פושעי סייבר יודעים שתקיפת שרשרת אספקה אינה רק אסטרטגיה חכמה אלא גם מנצחת: כאשר החנות האמריקאית Target מצאה טרויאני שנועד לגנוב פרטי כרטיסי אשראי במערכות ה- POS (נקודת המכירה) שלה בשנת 2013, איש לא ציפה שהמסלול אל הסביבה המאובטחת של Target היה ספק החימום, האוורור והמיזוג שלה – Fazio שירותים מכניים. מכיוון שלחברה קטנה ופחות מאובטחת כמו Fazio הייתה גישה למערכת גדולה ומאובטחת יותר של ארגון גדול, נקטו ההאקרים בדרך בה ייתקלו בהתנגדות פחותה להתקנת נוזקות וגניבת אישורי גישה (שמות משתמשים וסיסמאות). כתוצאה מכך נגנבו 40 מיליון פרטי כרטיסי אשראי ו- Target הוציאה סכום של 202 מיליון דולר כדי להתאושש מפרצת המידע הזו. מתקפה זו הייתה קו פרשת מים בהגנה מפני מתקפות שרשרת אספקה.
מתקפת שרשרת אספקה הינה דרך נוספת עבור האקרים לתקיפת ארגון היעד. במקום שהם יתקפו ישירות את ארגון היעד אשר ככל הנראה מפעיל מערכות מחשוב מאובטחות ברמה גבוהה, הם תוקפים את החוליה החלשה ביותר בשרשרת האספקה של אותו ארגון: ספק שאולי אין לו מערכת מאובטחת כמו היעד העיקרי. מספר קבוצות פשיעת סייבר, לרבות קבוצות המוציאות לפועל מתקפות כופרה, השתמשו באסטרטגיית מתקפת שרשרת אספקה לפני שנת 2013, כאשר ההתרחשויות של מתקפות כאלו עלו באופן אקספוננציאלי במהלך השנים. מתקפות רבות בפרופיל גבוה שהתרחשו במהלך השנתיים האחרונות היו מתקפות שרשרת אספקה: קבוצת האקרים מתוחכמת חדרה לסביבת הייצור של SolarWinds כבר ב- 2019 ופגעה בקרוב ל- 18,000 מלקוחותיה, לרבות חברות כמו FireEye ו- Microsoft וכן מספר סוכנויות פדרליות בארה"ב. זאת, דרך דלת אחורית שהותקנה במערכת העדכונים של תוכנת ניטור הרשת שלה – Orion. עדכון תוכנה פגום השפיע גם על הלקוחות של Kaseya בשנת 2021. VSA, תוכנת הניטור והניהול מרחוק של החברה, הפיצה למערכות של מספר ספקי שירותים מנוהלים (MSP) תיקון אשר הכיל את כופרת REVil, אשר לאחר מכן הדביק את מערכות המחשוב של הלקוחות שלהם.
המתקפות על SolarWinds ועל Kaseya הן דוגמאות למה שניתן לכנות באופן כללי כמתקפת שרשרת אספקה של תוכנה שבה נמצאה חולשה אשר נוצלה על ידי פושעי סייבר כדי להגיע לכמה שיותר ארגונים, באמצעות נקודת כניסה אחת בלבד. קשה מאוד לזהות סוג זה של תקיפה מכיוון שהיא מנצלת את האמון שיש לארגונים בתוכנה בה הם משתמשים – תוכנה המגיעה מספקים לגיטימיים.
על פי CISA (סוכנות אבטחת סייבר ותשתיות) קיימות מספר טכניקות נפוצות למתקפות שרשרת אספקת תוכנה: "חטיפת" עדכוני תוכנה, ערעור חתימת קוד ופיצוח קוד פתוח. לעומת זאת, ניתן לסווג פריצה ליעד כמתקפת "יחסים מהימנים", שבה תוקפים חודרים לצד שלישי פחות בטוח בשרשרת האספקה כדי להשתמש לרעה בקשר שנוצר בין הצד השלישי, כמו במקרה של Fazio וחברת היעד Target.
חשוב להבין כי כאשר קיימות מתקפות שרשרת אספקה מבוססות תוכנה, קיימות גם מתקפות המבוססות על חומרה. מתקפת שרשרת אספקת החומרה היא נדירה מאוד מכיוון שקשה לבצע אותה והיא דורשת השקעה כספית גבוהה מאד. כפי שהשם מרמז, סוג זה של מתקפה יכול להתבצע על ידי התעסקות ברכיבים פיזיים וחומרה כמו התקני רשת, שרתים וכל מכשיר מחשוב נייד כגון מחשבים ניידים, טלפונים ניידים, טאבלטים או שעונים חכמים. על פי דיווחים, נחשפה בשנת 2018 מתקפת שרשרת אספקת חומרה אשר כונתה על ידי המדיה כ"מתקפת שרשרת האספקה המשמעותית ביותר שידוע כי בוצעה נגד חברות אמריקאיות" על פי אותם דיווחים, הצבא של סין שתל מיקרו שבב "שלא גדול מגרגר של אורז" על לוחות האם של Supermicro, ספקית בינלאומית בתעשייה. השבב משמש כדי לספק גישה ארוכת טווח – דלת אחורית לארגונים שקנו את השרתים. מיד לאחר הדיווח, חברות רבות שהסתמכו על הטכנולוגיה של Supermicro וחברת Supermicro עצמה, הכחישו את אמיתות הטענות.
כיצד להתגונן מפני מתקפות שרשרת אספקה?
- דעו מי הם הספקים שלכם: הכל מתחיל בנקודה זו מכיוון שאם ארגונים אינם מודעים מי הם הספקים שלהם וכיצד פועלות שרשרת האספקה שלהם, הם לא יוכלו לחפש סיכונים ו/או נקודות תורפה אפשריות בשרשרת אותה עלולים לנצל פושעי סייבר.
- שלבו גישה הוליסטית לאבטחת המערכות שלכם: כל איומי הסייבר המגיעים מהאינטרנט חייבים להיעצר בנקודת הקצה. אבטחת נקודות הקצה הללו אינה אופציונלית אם ברצונכם להילחם במתקפות שרשרת האספקה. מומלץ לשקול השקעה במערכת יעילה לזיהוי ותגובה של נקודות קצה וכן, על דרך לנטר פעילויות חשודות ברשת כמו פתרונות תגובה מנוהלת. יש לציין כי פילוח ומידור הרשת הארגונית עשוי להגביל את ההאקרים מלנוע ברשת ולמנוע גישה בלתי מורשית לנתונים רגישים.
- פתחו תוכנית תגובה לאירועים או תוכנית התאוששות מאסון: מהלך זה יכול להיראות מאיים בגודלו, אולם אין זה חייב להיות מסובך כל כך. ישנן מסגרות מוכנות אותן יכול הארגון להתאים לצרכיו. בעניין זה מומלץ לכלול תקשורת שקופה עם לקוחות החברה, כך שבמידה ומתרחשת פרצת מידע, יוכל הארגון לספק צעדים למיתון הבעיה.
- הטמיעו עדכונים ותיקוני תוכנה בצורה מאובטחת: מומלץ ליישם אסטרטגיית עדכונים בארגון. לדוגמה, לפני שתיקון תוכנה מועבר לייצור, יש לבקש ממומחה או קבוצת מומחים להעריך את הסיכונים ולבדוק תחילה את התיקון לפני הפצתו. בזמן ההמתנה לאישור, תיצור קבוצה נפרדת גיבויים לא מקוונים של קבצים חיוניים הדרושים במקרה של שגיאה ושל מערכות לשחזור.
- צרו גיבויים לא מקוונים ובדקו אותם: אם כבר מדברים על גיבויים,אין לצאת מנקודת הנחה שהם עובדים. כדי להיות בטוח שהגיבויים תקינים, יש לבדוק אותם, כלומר לבצע אחת לתקופה שחזור מלא לסביבה אחרת.
- יישמו את עקרון החסיון המינימלי: לא כל ספק דורש גישת ניהול לסביבה ולמערכות העסקיות של הארגון. עם זאת, צריכים ארגונים לבדוק את כל הרשאות הספקים שלהם ולהחליט אם עליהם להעניק להם פחות או יותר הרשאות גישה. כאשר מתעורר ספק, הענקת ההרשאות הנמוכה ביותר צריכה להיות נקודת המוצא.
- הפכו אימות רב גורמי (MFA) לנורמה: ידוע כי תוקפי שרשרת אספקה משתמשים באישורי גישה (שמות משתמשים וסיסמאות) גנובים כדי לחדור למערכות שבדרך כלל אין להם הרשאות עבורן. הם יודעים שמערכות עסקיות סומכות על אישורים, ללא קשר למי שמשתמש בהם. כדי להגן עוד יותר על מערכות מפני ניצול לרעה של אישורים, דרשו גישת MFA, בייחוד למשאבים ושירותים הנחשבים רגישים.
- הדריכו את העובדים שלכם: פערים בפרקטיקות אבטחת מידע עלולים לפתוח הזדמנויות אותן יכולים לנצל פושעי סייבר. ייתכן שמצב זה נובע מחוסר מודעות עובדים למתקפות שרשרת האספקה. חשוב לדאוג לכך שכל העובדים וכל שותפי הארגון מודעים לסיכונים אפשריים ולדגלים האדומים הקשורים אליהם, כדי לאפשר לארגון לקבל בקלות התראות ולנקוט בתגובה מהירה.
- השתמש בשירות חתימת קוד: 77 אחוז מהעסקים בארה"ב משתמשים בתוכנת קוד פתוח. אבל כפי שנצפה במספר מקרי שימוש של מתקפות שרשרת אספקה של תוכנה, קוד פתוח הוא ברכה במידה שהוא קללה. עסקים רבים מתקשים למצוא דרכים לבדיקת קוד כדי להבטיח שהוא בטוח לשימוש ושהוא לא יהווה נקודת תורפה למתקפת סייבר בשרשרת האספקה. אפשר להיכנס ל- Sigstore, כלי חינמי לחתימה ואימות קוד – צעד ראשון לאבטחת שלמות קוד פתוח (Sigstore היא תוצר של שיתוף פעולה בין שמות גדולים בתעשייה כמו OpenSSF, Chainguard, Linux ו-GitHub).