Základňa pre útoky
V typickom scenári získa útočník kompromitáciou dodávateľa prístup do informačných systémov zadávateľskej spoločnosti. Táto kompromitácia potom môže slúžiť ako základňa na ďalšie typy útokov, typicky s rozsiahlejšími dôsledkami.
Kým pri veľkých spoločnostiach je motivácia útočníkov zrejmá – kompromitáciou menšieho dodávateľa môže útočník dosiahnuť obrovský dosah v rámci veľkej spoločnosti, pri malých a stredných podnikoch to nemusí byť také zrejmé.
Nelimitovaná kreativita
Skryté riziko pre malé a stredné podniky predstavuje najmä fakt, že v rámci tohto typu útoku sa práve ony stávajú primárnym cieľom pre útočníkov. Malé firmy často nemajú dostatočne robustnú kybernetickú obranu, čo z nich robí pre útočníkov atraktívne ciele.
Verejná prezentácia spolupráce s veľkými spoločnosťami môže ešte zvýšiť ich atraktivitu pre kybernetických zločincov.
Ikonický príklad
Príklad, ktorým môžeme ilustrovať relevanciu, bol útok na americký gigant Target ešte v roku 2013. Vtedy sa táto obchodná sieť stala obeťou kybernetického prieniku, ktorý zapríčinilo zneužitie prístupových údajov dodávateľa klimatizačnej a vykurovacej techniky.
Útočníci získali prístup k citlivým údajom miliónov zákazníkov vrátane čísel kreditných a debetných kariet.
Útok spôsobil obrovské škody, nielen finančné, ale aj v oblasti dôvery zákazníkov a reputácie spoločnosti. Náklady na vyšetrenie incidentu, na opravy bezpečnostných systémov, právne náklady spojené so žalobami od zákazníkov a bánk a aj pokuty od regulačných orgánov sa ťahali roky. Odhadom v desiatkach miliónov až miliárd dolárov.
Softvér potrebuje každý
Útoky na dodávateľský reťazec môžu mať veľa foriem a využívať rôzne techniky. Významný rast však zaznamenali útoky na softvérový dodávateľský reťazec.
Obrovský tlak na rapídny vývoj softvérových riešení, používanie open-source knižníc či obrovská efektivita útoku len predznamenajú zrejmý nárast tohto konkrétneho typy útoku aj v budúcnosti.
Útočník si počká
Útočník môže implementovať zraniteľnosť do rozšírenej open-source knižnice, či dokonca celého repozitára a tak len s relatívne malým úsilím zaviesť zraniteľnosť k veľkému počtu klientov.
Navyše tento útok nemusí byť ani cielený a môže byť robený „plošne“. Útočníkovi potom stačí len čakať na využitie takejto knižnice.
Tomu typu útoku, samozrejme, hrá do karát aj kopírovanie riešení z portálov, ako je StackOverflow či používanie kódov priamo z Githubu.
Ako z toho von
Konať, samozrejme, musia tak malé, ako aj veľké spoločnosti: Pre tie väčšie podniky je nevyhnutné, aby implementovali opatrenia na monitorovanie a hodnotenie rizík spojených s tretími stranami a dôsledne vykonávali tzv. due deligence pri výbere dodávateľov.
Z technických opatrení môže pomôcť aj dodržiavanie „best practice“, ako je princíp minimálnych opatrení či prístup nulovej dôvery – zero trust.
Pre menšie podniky je však nutné vrátiť sa o krok späť. Tam treba začať s uvedomením, že práve kvôli ich spolupráci s veľkými firmami sa môžu stať obeťami kybernetického útoku. Nezostáva im nič iné, ako brať aj túto oblasť vážne – minimálne proaktívne monitorovať svoje aktíva a riadiť riziká.
Michal Srnec, CISO Aliter Technologies