هو استغلال نقاط ضعف الموردين لمهاجمة أهداف محددة. هذا هو بالضبط ما فعلته REvil ، مجموعة برامج الفدية ، عندما سيطروا على Kaseya VSA ، وهي منصة خدمات مدارة managed services للمراقبة عن بُعد لأنظمة تكنولوجيا المعلومات وعملائها.
من خلال مهاجمة ثغرة أمنية في Kaseya VSA ، تمكنت REvil من إرسال برامج الفدية إلى ما يصل إلى 1500 شركة من عملاء Kaseya VSA.
في هذه الحالة ، كانت نقطة الضعف هي الأجهزة المتصلة بالانترنت، والأجهزة الخاضعة للإدارة عن بُعد ، ومسارات الاتصال لمزود الخدمة المُدار. سبب المشكلة هو منح البائع حق الوصول إلى أنظمة تكنولوجيا المعلومات الداخلية. تتمثل أفضل الممارسات لتجنب مثل هذا الموقف في مراقبة القنوات التي يستخدمها مزود الخدمة المدارة. إضافة لذلك ، يجب أن يتتبع تحليل السلوك أي سلوك غير متوقع ويحلله لإيقاف برامج الفدية.
هجوم Capital One والعيوب الأمنية للبنية التحتية السحابية
ليست كل الهجمات عبارة عن محاولات جيدة التنسيق تقوم بها مجموعات محترفة من قراصنة الانترنت. لقد واجهت Capital One خرقاً واسعاً للبيانات تم بطريقة مغايرة. في هذا الهجوم، استفاد أحد موظفي Amazon من معرفته الداخلية بخدمات Amazon Web Services (AWS) فقام بسرقة معلومات 100 مليون مستخدم بطاقات الائتمان. أطلق الهجوم جرس إنذار عن مخاطر استخدام البنية التحتية السحابية.
كانت السبب الرئيس لنجاح هذا الهجوم هي أن استخدام مزود خدمة سحابية يتطلب من العميل وضع قدر كبير من الثقة في البائع. لذلك يعني هذا أيضاً قبول المخاطرة المتمثلة في أنه إذا تم اختراق مزود الخدمة السحابية ، فقد يتم اختراق بياناتك. لمنع هذه الأنواع من الهجمات ، من الضروري المشاركة في المراقبة السلوكية لخدماتك وتأمين حافة شبكتك.
المخاطر الخاصة باستخدام الأجهزة الشخصية للموظفين و البائعين
في آذارمن عام 2022 ، كشفت شركة الأمن السيبراني Okta أن أحد بائعيها (Sitel) قد تعرض لخرق عبر موظف من يقوم بمهامه في قسم خدمة العملاء باستخدام جهاز كمبيوتر محمول.
لحسن الحظ كان نطاق الاختراق محدوداً. مع الوصول إلى نظامي مصادقة Okta فقط ، لم يتم اختراق أي حسابات عملاء أو تغييرات في إعداداتهم. ومع ذلك ، فإن أجهزة الموظفين أو المتعاقدين الخاصة تمثل خطراً حقيقياً على الشركات.
تزيد الأجهزة الخاصة وغير المصرح بها الموجودة في الشبكة من سطح الهجوم المحتمل في كل مرة يتم فيها إضافة جهاز إضافي. تفتقر الشركات إلى معلومات حول الأجهزة المتصلة ، والبرامج التي يتم تشغيلها ، والاحتياطات التي يتم اتخاذها للحماية من البرامج الضارة. يتطلب تقليل المخاطر في هذا المجال إنشاء جرد للأصول المعلوماتية وتقييد وصول هذه الأجهزة. أخيراً ، يمكن استخدام مراقبة الشبكة والتحليل السلوكي لوقفهذا النوع من الهجمات.