מה הן מתקפות על שרשרת האספקה ואיך מתגוננים מפניהן?
מאת:
רותם שמש, 1.6.22, 12:18
על האבולוציה של מתקפות על שרשרת האספקה, הסכנה המיוחדת לעסקים וארגונים קטנים, והצעדים שכל עסק/ארגון יכול לנקוט, שעשויים לסייע בהיערכות למתקפות סייבר.
מתקפת סייבר דרך שרשרת אספקה היא אחד האיומים המשמעותיים כיום על חברות וארגונים. עם עלייה של יותר מ-650% במספר המתקפות בשנה האחרונה, מתקפות אלו מהוות סיכון משמעותי לכל עסק או ארגון בעולם ובישראל. 97% מהארגונים כבר הותקפו דרך שרשרת האספקה, ועושה רושם, שמתקפות אלו לא רק שלא יפסקו, אלא הן הופכות להיות המתקפות האהודות ביותר והמשתלמות ביותר עבור תוקפים.
אז מה הן בדיוק מתקפות על שרשרת האספקה? אלו מתקפות המכוונות ישירות אל אחד הספקים, בין אם ספק תוכנה או ספק שירותים אמין ומוכר העובד אל מול העסק או הארגון. מתקפות אלו, למעשה, מנצלות את האמון, שארגון נותן בספק שלו כדי לחדור דרך הספק אל הארגון או העסק.
מה שמאפיין את המתקפות האלו הוא לרוב אופן החדירה. כל עוד התוקף משתמש בספק טכנולוגי או ספק שירות כדי לחדור ולפגוע בארגון המטרה שלו, זוהי מתקפת שרשרת אספקה.
ישנם 2 סוגים עיקריים של מתקפות שרשרת אספקה:
הסוג הראשון מתמקד בחדירה אל היעד דרך תוכנה. כלומר, ע"י החדרת קוד זדוני לתוך האפליקציה, התוקף יכול להדביק את כל משתמשי התוכנה.
הסוג השני פועל באופן דומה אך מתמקד בחומרה. כלומר, החדרת רכיב "נגוע", שמשמש להדבקת משתמשי הקצה.
המטרות הן חדירה לסביבות רגישות המכילות מידע, גניבת המידע הרגיש ולעיתים גם הצפנתו או מחיקתו, ושליטה במידע הרגיש מרחוק ע"י התוקף.
רבות מהמתקפות עליהן אנו שומעים הן מתקפות דרך שרשרת האספקה למרות שלא תמיד הן נקראות כך. בשנה שעברה לדוגמה, היינו עדים להשתלטות של תוקפים על אתרי אינטרנט רבים בישראל בו זמנית, כאשר, למעשה, התוקפים חדרו תחילה אל נותן השירות המארח ומנהל את האתרים הללו.
בדצמבר 2020 תקיפה, שבוצעה על חברת התוכנה עמיטל, הביאה לחדירה של התוקפים לכמה עשרות חברות אחרות.
ההשלכות של מתקפות אלו משתנות והן עלולות לכלול מתקפות כופרה רחבות היקפים, מסעות פישינג, החדרת נוזקה/רוגלה (שעלול לקחת זמן עד לחשיפתה), גניבת מידע רגיש (אסמכתות כניסה, פרטי זיהוי או פרטים כלכליים), חדירה לרשת ועוד שלל רעות.
האבולוציה של מתקפות על שרשרת האספקה
בעבר מתקפות שרשרת האספקה התמקדו בתוכנות רוגלה או ברכיבי חומרה של ארגון אחד (בניסיון לחלץ מידע בין מדינות או גופים). כיום האקרים התפתחו וזיהו את פוטנציאל ה-
ROI של תקיפה במעלה שרשרת הספקה המאפשרת חדירה אל מספר קורבנות בו זמנית.
במקום להתמקד בארגון אחד כאן ישנה אפשרות רווחית הרבה יותר של חדירה למספר ארגונים המשתמשים באותו רכיב/שירות/מערכת. במילים אחרות, התוקפים מרעילים את הבאר ממנה שותים ארגונים רבים.
כיום מתקפות דרך צד שלישי הן הרווחיות ביותר. ההאקרים מתמקדים בספקי שירות, תוכנה או רכיבים אשר משמשים מגוון רחב של ארגונים ועסקים. הם חודרים אל הספקים הללו ודרכם מגיעים לעוד עשרות קורבנות. כך, שהרווח מכל מתקפה גדול משמעותית השוואה לתקיפה של ארגון בודד.
בנוסף לכך, השימוש הנרחב של חברות המפתחות תוכנה בספריות
open source וברכיבי תוכנה, שמפותחים ע"י צד שלישי, הופך את המשימה של התוקפים - הלוא היא החדרת קוד זדוני למערכת, שבה משתמשים ארגונים רבים - לקלה יותר.
הסכנה לעסקים וארגונים קטנים
עסקים קטנים לרוב אינם גדולים מספיק כדי להחזיק צוות אבטחה פנימי. הם לרוב לא בודקים את רמת האבטחה של הספקים שלהם ומסתמכים על כך, שהספקים דואגים לכך.
בנוסף, לעתים קרובות ארגונים קטנים משתמשים בספקי שירותי מחשוב היוצרים חוליה נוספת בשרשרת האספקה שלהם, דבר שעלול להעלות את הסיכון במידה והספק אינו מאובטח כראוי.
לאור זאת, עסקים וארגונים קטנים נמצאים בסיכון ליפול קורבן למתקפות שרשרת אספקה. לרוב הם אינם מודעים לנושא אבטחת ספקי השירות, או ספקי התוכנה/חומרה לאורך שרשרת האספקה שלהם וכך, למעשה, הם חשופים למתקפות העלולות לפגוע בשרשרת האספקה, לחדור דרך שרשרת האספקה או להיות "חלק" אינטגרלי מהרחבת המתקפה ללקוחותיהם.
כיצד להתמודד עם הסיכון מפני תקיפות שרשרת אספקה?
העיקרון החשוב הראשון הוא העלאת המודעות לנושא באמצעות חינוך העובדים, הספקים ונותני השירות לאפשרות של חדירת האבטחה ומתקפות בשרשרת האספקה. כיום מתקפת סייבר אינה רק אפשרות אלא מציאות יומיומית. העיקרון השני הוא יצירת מערך אבטחה לאורך כל שרשרת האספקה. ארגונים ועסקים כיום אינם יכולים "לסמוך" על כך שהספקים, נותני השירות וכל גורם שלישי (גם בהקשר של חומרה או תוכנה) אכן בטוחים.
להלן מספר צעדים ראשוניים שכל עסק/ארגון יכול לנקוט, שיכולים לסייע בהיערכות למתקפות סייבר:
הכרת התוכנות והמערכות אשר נמצאים בשימוש ע"י משתמשי הקצה - בעוד האחראים על המחשוב בארגונים מכירים את המערכות בהן הארגון משתמש באופן רשמי, לרוב קיימות מערכות
SaaS ותוכנות נוספות בהן משתמשים משתמשי הקצה מבלי שהאחראים על המחשוב מודעים לכך או אישרו זאת. בשלב ראשון יש לברר מהן אותן מערכות ולוודא שהן מאובטחות או להפסיק את השימוש בהן.
ניהול מלאי של הנכסים הדיגיטליים של הארגון - יש לערוך רשימה של הנכסים הדיגיטליים - מידע ותוכנות - כדי להבין אילו נכסים הם הרגישים ביותר ואילו מהם קריטיים עבור העסק/הארגון. על פי מלאי זה ניתן לעשות תיעדוף של הנכסים לפי סדר חשיבותם לקיומו של העסק ולהתחיל לבדוק באופן אפקטיבי עד כמה כל אחד מהם חשוף ועל מי יש להגן יותר מאשר על האחרים.
הערכת האבטחה של הספקים השונים, זיהוי של תלות באחד או כמה מהם - יש לבדוק מי הספקים הקריטיים לתפקוד של הארגון או העסק. תהליך זה יסייע לעסק/ארגון למקד את המאמצים המושקעים בבדיקת האבטחה של שרשרת האספקה בספקים הנכונים ולעשות זאת בצורה אפקטיבית.
הערכת הסיכונים - לאחר שמובן מיהם הספקים הכי חשובים עבור הארגון, מומלץ לערוך איתם דיון בנושא אבטחת מידע ולהעריך את הסיכון המגיע מכיוונו של כל ספק. נדרשת בדיקה של אמצעי האבטחה בהם הספקים משתמשים, הבנת התהליכים או המקומות בהם הם יותר רגישים למתקפות וכיצד פגיעה בהם עלולה להשפיע על הארגון או העסק. הבנה וההערכה של סיכונים ספציפיים תאפשר לכם להתמודד איתם בצורה טובה יותר.
פיתוח תהליך תגובה מוכן למקרה של התקפה – העסק/ארגון חייב להיות מוכן להתקפה, בין עם זאת התקפה דרך שרשרת האספקה או התקפה ישירה, הכנת תסריט למצב של התקפה יסייע משמעותית בהתאוששות והשיקום לאחריה. תסריט מגירה מוכן יכול לסייע בזמן ההתאוששות, עלויות והיקף הפגיעה. תגובה מהירה היא המפתח וראוי להיות מוכנים יותר לתרחיש כך שניצן יהיה להגיב ולהתאושש מהר יותר.
בהמשך, ברמה האסטרטגית יותר, עסקים/ארגונים יכולים להקטין את הסיכון של פגיעה דרך שרשרת האספקה באמצעות דרישות, שהם יציבו לספקים שלהם. להלן מספר דוגמאות לשאלות, שכדאי לשאול את ספקי התוכנה של הארגון:
האם אתם משתמשים ב
Endpoint Detection & Response (EDR) על מנת להגן על נקודות הקצה שלכם?
מה המדיניות שלכם לגבי אבטחת קוד? האם מבוצעים
Code reviews באופן קבוע? האם קיים מנגנון טכני האוכף את המדיניות?
איך אתם שומרים על אבטחת הארכיטקטורה והתשתיות? האם החשבונות מוגבלים בגישתם? האם יש מגבלות על המיקום ממנו משתמשים יכולים להתחבר למערכת? האם אתם משתמשים בעקרון ה-
least privilege?
האם אתם פועלים על פי סטנדרט כלשהו לאבטחת פיתוח תוכנה?
מהן התלויות? מהיכן מגיעים רכיבי התוכנה, שנמצאים במוצר או בשירות שאתם קונים?
מאת:
רותם שמש, יוני 2022.
מנהלת בכירה שיווק מוצרי אבטחה ב
דאטו