Suntem la jumătatea anului 2024 și au avut loc deja mii de breșe de securitate a datelor, dintre care mai multe au fost extrem de extinse.
În februarie, Change Healthcare, un furnizor pentru servicii de gestionare a ciclului de venituri și plăți care conectează plătitorii, furnizorii și pacienții din SUA, a fost atacat de ransomware. Atacul a perturbat serviciile de sănătate la nivel național timp de săptămâni întregi și a permis infractorilor să obțină dosarele medicale ale unei „porțiuni substanțiale a populației din America”. Compania mamă, UnitedHealth, a declarat faptul că, costurile totale ale acestui incident ar putea depăși 1 miliard de dolari.
Aproximativ în aceeași perioadă, peste o sută de clienți ai platformei Snowflake, care oferă servicii de stocare, procesare și analiză a datelor, au suferit breșe de securitate după ce nu au activat autentificarea cu doi factori. Dintre puținii care au făcut publică breșa, probabil cel mai mare nume este Ticketmaster, cu peste 560 de milioane de înregistrări de clienți expuse, inclusiv informații personale și detalii parțiale de plată.
Și dacă ați lucrat vreodată cu Fiverr sau Uber, v-ați verificat identitatea pe TikTok sau ați folosit PayPal, LinkedIn sau Coinbase, există șansa ca documentele dumneavoastră de identificare furnizate în timpul procesului KYC (know your customer) să fi fost furate de la furnizorul de autentificare AU10TIX. Partea cea mai gravă este că acest lucru ar fi putut fi prevenit cu ușurință, dar aceștia au uitat să schimbe timp de peste un an parola unui cont cu privilegii administrative, cunoscut ca fiind compromis.
Nu este cel mai bun început de an, iar acestea sunt doar câteva dintre breșele de securitate cunoscute publicului. Ceea ce nu știm ar putea fi mult mai rău. Dar ce au în comun toate aceste exemple? Sunt toate atacuri clasice asupra lanțului de aprovizionare. Niciunul dintre furnizorii care au fost afectați nu sunt companii cu care oamenii obișnuiți ar lucra sau despre care ar auzi. Ceea ce au în comun, însă, este un tezaur de informații personale, care reprezintă date extrem de valoroase pentru hackeri.
Ceea ce este și mai îngrijorător nu este faptul că anumite companii au o țintă uriașă pe spate, ci faptul că infractorii devin tot mai sofisticați. Atacurile asupra lanțului de aprovizionare au fost o preocupare constantă de ani de zile (vă amintiți controversele legate de un “cip minuscul” care compromitea Amazon, Apple și altele?).
SUA și multe țări aliate din Europa și regiunea Asia-Pacific au adoptat legislație care limitează instalarea echipamentelor de telecomunicații proiectate sau fabricate în China și au impus interdicții privind utilizarea echipamentelor de supraveghere, serverelor și dronelor fabricate în China. Dar observați un trend? Toate acestea se concentrează pe ținte mari. Ceea ce începem să vedem acum este o întreagă serie de operațiuni ascunse și discrete.
La sfârșitul lunii martie a acestui an, un dezvoltator a prevenit de unul singur compromiterea a ceea ce ar fi putut fi mii, dacă nu mai multe, de servere Debian și Red Hat. Instrumentul xz Utils, aproape omniprezent pe distribuțiile Linux, oferea funcții esențiale de comprimare și decomprimare a datelor. Persoane rău intenționate au petrecut ani de zile câștigând încrederea întreținătorului (voluntar) și a utilizatorilor acestui instrument, preluând în cele din urmă din ce în ce mai multe responsabilități. După aproape doi ani de contribuții, aceștia au strecurat un cod disimulat în mod inteligent care le-ar fi permis să compromită orice server care rula software-ul, prin deturnarea și injectarea propriului cod în sesiunile SSH.
Ceea ce s-a întâmplat a fost aproape ca un roman de spionaj, descris de experți drept unul dintre „cele mai bine executate atacuri asupra lanțului de aprovizionare” care aproape a reușit.
Deși aceste tipuri de atacuri sunt mai rare, ele sunt și mai greu de detectat și ar putea fi dezastruoase dacă sunt executate corect. Cu toate acestea, nu trebuie să căutăm mult pentru a găsi incompetență sau lipsă de grijă care să ducă la același rezultat.
Luați un minut să vă gândiți la PC-ul, browserul și conexiunea de rețea pe care le folosiți pentru a citi acest articol – cine le-a dezvoltat și cine le întreține? Să mergem un pas mai departe. Ce spuneți despre sistemul de operare, EDR, VPN sau o varietate de software-uri sau servicii pe care le puteți folosi pentru comunicațiile și munca de zi cu zi?
Dacă folosiți un iPhone sau un Mac, ați putea crede că e simplu. Apple, nu? Tehnic vorbind, aveți dreptate, dar situația este mult mai complexă decât un singur furnizor, chiar și pentru ceva atât de integrat ca produsele Apple. Similar cu modul în care o distribuție Linux poate cuprinde sute, dacă nu mii, de instrumente și proiecte, un server, un PC sau orice dispozitiv “inteligent” reprezintă o integrare uriașă de hardware, firmware, software și chiar servicii la distanță.
Deci, revenind la regula lui Hanlon, ce s-a întâmplat? Timp de peste cinci ani, anumite servere de la Lenovo, Intel și Supermicro au fost livrate cu vulnerabilități cunoscute în BMC-ul lor, un subsistem comun utilizat pentru managementul și diagnosticarea la distanță. De ce? Pentru că furnizorii (la plural) care proiectau software-ul BMC au uitat să actualizeze un component open-source numit lighttpd, care a primit un patch în 2018 pentru a remedia o vulnerabilitate gravă.
Avansul lent către o securitate mai bună
În mijlocul acestor incidente alarmante, legislația recentă a Uniunii Europene, în special Directiva privind Securitatea Rețelelor și a Informațiilor (NIS2), care urmează să intre în vigoare mai târziu în acest an, împinge piața europeană să adopte proceduri de securitate mai bune și să efectueze evaluări și gestionări riguroase ale riscurilor, cu un accent deosebit pe consolidarea securității lanțului de aprovizionare.
În Statele Unite, un ordin executiv din 2021 (14028—Îmbunătățirea Securității Cibernetice a Națiunii) s-a concentrat pe stabilirea criteriilor pentru identificarea riscurilor în practicile de securitate ale dezvoltatorilor, furnizorilor și ale produsului final de software.
Împreună cu legislația existentă, cum ar fi Legea privind Autorizarea Apărării Naționale (NDAA), Legea Acordurilor Comerciale (TAA) și o serie de directive de la Departamentul pentru Securitate Internă (DHS) și Institutul Național de Standarde și Tehnologie (NIST), există o conștientizare și o atenție mai mare asupra securității, deși la un ritm relativ lent.
Învaţă să fii mereu în faţă
Pentru companii și organizații, conștientizarea acestei probleme și implementarea câtorva măsuri cruciale în procesele de achiziție și gestionare IT vor ajuta la pregătirea pentru cele mai rele scenarii. Un instrument eficient este Lista de Materiale Software (SBOM), care oferă o listă cuprinzătoare a tuturor componentelor software utilizate într-un anumit sistem, serviciu sau într-un software mai mare. SBOM-urile permit organizațiilor să obțină vizibilitate asupra exact a ceea ce rulează infrastructura lor IT, ce componente sunt utilizate activ și, cel mai important, dacă acestea au vulnerabilități cunoscute.
Similar cu lista de ingrediente găsită pe etichetele nutriționale, SBOM-urile oferă transparență în cutiile negre tradițional opace. Prin efectuarea de audituri de securitate frecvente, companiile pot identifica și aborda în mod pro activ vulnerabilitățile, cum ar fi obligarea unui furnizor să răspundă mai rapid.
Disponibilitatea SBOM-urilor și istoricul răspunsurilor de securitate ale unui furnizor vor deveni factori de decizie cheie în viitorul apropiat. Synology, de exemplu, generează SBOM-uri în formatele CycloneDX și SPDX pentru clienții săi Enterprise. Combinat cu un răspuns rapid la gestionarea oricărei vulnerabilități zero-day sau critice, Synology stabilește un standard înalt pentru soluțiile de gestionare și protecție a datelor.
Pentru profesioniștii IT și factorii de decizie, este imperativ să prioritizeze securitatea lanțului de aprovizionare în toate sistemele. Asigurați-vă că furnizorii dvs. sunt transparenți cu privire la software-ul și serviciile pe care le folosesc și că se angajează să efectueze audituri de securitate regulate. Pe măsură ce scena securității cibernetice continuă să devină mai fierbinte, este mai bine să intrați în panică și să vă pregătiți acum.
