Что взлом SolarWinds говорит нам об Интернете вещей и безопасности цепочки поставок

Независимо от отрасли, нарушения кибербезопасности, похоже, увеличиваются в размерах и масштабах.

Развернутая хакерская кампания, начатая Россией три месяца назад и затронувшая до 18 000 клиентов производителя программного обеспечения из Техаса SolarWinds Corp., является вопиющим примером того, насколько далеко может быть нанесена потенциальная атака на цепочку поставок.

Термин «риск цепочки поставок» - это обширный зонтик, охватывающий множество угроз и уязвимостей безопасности. В случае с SolarWinds злоумышленники, которые, как считается, действуют от имени иностранного правительства, троянизировали обновления программного обеспечения для популярного инструмента SolarWinds Orion. Атака оставила потенциальные лазейки для доступа к сотням компаний и девяти федеральным агентствам. И это только то, что мы знаем - мы, вероятно, будем раскрывать последствия этого нарушения в ближайшие годы.

Другие риски цепочки поставок могут проявляться в виде недостатков безопасности, встроенных в электронные устройства. Производители смартфонов, принтеров, маршрутизаторов, устройств Интернета вещей и систем критической инфраструктуры покупают компоненты у третьих сторон. Эти компоненты поставляются со встроенным микропрограммным обеспечением, которое может иметь недостатки безопасности. Более того, некоторые из этих прошивок были написаны не производителем, а были взяты из открытого исходного кода, поддерживаемого волонтерами из I.T. сообщество.

Вот что необходимо знать о кибератаках представителям отрасли в более широком масштабе.

Завуалированное программное обеспечение

Наблюдается растущее движение покупателей, которым требуются исчерпывающие списки программного обеспечения на устройстве, но на данный момент производители редко предоставляют его. Этот список, известный как спецификация программного обеспечения (SBOM), является ключом к безопасности цепочки поставок, но важно отметить, что это не панацея. Например, SBOM не смог бы поймать бэкдор SolarWinds. Было необходимо, чтобы член группы безопасности сам проанализировал окончательные файлы программного обеспечения, прежде чем оно будет выпущено для клиентов.

Заднее сиденье

Разработчики программного обеспечения и производители устройств перешли на быстрые процессы разработки. Что касается программного обеспечения, эта гибкая среда разработки подталкивает многочисленные и быстрые обновления, иногда для добавления новых функций, а иногда для исправления недостатков безопасности. То же самое касается и устройств, и это особенно актуально для устройств Интернета вещей, которые продаются оптом как массовые товары.

В любом случае безопасность часто оказывается на втором плане. Руководство организации должно признать риск отсутствия приоритетов безопасности, а команды разработчиков должны предпринять упреждающие меры по снижению этих рисков, прежде чем они могут быть использованы. На самом деле злоумышленники значительно опережают отрасль. Это поставило организации в реактивную позицию и привело к появлению множества правил и стандартов. Как никогда важно, чтобы компании, производители и покупатели использовали проактивный подход.

Возможность доступа

Глобальные цепочки поставок стали особенно привлекательными объектами из-за их в значительной степени связанных и часто плохо защищенных систем. Распространенной практикой является дублирование программного обеспечения более чем на одном устройстве - это означает, что если хакер обнаружит уязвимость в камере дверного звонка, он также может использовать дверной звонок другой марки, смарт-телевизор, подключенный холодильник или домашний термостат.

Для хакеров уязвимость, затрагивающая отдельное устройство, несущественна, потому что такие типы взломов сложно монетизировать, но распространенные уязвимости цепочки поставок могут быть гораздо более ценными. Руководителям цепочек поставок важно подумать обо всех устройствах в вашем бизнесе, которые могут обеспечить переход на другие системы.

Взлом SolarWinds стал тревожным сигналом для многих в сообществе кибербезопасности и за его пределами. Для других это было подтверждением того, что мы уже знали и чего так упорно старались предотвратить.

Самый важный вывод из этой атаки заключается в том, что нам необходимо переоценить доверие, которое мы оказываем поставщикам, программному обеспечению и устройствам. Независимо от того, где вы находитесь в цепочке поставок, от корпоративного пользователя программного обеспечения до OEM-производителя и поставщика программного обеспечения, вы, вероятно, очень доверяете своим поставщикам и их продуктам. Нам необходимо переосмыслить то, как мы оцениваем эти доверительные отношения, и, что наиболее важно, мы должны понять, как мы можем проверить безопасность этого программного обеспечения, микропрограмм и оборудования на протяжении всего жизненного цикла.

Мэтт Викхаус, основатель и генеральный директор Finite State.