Supply Chain Attack

Tímto způsobem může kyberútočník obejít i velmi robustní bezpečnostní mechanismy své oběti, když se zaměří na slabší články v dodavatelském řetězci, jako jsou dodavatelé softwaru, hardwaru, služeb nebo jiných komponent, které cílová organizace využívá. 

Tento typ útoku zneužívá důvěryhodných vztahů mezi organizacemi a jejich dodavateli a je vysoce nebezpečný i proto, že kompromitace jediného dodavatele může vést k infiltraci desítek i stovek koncových organizací. V současné době je supply chain attack považován za jednu z nejzávažnějších a nejrychleji rostoucích hrozeb v oblasti kybernetické bezpečnosti, kterou navíc není vůbec snadné ošetřit. 

Významné incidenty 

V posledních letech došlo k významnému nárůstu četnosti útoků na dodavatelský řetězec, které jsou stále sofistikovanější a mají větší dopady. Zatímco dříve útoky na dodavatelský řetězec často spočívaly v manipulaci s hardwarovými součástkami během jejich výroby nebo distribuce, moderní útoky se stále více soustředí na dodavatelský řetězec softwaru. 

Jedním z prvních zdokumentovaných významných útoků na softwarový dodavatelský řetězec byla operace Aurora v roce 2010. Útočníci kompromitovali systémy společnosti Google a dalších technologických firem prostřednictvím zranitelnosti v aplikaci Internet Explorer. Významným milníkem v evoluci útoků na dodavatelský řetězec byl incident s firmou RSA Security v roce 2011. Útočníci získali informace o dvoufaktorovém autentizačním systému SecurID a tato kompromitace jim umožnila provést útoky na zákazníky RSA Security. Tento incident upozornil na kaskádový efekt, jaký může mít kompromitace klíčového bezpečnostního dodavatele. 

V roce 2013 došlo k masivnímu úniku citlivých dat ze společnosti Target, jednoho z největších amerických maloobchodních řetězců ve Spojených státech. Útočníci získali přístup do sítě společnosti Target prostřednictvím kompromitovaných přihlašovacích údajů dodavatele klimatizačního systému. Odcizeny byly údaje o platebních kartách více než 40 milionů zákazníků řetězce. Tento incident jasně ukázal rizika spojená s poskytováním přístupu do podnikových sítí třetím stranám a nezbytnost segmentace sítí a řízení přístupu. 

Popsána je také dlouhá řada incidentů spojených s infikováním legitimního softwaru malwarem. Například v roce 2017 kompromitovali útočníci populární software CCleaner. Prostřednictvím oficiálních distribučních kanálů byla tato infikovaná verze softwaru distribuována více než 2 milionům uživatelů. Útočníci, údajně spojení se skupinou APT17 (také známou jako DeputyDog nebo Axiom), cílili především na technologické společnosti, jako jsou Microsoft, Google, Samsung a Intel, a prostřednictvím kompromitovaného softwaru instalovali další malware. 

Destruktivní malware NotPetya, který se v roce 2017 rychle rozšířil po celém světě a způsobil škody v odhadované výši 10 miliard dolarů, využíval jako jeden z vektorů svého šíření aktualizační mechanismus ukrajinského účetního softwaru M.E.Doc. Tento útok, přisuzovaný ruské vojenské zpravodajské službě (GRU), byl primárně zaměřen na Ukrajinu, ale rychle se rozšířil za její hranice a zasáhl organizace po celém světě včetně nadnárodních korporací jako Maersk, FedEx nebo Merck. NotPetya je považován za jeden z nejdestruktivnějších kybernetických útoků v historii a ilustruje ničivý potenciál útoků na dodavatelský řetězec. 

Další velmi komplexní útok na dodavatelský řetězec byl odhalen v prosinci 2020, kdy byla zjištěna kompromitace monitorovacího softwaru Orion, vyvinutého společností SolarWinds. Útočníci, později identifikovaní jako skupina APT29 (známá také jako Cozy Bear) s vazbami na ruskou zahraniční zpravodajskou službu SVR, vložili malware do oficiálních aktualizací softwaru, které byly následně distribuovány přibližně 18 000 zákazníků. Mezi oběťmi byly americké vládní agentury včetně ministerstev energetiky, financí, obrany a zahraničí a stejně tak velké technologické společnosti jako Microsoft, Cisco, Intel a Deloitte. Útok byl mimořádně sofistikovaný, s dlouhým obdobím nenápadného sledování díky extrémnímu důrazu na vyhnutí se detekci. Ve svém důsledku incident SolarWinds změnil způsob, jakým organizace přistupují k rizikům dodavatelského řetězce. 

V roce 2023 došlo ke kompromitování populárního open source nástroje MOVEit Transfer, používaného pro zabezpečený přenos souborů. Zranitelnost typu SQL injection byla využita ransomwarovou skupinou Cl0p k získání přístupu k datům stovek různých organizací včetně významných finančních institucí, zdravotnických organizací a vládních agentur. Incident jasně ukázal rizika spojená s široce používanými softwarovými nástroji a důležitost rychlé aplikace bezpečnostních záplat. 

Typy a mechanismy útoků na dodavatelský řetězec 

Útoky na dodavatelský řetězec lze klasifikovat podle různých kritérií včetně vektoru útoku, cíle kompromitace a mechanismu infiltrace. Z hlediska vektoru rozlišujeme tyto typy útoků: 

• Útoky na softwarový dodavatelský řetězec zahrnují kompromitaci vývojového prostředí, repozitářů kódu, aktualizačních mechanismů nebo distribučních kanálů softwaru. V současnosti jde o nejčastější formu útoku na dodavatelský řetězec, který je vysoce škálovatelný a relativně nejméně náročný.  
• Útoky na hardwarový dodavatelský řetězec zahrnují fyzickou manipulaci s hardwarovými komponentami během výroby, dopravy nebo instalace, vkládání škodlivých součástek nebo modifikaci firmwaru zařízení. Tyto útoky jsou technicky náročnější a vyžadují přístup k fyzickému zařízení. Mohou být extrémně obtížně detekovatelné.  
• Útoky na poskytovatele služeb cílí na organizace, které poskytují služby cílovým subjektům – ať už jde o cloudové služby, outsourcing IT, konzultační služby, nebo poskytovatele řízených služeb (MSP). 

Podle cíle útoků rozlišujeme: 

• Útoky zaměřené na zdrojový kód představují vložení škodlivého kódu přímo do zdrojového kódu softwaru, často prostřednictvím kompromitace vývojářských účtů nebo systémů pro správu verzí. Příkladem je útok na PHP v roce 2021, kdy útočníci vložili backdoor přímo do oficiálního Git repozitáře projektu.  
• Útoky zaměřené na proces sestavení softwaru cílí na nástroje a infrastrukturu používané k vytváření softwaru z jeho zdrojového kódu. Příkladem je „event-stream incident“ z roku 2018, kdy útočník převzal kontrolu nad populárním balíčkem Node.js a vložil do něj škodlivý kód.  
• Útoky na aktualizační mechanismy využívají důvěru uživatelů i organizací v proces automatických aktualizací softwaru. Útočníci kompromitují aktualizační servery nebo proces distribuce aktualizací a legitimními kanály šíří škodlivý kód. Typickým příkladem je zmíněný útok na SolarWinds.  
• Útoky na distribuční kanály zahrnují manipulaci s cestami, kterými je software distribuován koncovým uživatelům, jako jsou oficiální webové stránky, obchody s aplikacemi nebo repozitáře balíčků. Příkladem je kompromitace služby ASUS Live Update v roce 2019, kdy útočníci zneužili legitimní aktualizační nástroj k distribuci malwaru. 

Z hlediska mechanismu infiltrace lze rozlišovat několik strategií průniku útočníků do dodavatelského řetězce: 

• Odcizení přihlašovacích údajů zahrnuje získání přihlašovacích údajů zaměstnanců dodavatele prostřednictvím phishingu, sociálního inženýrství nebo úniku dat. Tyto ukradené údaje jsou následně použity k přístupu do systémů dodavatele a provedení škodlivých aktivit.  
• Interní hrozby představují zaměstnanci dodavatele, kteří umožní kompromitaci – ať už úmyslně, nebo neúmyslně. Může jít o nespokojené zaměstnance, zaměstnance, kteří jsou zmanipulováni nebo vydíráni, a také zaměstnance, kteří infiltrují organizaci právě za účelem provedení útoku.  
• Kompromitace open source softwaru využívá rostoucí míru využívání open source komponent v podnikovém softwaru. Ty jsou často vyvíjeny a udržovány dobrovolníky s různou úrovní bezpečnostních znalostí. Útočníci mohou vložit škodlivý kód do těchto komponent, stát se přispěvateli populárních projektů nebo převzít kontrolu nad opuštěnými projekty, které jsou ale stále široce používány.  
• Zranitelnosti třetích stran představují zneužití známých nebo tzv. zero-day zranitelností v produktech a službách používaných cílovou organizací. Tyto zranitelnosti se mohou vyskytovat v aplikacích, operačních systémech, síťových zařízeních nebo cloudových službách. 

Útoky na dodavatelský řetězec mohou mít dalekosáhlé dopady na provoz systémů a služeb i ztrátu důležitých dat nebo jejich kompromitaci. Enormní mohou být rovněž finanční dopady a poškození reputace napadené organizace. Charakteristickým rysem útoků na dodavatelský řetězec je kaskádový efekt, kdy kompromitace jediného bodu může vést k řetězové reakci ovlivňující stovky nebo tisíce dalších organizací. Kaskádový efekt může mít systémové důsledky pro celá odvětví nebo kritickou infrastrukturu. Například útok na poskytovatele cloudových služeb by mohl ovlivnit všechny jeho zákazníky a také jejich zákazníky v několika úrovních. 

Obrana proti útokům na dodavatelský řetězec 

Organizace musí implementovat strategie pro ochranu svého vlastního dodavatelského řetězce (z pozice dodavatele) i pro omezení rizik plynoucích z jejich závislosti na externích dodavatelích (z pozice zákazníka). 

Strategie ochrany vlastního dodavatelského řetězce:  

• Zabezpečení životního cyklu vývoje softwaru znamená implementaci principů Secure by Design, tedy zahrnutí bezpečnostních požadavků přímo do specifikace produktu, pravidelné bezpečnostní revize kódu, penetrační testování i modelování hrozeb během celého vývojového cyklu. Riziko zanesení zranitelností do kódu aplikací mají omezit bezpečné postupy programování, stejně jako využití automatizovaných nástrojů pro statickou a dynamickou analýzu kódu, které pomáhají identifikovat potenciální bezpečnostní problémy ještě před vydáním softwaru. 
• Zabezpečení prostředí pro vytváření aplikací zahrnuje ochranu nástrojů, serverů a procesů používaných k sestavení softwaru z jeho zdrojového kódu. To znamená například implementaci principu nejnižších oprávnění, segmentaci infrastruktury nebo monitorování a logování procesů sestavování aplikací. 
• Podepisování a verifikace kódu představují mechanismus pro ověření autenticity a integrity softwaru. Používání robustních kryptografických metod, bezpečné uchovávání privátních klíčů (ideálně v hardwarových bezpečnostních modulech) a implementace vícefaktorové autentizace pro podepisovací procesy snižují riziko neoprávněného podepsání škodlivého kódu.  
• Správa závislostí je důležitá vzhledem k využívání knihoven a komponent třetích stran při vývoji softwaru. Pravidelné kontroly závislostí na známé zranitelnosti, implementace postupů pro ověřování integrity komponent třetích stran i minimalizace množství závislostí s preferencí známých a důvěryhodných zdrojů pomáhají snížit riziko útoku. 
• Řízení přístupu a autentizace představuje zavedení principu nejnižších oprávnění, vícefaktorové autentizace pro přístup ke kriticky důležitým systémům a infrastruktuře, pravidelné revize přístupových práv a monitorování neobvyklých pokusů o přístup. 
• Zabezpečení aktualizační infrastruktury znamená implementaci bezpečných protokolů pro přenos aktualizací, ověřování integrity aktualizací na straně klientů, transparentní procesy pro distribuci aktualizací a monitorování s cílem detekce anomálií v aktualizačních procesech. 
• Reakce na incidenty představuje vytvoření a pravidelné testování postupů reagování na incidenty v dodavatelském řetězci včetně stanovení jasných rolí a odpovědností, pravidel komunikace se zákazníky a partnery a koordinace s regulačními orgány. Organizace se musí připravit na rychlou identifikaci incidentů a minimalizaci škod v rámci dodavatelského řetězce. 

Neméně důležitá je současně i strategie řízení rizik dodavatelského řetězce na straně odběratelů, do níž by mělo patřit zejména: 

• Řízení rizik dodavatelů, tedy systematický proces hodnocení a monitorování, který zahrnuje důkladný průzkum před navázáním vztahu s novým dodavatelem, pravidelné posouzení bezpečnosti, stanovení jasných požadavků na kybernetickou bezpečnost ve smlouvách a sledování dodržování těchto požadavků dodavateli. 
• Validace softwaru třetích stran zahrnuje procesy pro kontrolu integrity a bezpečnosti softwaru před jeho nasazením do produkčního prostředí. To může zahrnovat kontrolu digitálních podpisů, skenování na výskyt malwaru, analýzu chování softwaru v izolovaném prostředí a identifikaci potenciálně zranitelných komponent. 
• Architektura nulové důvěry (zero trust) jako bezpečnostní model založený na principu „nikdy nedůvěřuj, vždy ověřuj“, který vyžaduje ověřování jakéhokoli subjektu uvnitř i vně perimetru organizace. To zahrnuje striktní ověřování identity, mikrosegmentaci sítě, přístupy s nejnižšími nezbytnými oprávněními i kontinuální monitoring a analýzu chování všech subjektů v síti. Tento přístup může výrazně omezit potenciál dopadu útoku na dodavatelský řetězec, protože kompromitace jednoho systému nebo aplikace neposkytne útočníkovi automatický přístup k dalším částem infrastruktury. 
• Diverzifikace dodavatelů minimalizuje riziko závislosti na jediném dodavateli kriticky důležitých komponent nebo služeb. Součástí této strategie je také identifikace alternativních dodavatelů a vývoj plánů pro rychlý přechod mezi dodavateli v případě kompromitace některého z nich. 
• Segmentace sítě do logicky oddělených zón s různými úrovněmi důvěry omezuje dopad úspěšné kompromitace systémů. 
• Monitorování chování a detekce anomálií znamenají kontinuální sledování aktivit v síti, systémech a aplikacích pro identifikaci neobvyklých vzorů, které mohou provázet kompromitaci. Pokročilé nástroje využívající umělou inteligenci a strojové učení mohou detekovat i anomálie, které by jinak unikly tradičním bezpečnostním kontrolám. 
• Plánování reakce na incident zahrnuje vytvoření plánů reakce na útoky na dodavatelský řetězec včetně pravidelných cvičení incident response týmu. Pro efektivní reakci na incident je klíčová také spolupráce s dodavateli na koordinovaných reakcích a předem definované komunikační protokoly. 

Regulace a standardy v oblasti bezpečnosti dodavatelského řetězce 

Značná úroveň rizika útoků na dodavatelské řetězce vedla k zavedení nových regulačních požadavků. V Evropě k nim patří především regulace NIS2, která zavádí přísnější požadavky na řízení rizik dodavatelského řetězce pro poskytovatele základních služeb a kritickou infrastrukturu. 

Norma ISO/IEC 27001 představuje rámec pro implementaci, provoz a kontinuální zlepšování systému řízení bezpečnosti informací (ISMS) včetně opatření zaměřených na řízení rizik dodavatelského řetězce. Na bezpečnost informací ve vztazích s dodavateli se zaměřuje norma ISO/IEC 27036, která současně poskytuje detailní návod na řízení rizik spojených s externími poskytovateli služeb. 

Payment Card Industry Data Security Standard (PCI DSS) obsahuje specifické požadavky na bezpečnost dodavatelského řetězce organizací, které zpracovávají, ukládají nebo přenášejí data z platebních karet. Verze 4.0, vydaná v roce 2022, klade větší důraz na bezpečnost třetích stran a obsahuje rozšířené požadavky na řízení rizik dodavatelů. Podobně existuje i celá řada oborově specifických regulací a nařízení pro řízení rizik dodavatelských řetězců v dalších odvětvích. 

Vzhledem k rychlému vývoji hrozeb je nezbytné, aby organizace vyvíjely nové obranné strategie. Tento přístup vyžaduje kontinuální vzdělávání, sdílení informací o hrozbách, spolupráci s partnery a bezpečnostní komunitou, stejně jako investice do nových technologií a přístupů ke kybernetické bezpečnosti.