Jesteśmy w połowie 2024 roku, a już doszło do tysięcy naruszeń danych, z których kilka miało bardzo szeroki zasięg.
W lutym Change Healthcare, dostawca usług zarządzania przychodami i płatnościami, który łączy płatników, dostawców i pacjentów w USA, został zaatakowany przez oprogramowanie ransomware. Atak zakłócił usługi opieki zdrowotnej w całym kraju na kilka tygodni i pozwolił oszustom na wyniesienie danych medycznych „znacznej części ludzi w Ameryce”. Jej firma macierzysta, UnitedHealth, stwierdziła, że całkowite koszty tego ataku prawdopodobnie przekroczą 1 miliard dolarów.
Mniej więcej w tym samym czasie ponad stu klientów Snowflake, platformy do przechowywania, przetwarzania i analizy danych, zostało naruszonych, gdy nie włączyli uwierzytelniania dwuskładnikowego. Spośród nielicznych, którzy upublicznili informacje o naruszeniu, Ticketmaster jest prawdopodobnie największym, z ponad 560 milionami danych klientów, w tym danymi osobowymi i częściowymi informacjami o płatnościach.
A jeśli kiedykolwiek pracowałeś z Fiverr lub Uber, zostałeś zweryfikowany na TikToku lub korzystałeś z PayPal, LinkedIn lub Coinbase, istnieje prawdopodobieństwo, że Twoje dokumenty identyfikacyjne dostarczone podczas procesu KYC (poznaj swojego klienta) zostały prawdopodobnie skradzione od dostawcy uwierzytelniania AU10TIX. Problem polega na tym, że można było temu łatwo zapobiec, ale zapomniano zmienić hasło do znanego zagrożonego konta z uprawnieniami administracyjnymi przez ponad rok.
Nie jest to najlepszy początek nowego roku, a to tylko garstka publicznie znanych naruszeń. To, czego nie wiemy, może być o wiele gorsze. Co jednak łączy wszystkie te przykłady? Są to klasyczne ataki na łańcuch dostawców usług. Żaden z naruszonych dostawców nie jest firmą, z którą zwykli ludzie by współpracowali lub nawet o niej słyszeli. Łączy je jednak skarbnica danych osobowych, które są niezwykle cenne dla hakerów.
Jeszcze bardziej niepokojące nie jest to, że niektóre firmy mają ogromny celownik na plecach, ale fakt, że przestępcy stają się coraz bardziej wyrafinowani. Ataki na łańcuchy dostawców usług są stałym powodem do zmartwień od lat (pamiętasz kontrowersje związane z „maleńkim chipem” narażającym na szwank Amazon, Apple i inne?).
Stany Zjednoczone i wiele sprzymierzonych z nimi krajów Europy i regionu Azji i Pacyfiku przyjęło przepisy ograniczające instalację zaprojektowanego lub wyprodukowanego w Chinach sprzętu telekomunikacyjnego i wprowadziło zakazy korzystania z wyprodukowanego w Chinach sprzętu do nadzoru wideo, serwerów i dronów. Ale czy można zauważyć pewien trend? Wszystkie te działania koncentrują się na dużych celach. To, co dopiero teraz zaczynamy dostrzegać, to cała masa tajnych i ukrytych operacji.
Pod koniec marca tego roku samotny programista w pojedynkę zapobiegł backdoorowi, który mógł obejmować tysiące, jeśli nie więcej, serwerów Debian i Red Hat. Niemal wszechobecne narzędzie w dystrybucjach Linuksa, xz Utils, zapewniało krytyczne funkcje kompresji i dekompresji danych. Pracownicy pracujący pod przykrywką (uważani za szpiegów państwowych) spędzili lata na zdobywaniu zaufania opiekuna i użytkowników narzędzia, ostatecznie przejmując coraz więcej obowiązków. Po prawie dwóch latach pracy (szpiegowania), przemycili oni sprytnie zatajony kod, który umożliwiłby im włamanie się na dowolny serwer, na którym działało oprogramowanie, poprzez przejęcie i wpisanie własnego kodu do sesji SSH.
To, co się stało, było prawie jak powieść szpiegowska, opisana przez ekspertów jako jeden z „najlepiej przeprowadzonych ataków w łańcuchu dostaw usług”, który prawie się powiódł.
Chociaż tego typu ataki są rzadsze, są również trudniejsze do wykrycia i mogą być katastrofalne w skutkach, jeśli zostaną wykonane prawidłowo. Nie musimy jednak daleko szukać niekompetencji lub braku ostrożności, aby osiągnąć ten sam rezultat.
Poświęć chwilę na zastanowienie się nad urządzeniem komputerowym, przeglądarką i połączeniem sieciowym, którego używasz do czytania tego artykułu – kto je opracował i kto je obsługuje? Pójdźmy o krok dalej. Jak dobrze znasz systemy operacyjne, EDR, VPN lub inne oprogramowania lub usługi, których możesz używać do codziennej komunikacji i pracy?
Jeśli używasz iPhone’a lub Maca, możesz pomyśleć, że to proste. Apple, prawda? Z technicznego punktu widzenia masz rację, ale sytuacja jest znacznie bardziej złożona niż tylko to, że jest to jeden dostawca, nawet w przypadku czegoś tak ściśle zintegrowanego jak produkty Apple. Podobnie jak dystrybucja Linuksa, może składać się z setek, jeśli nie tysięcy narzędzi i projektów, serwerów, komputerów PC lub dowolnie „inteligentnych” urządzeń. Jest to gigantyczna integracja sprzętu, oprogramowania układowego, a nawet usług zdalnych.
Wracając do naszego brzytwy Hanlona, co się stało? Przez ponad pięć lat niektóre serwery Lenovo, Intel i Supermicro były dostarczane ze znanymi lukami w BMC, wspólnym podsystemie używanym do zdalnego zarządzania i diagnostyki. Dlaczego? Ponieważ dostawcy (w liczbie mnogiej) projektujący oprogramowanie BMC zapomnieli zaktualizować komponent open-source o nazwie lighttpd, który miał łatkę wydaną w 2018 roku, naprawiającą poważną lukę.
Powolne dążenie do poprawy bezpieczeństwa
W obliczu tych niepokojących incydentów niedawne przepisy Unii Europejskiej, w szczególności dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2), która ma wejść w życie jeszcze w tym roku, popychają rynek europejski w kierunku przyjęcia lepszych zasad bezpieczeństwa oraz przeprowadzania dokładnych ocen ryzyka i zarządzania nimi, ze szczególnym naciskiem na wzmocnienie bezpieczeństwa łańcucha dostaw.
W Stanach Zjednoczonych rozporządzenie wykonawcze z 2021 r. (14028-Improving the Nation’s Cybersecurity) koncentrowało się na ustaleniu kryteriów identyfikacji zagrożeń w praktykach bezpieczeństwa deweloperów, dostawców i końcowego produktu oprogramowania. Wraz z istniejącymi aktami prawnymi, takimi jak National Defense Authorization Act (NDAA), Trade Agreements Act (TAA) oraz kilkoma dyrektywami Departamentu Bezpieczeństwa Wewnętrznego (DHS) i National Institue of Standards and Technology (NIST), zwiększa się świadomość i kontrola bezpieczeństwa, choć w stosunkowo wolnym tempie.
Wyprzedzanie rzeczywistości
Dla firm i organizacji świadomość tej kwestii i wdrożenie kilku kluczowych rzeczy do procesów zaopatrzenia i zarządzania IT pomoże przygotować się na najgorsze. Jednym ze skutecznych narzędzi jest Software Bill of Materials (SBOM), który zapewnia kompleksową listę wszystkich komponentów oprogramowania używanych w danym systemie, usłudze lub większym fragmencie oprogramowania. SBOM umożliwia organizacjom uzyskanie wglądu w to, co dokładnie działa w ich infrastrukturze IT, które komponenty są aktywnie wykorzystywane i, co najważniejsze, czy mają jakiekolwiek znane luki w zabezpieczeniach.
Podobnie jak lista składników znajdująca się na etykietach produktów spożywczych, SBOM zapewniają przejrzystość tradycyjnie nieprzejrzystych czarnych skrzynek. Przeprowadzając częste audyty bezpieczeństwa, firmy mogą proaktywnie identyfikować i eliminować luki w zabezpieczeniach, np. zmuszając dostawcę do szybszego reagowania.
Dostępność SBOM i historia reakcji dostawcy w zakresie bezpieczeństwa będą coraz częściej kluczowymi czynnikami decydującymi w najbliższej przyszłości. Synology, na przykład, generuje SBOM w formatach CycloneDX i SPDX dla swoich klientów korporacyjnych. W połączeniu z szybką reakcją na wszelkie luki typu zero-day lub luki krytyczne, Synology wyznacza wysoki standard rozwiązań do zarządzania i ochrony danych.
Dla specjalistów IT i decydentów konieczne jest nadanie priorytetu bezpieczeństwu po stronie podaży we wszystkich systemach. Upewnij się, że Twoi dostawcy są transparentni w kwestii oprogramowania i usług, z których korzystają i zobowiązują się do regularnych kontroli bezpieczeństwa. Ponieważ scena cyberbezpieczeństwa wciąż się nagrzewa, lepiej nie panikować i przygotować się już teraz.