ما هو هجوم سلسلة توريد البرمجيات؟

في عام 2021، Codecov، وهي منصة اختبار البرمجيات التي تنشئ تقارير وإحصائيات تغطية التعليمات البرمجية، تم استهدافها بهجوم على سلسلة التوريد التي تلاعبت بالبرامج النصية لتحميل Docker. تم اختراق بيئة Codecov دون رفع أي إشارات حمراء. كان الضرر هائلًا نظرًا لأن Codecov يخدم أكثر من 29,000 عميل من المؤسسات، بما في ذلك IBM وGoogle وHP وWashington Post وAtlassian وGoDaddy وProcter & Gamble وRoyal Bank of Canada. استمر الانتهاك الهائل دون أن يتم اكتشافه لعدة أشهر. وعلى الرغم من بدايته في 31 يناير 2021، إلا أنه لم يتم اكتشافه حتى 1 أبريل 2021.

وفي حادثة سيئة السمعة أخرى، أداة تنظيف الكمبيوتر في كل مكان تم اختراق CCleaner لأكثر من شهر من قبل المتسللين. قامت شركة Avast، التي تمتلك CCleaner، بتلويث تحديثات البرامج التي يقوم المستخدمون بتنزيلها باستخدام باب خلفي للبرامج الضارة. تم الكشف عن ملايين أجهزة الكمبيوتر، وعزز هذا الحادث التهديد ما يسمى بهجمات سلسلة التوريد الرقمية، حيث تكون البرامج الموثوقة والموزعة على نطاق واسع مصابة بالفعل.

يُعرف أيضًا باسم هجوم الطرف الثالث أو اختراق الباب الخلفي، ويحدث هجوم سلسلة التوريد عندما يتسلل أحد المتسللين إلى نظام الشركة عبر شريك أو بائع خارجي يوفر خدمات برمجية لتلك المؤسسة. يطلق عليه هجوم سلسلة التوريد لأن نقطة الضعف التي يحدث من خلالها الهجوم هي سلسلة توريد البرامج. غالبًا ما تكون هذه الأنواع من الهجمات واسعة النطاق ويصعب اكتشافها. غالبًا ما يستهدف مجرمو الإنترنت سلاسل توريد البرامج مثل هذه لأن الاختراق الواحد يسمح لهم باختراق آلاف الضحايا في نفس الوقت.

مع وصول المزيد من موردي البرامج والبائعين إلى البيانات الحساسة أكثر مما اعتادوا عليه، تزايد خطر هذه الهجمات خلال السنوات القليلة الماضية. في الواقع، هناك العديد من المصادر التي تقول إن عدد هجمات سلسلة توريد البرامج تضاعف ثلاث مرات في عام 2021 مقارنة بأرقام العام السابق. في مايو 2021، إدارة بايدن أدرجت هجمات سلسلة توريد البرمجيات كمجال مثير للقلق، مما يؤكد مدى أهمية هذه القضية.

ما هي الأنواع المختلفة لهجمات سلسلة توريد البرمجيات؟

تعتبر أي شركة برمجيات تقدم خدماتها إلى مؤسسات أخرى هدفًا محتملاً لهجوم برامج سلسلة التوريد. يتطلب الهجوم برنامجًا واحدًا فقط مخترقًا لنشر البرامج الضارة عبر سلسلة التوريد بأكملها. عادةً ما يبحث المتسللون عن برامج سيئة التأمين أو بروتوكولات الشبكة غير المحمية التي يمكنهم اختراقها وإخفاء البرامج الضارة أثناء عملية إنشاء البرنامج أو تحديثه. يمكن للجهات التهديدية استخدام مجموعة واسعة من التقنيات لتنفيذ هجوم على سلسلة التوريد.

في معظم الحالات، تختبئ هجمات سلسلة التوريد خلف العمليات المشروعة من أجل الوصول غير المقيد إلى النظام البيئي لبرامج المؤسسة. يبدأ المهاجمون عادةً باختراق الدفاعات الأمنية للبائع أو مورد البرنامج. وهذا عادة ما يكون أسهل من مهاجمة الضحية مباشرة بسبب ممارسات الأمن السيبراني السيئة للعديد من هؤلاء البائعين.

بمجرد إدخال البرامج الضارة لسلسلة التوريد في النظام البيئي لبرامج البائع، فإنها تحتاج إلى ربط نفسها بعملية مشروعة موقعة رقميًا. غالبًا ما يستخدم المهاجمون تحديثات البرامج كنقاط دخول لنشر البرامج الضارة عبر سلسلة توريد البرامج. تتضمن بعض التقنيات الشائعة المستخدمة في هجمات سلسلة التوريد ما يلي:

أدوات بناء البرمجيات المخترقة

تشبه عملية بناء تطبيقات البرامج الحديثة إلى حد كبير سلسلة التوريد المادية: في معظم الحالات، يتم إنشاء التطبيقات باستخدام مكونات جاهزة متنوعة من بائعين مختلفين. يتضمن ذلك التعليمات البرمجية الخاصة وواجهات برمجة التطبيقات التابعة لجهات خارجية والمكونات مفتوحة المصدر وما إلى ذلك. من المستحيل إنشاء تطبيق حديث من الصفر، ولهذا السبب يقوم معظم مطوري البرامج بإعادة استخدام هذه المكونات المختلفة كممارسة قياسية.
في حين أن ممارسة التوصيل والتشغيل هذه تعمل على تسريع عملية التطوير، إلا أنها تؤدي إلى مخاطر الثغرات الأمنية، وأهمها هجمات سلسلة التوريد. إذا تم اختراق أحد البرامج المكونة بطريقة ما، فإن عددًا لا يحصى من المؤسسات التي تم إنشاء تطبيقاتها باستخدام هذا المكون تصبح عرضة للهجوم.

شهادات توقيع التعليمات البرمجية المسروقة أو التطبيقات الضارة الموقعة باستخدام الهوية المسروقة

في هذا النوع من الهجمات، يسرق المتسلل شهادة تؤكد أن منتج الشركة شرعي وآمن. تتيح لهم هذه الشهادة المسروقة نشر تعليمات برمجية ضارة متخفية في صورة منتج لشركة شرعية.

وتستخدم مجموعة ATP41، وهي مجموعة قرصنة مدعومة من الحكومة الصينية، طريقة الهجوم هذه لتنفيذ هجمات على سلسلة التوريد. من خلال جعل التعليمات البرمجية الضارة تبدو مشروعة (باستخدام شهادات توقيع التعليمات البرمجية المسروقة)، يكون بمقدورهم الحصول على التعليمات البرمجية عبر ضوابط الأمان في الأنظمة التي يهاجمونها. يصعب اكتشاف هذا النوع من الهجمات بشكل خاص.

يشبه هجوم التطبيق الضار الموقع هجوم التعليمات البرمجية المسروقة؛ وفي هذه الحالة، يقوم المهاجم بإخفاء البرنامج المخترق كتطبيق شرعي باستخدام الهوية الموقعة المسروقة للتطبيق. وهذا يسمح لها بتجاوز الإجراءات الأمنية المختلفة حتى يمكن وقوع الهجوم.

رمز مخترق في مكونات الأجهزة أو البرامج الثابتة

يعتمد كل جهاز رقمي على البرامج الثابتة ليعمل بسلاسة. في معظم الحالات، تكون هذه البرامج الثابتة منتجًا تابعًا لجهة خارجية وتتم صيانته بواسطة شركة أخرى. يمكن للمتسللين إدخال تعليمات برمجية ضارة في البرامج الثابتة، مما يمكنهم من الوصول إلى شبكة أو أنظمة الأجهزة الرقمية التي تستخدم مكونات البرامج الثابتة هذه. يؤدي هذا النوع من الهجمات إلى إنشاء باب خلفي للأجهزة الرقمية التي تدعمها هذه البرامج الثابتة، مما يسمح للمتسللين بسرقة المعلومات وتثبيت المزيد من البرامج الضارة.

البرامج الضارة المثبتة مسبقًا

يضع المتسللون أحيانًا برامج ضارة لسلسلة التوريد على أجهزة مثل الهواتف وكاميرات الناقل التسلسلي العالمي (USB) ومحركات الأقراص والأجهزة الأخرى. وهذا يجعل من الممكن لهم استهداف الأنظمة أو الشبكات المتصلة بالأجهزة التي يتم استخدام الأجهزة المصابة من أجلها.

على سبيل المثال، يمكن استخدام محرك أقراص USB لحمل برنامج تسجيل المفاتيح والذي يشق طريقه بعد ذلك إلى أنظمة شركة بيع بالتجزئة كبيرة. يمكن استخدام برنامج Keylogger هذا لتسجيل ضغطات المفاتيح التي يقوم بها عملاء الشركة، مما يتيح للمتسللين الوصول إلى معلومات مثل تفاصيل الدفع وسجلات العملاء وما إلى ذلك.

كيف يمكن الحماية من هجمات سلسلة التوريد؟

إن طبيعة هجمات سلسلة التوريد ذاتها تجعل من الصعب توجيهها ضدها. تستغل هذه الأنواع من الهجمات ثقة الشركات بمورديها للقيام بهجوم مضاد. في حين أنه من الصعب منع هذه الهجمات، فيما يلي بعض الأشياء التي يمكنك القيام بها للتخفيف من تأثيرها أو تقليل مخاطرها:

تدقيق البنية التحتية الخاصة بك

يعد استخدام البرامج غير المعتمدة أو التي لا يشرف عليها قسم تكنولوجيا المعلومات (تقنية معلومات الظل) أحد العوامل التي يمكن أن تعرض عملك لهجمات سلسلة التوريد. تتمثل إحدى طرق التخفيف من حدة هذه الهجمات في إجراء تدقيق شامل لجميع البرامج المستخدمة داخل مؤسستك. قد يكشف هذا عن نقاط الضعف التي يمكن لقراصنة سلسلة التوريد الاستفادة منها لشن هجوم.

احتفظ بمخزون محدث لجميع أصول البرامج الخاصة بك

يمثل كل برنامج تابع لجهة خارجية تستخدمه (بغض النظر عن مدى أمانه) نقطة ضعف محتملة. من خلال الاحتفاظ بمخزون محدث لجميع برامج الطرف الثالث، يمكنك تتبع التحديثات والترقيات والمشكلات الأمنية بشكل أفضل. ويساعد هذا أيضًا في تضييق نطاق نقاط الهجوم المحتملة ونشر الحلول اللازمة.

قم بتقييم البائعين بدقة وتطبيق نهج الثقة المعدومة

قبل استخدام أي أداة تابعة لجهة خارجية أو الشراكة مع بائع جديد، يتعين عليك التحقق بدقة من مدى أمانها. في معظم الأحيان، تحدث هجمات سلسلة التوريد بسبب فشل البائعين في اتباع ممارسات الأمان القياسية. كجزء من جهود تقييم المخاطر، يمكنك أن تطلب من أي بائع محتمل تقديم تفاصيل عن ممارساته الأمنية القياسية لتحديد مدى استعداده لهجمات سلسلة التوريد. يمكنك البدء بطلب تقرير نوع SOC 2 وشهادة ISO 27001 من أي مورد تنوي الشراكة معه. يجب عليك أيضًا التحقق من تقارير الأمان الخاصة بهم والتحقق من الشهادات الخاصة بأي منتج قبل الشراء.

لا تثق أبدًا في أي برامج أو مستخدمين جدد بشكل افتراضي. حتى بعد تأكيد الإطار الأمني ​​الخاص بهم والموافقة على استخدام خدماتهم، أو الحد من الأنشطة أو الأذونات، فإن أي أداة جديدة على شبكتك ستقلل من نقاط الضعف لديك.

استخدام أدوات الأمن

على الرغم من أن برامج مكافحة الفيروسات وجدران الحماية وأدوات الأمان الأخرى غالبًا ما تكون غير فعالة ضد هجمات سلسلة التوريد، إلا أنها لا تزال قادرة على المساعدة في التحقق من سلامة التعليمات البرمجية وتقليل مخاطر الهجوم. حتى لو لم تتمكن من إيقاف الهجوم من الحدوث، فلا يزال بإمكان هذه الأدوات تنبيهك بشأن الهجمات المستمرة. على سبيل المثال، يمكن لجدار الحماية أن يتيح لك معرفة متى يتم إرسال كتل ضخمة من البيانات عبر شبكتك، وهو ما يحدث غالبًا مع هجوم البرامج الضارة أو برامج الفدية.

تأمين نقاط النهاية الخاصة بك

غالبًا ما يستغل مهاجمو سلسلة التوريد نقاط الضعف في البرامج عند نقاط النهاية سيئة التأمين لشن الهجوم. سيساعد نشر نظام الكشف عن نقاط النهاية والاستجابة لها في حماية نقاط النهاية لديك من البرامج الضارة وبرامج الفدية. وبهذه الطريقة، لم يعد بإمكانهم استخدام نقاط النهاية هذه لنشر الهجوم إلى أجزاء أخرى من شبكتك، مما يؤدي إلى إيقاف الهجوم قبل أن ينتشر بشكل أكبر.

نشر سياسات قوية لسلامة التعليمات البرمجية

يمكن إيقاف هجمات سلسلة التوريد التي تستفيد من تكامل التطبيق أو التعليمات البرمجية من خلال نشر سياسات قوية لتكامل التعليمات البرمجية والتي تسمح فقط بالتطبيقات بناءً على قواعد صارمة. ستحظر سياسات تبعية التعليمات البرمجية هذه أي تطبيق يبدو مريبًا أو يثير علامة حمراء. على الرغم من أنه قد تكون هناك بعض التحذيرات الخاطئة والإنذارات الكاذبة، إلا أن التخفيف من مخاطر سلسلة التوريد بهذه الطريقة لا يزال أفضل من التعرض لهجوم. يمكن إجراء المزيد من التحقيق في أي تطبيق تم وضع علامة عليه والترخيص به إذا تبين أنه مشروع.

لديك خطة استجابة للحوادث

نظرًا لتزايد وتيرة هجمات سلسلة التوريد، فمن الأفضل أن تكون مستعدًا مسبقًا من خلال إنشاء خطة للاستجابة للحوادث. يجب أن يكون لدى كل منظمة خطط لحماية المكونات الحيوية للمهمة في حالة حدوث انتهاكات من أجل الحفاظ على سلامة العمليات. يجب أن يكون لديك أيضًا استراتيجيات استجابة وتواصل واضحة لإبلاغ الشركاء والموردين والعملاء عند حدوث خرق. يجب أن يكون فريق تكنولوجيا المعلومات لديك مستعدًا دائمًا للهجمات المحتملة. يتضمن التخطيط المناسب لإدارة المخاطر إجراء تدريبات على الاستجابة للحوادث مع فريقك بانتظام لتقييم الاستعداد للهجمات المحتملة.

أمثلة على الهجمات الأخيرة على سلسلة التوريد

تعد كفاءة هجمات سلسلة التوريد العامل الرئيسي الذي يفسر انتشارها. تؤثر هذه الأنواع من الهجمات على مؤسسات مختلفة بدءًا من الشركات الكبرى مثل Target وحتى الوكالات الحكومية. في العقد الماضي، كانت هناك بعض الحالات البارزة لهجمات سلسلة التوريد. تتضمن بعض أبرز أمثلة هجمات سلسلة التوريد ما يلي:

• سيتا، 2021

  في أوائل عام 2021، تعرضت شركة بيانات النقل الجوي SITA لاختراق بيانات يُعتقد أنه كشف سجلات الطيران لأكثر من 580,000 ألف مسافر على الخطوط الجوية الماليزية.

  برنامج المسافر الدائم. وقد أثر نفس خرق البيانات أيضًا على شركة Finnair Air في نيوزيلندا والعديد من الشركات الأخرى. ويعتقد الخبراء أن نقطة الهجوم كانت من خلال شركة تعرف باسم Star Alliance، والتي تشارك معها الخطوط الجوية السنغافورية البيانات. وانتشر الهجوم بعد ذلك إلى سلسلة التوريد بأكملها.

• حالة كلمة المرور، 2021

  أبلغت شركة ClickStudios، وهي شركة مقرها أستراليا ومبتكري تطبيق Passwordstate (حل لإدارة كلمات المرور)، عن هجوم على سلسلة التوريد في عام 2021. وحدث الهجوم عبر خدمة تحديث البرامج التي تمت استضافتها على شبكة CDN تابعة لجهة خارجية. تم تنزيل البرامج الضارة تلقائيًا على أجهزة العملاء الذين قاموا بتحديث برامجهم أثناء وقت الهجوم. تم تصميم البرنامج الضار لفك تشفير جميع البيانات المخزنة في قاعدة بيانات العميل وإرسالها كنص عادي إلى الخادم الخارجي للمهاجم.

•  ارتباك التبعية 2021

  وكان هذا هجومًا متعمدًا لاختبار مدى انتشار هجمات سلسلة التوريد. قام Alex Birsan، وهو باحث أمني، باختراق أنظمة تابعة لشركات مثل Microsoft وUber وTesla وApple من خلال الاستفادة من بروتوكولات التبعية التي تستخدمها تطبيقاتهم لتقديم الخدمات للمستخدمين النهائيين. أتاحت هذه التبعيات إرسال حزم البيانات المزيفة إلى العديد من المستخدمين البارزين على الشبكة.

• مايم كاست، 2021

  أدت شهادة Mimecast الرقمية المخترقة إلى واحدة من أكثر عمليات اختراق بيانات سلسلة التوريد التي تم الحديث عنها في عام 2021. وقد تعرضت الشهادة الرقمية المستخدمة لمصادقة بعض خدمات Mimecast على خدمات الويب Microsoft 365 Exchange للاختراق. وكشفت التحقيقات أن المجموعة التي تقف وراء هذا الاختراق كانت مسؤولة أيضًا عن هجوم SolarWinds لعام 2020. أثر الهجوم على ما يصل إلى 10% من عملاء Mimecast.

• هجوم SolarWinds 2020

  يمكن القول إن هذه هي الحالة الأكثر شهرة لهجمات سلسلة التوريد في العقد الماضي. هاجم المتسللون، الذين يُعتقد أنهم لاعبين ضارين أجانب، العديد من الوكالات الحكومية الأمريكية من خلال بائع خارجي يعرف باسم SolarWinds، وهو مزود خدمات تكنولوجيا المعلومات. هناك ست وزارات حكومية أمريكية من بين 18,000 عميل لشركة SolarWinds المتأثرين بالهجمات، بما في ذلك وزارة الطاقة والإدارة الوطنية للأمن النووي، ووزارة الخارجية الأمريكية، ووزارة التجارة، ووزارة الخزانة، ووزارة الداخلية. حماية.

• أسوس، 2018

  في عام 2018، استغل هجوم ضار برنامج التحديث المباشر الخاص بشركة ASUS لتثبيت برامج ضارة خلفية على أكثر من مليون جهاز كمبيوتر. في هذا الهجوم على سلسلة التوريد، استفاد المتسللون من ميزة التحديث التلقائي لإدخال برامج ضارة على أجهزة الكمبيوتر الخاصة بالمستخدمين. تم توقيع البرامج الضارة بشهادات أمان ASUS الشرعية مما جعل من الصعب اكتشافها. ولحسن الحظ، كان لدى المتسللين قائمة محدودة تضم 600 مستخدم فقط، ولم يتأثر آلاف المستخدمين الآخرين الذين لم يكونوا مدرجين في تلك القائمة بشكل كبير.

• تيار الحدث، 2018

  في هجوم تدفق الأحداث لعام 2018، قام المتسللون بحقن برامج ضارة في مستودع داخل نظام GitHub. نظرًا لأن GitHub كان بمثابة خدمة نسخ احتياطي لملايين المطورين، فقد عرّض الهجوم العديد من المستخدمين لهجوم محتمل من خلال البرامج الضارة. ومع ذلك، تمت برمجة التعليمات البرمجية الضارة خصيصًا لاستهداف محفظة Copay bitcoin. إذا قام مطورو Copay المتأثرون بالبرامج الضارة بتشغيل برنامج نصي لبناء الإصدار أثناء الهجوم، فسيتم تجميع التعليمات البرمجية الضارة في التطبيق وكان من الممكن أن يؤدي ذلك إلى حصاد المفاتيح الخاصة ومعلومات الحساب لمستخدمي Copway الذين لديهم ما لا يقل عن 1000 بيتكوين في حساباتهم. حساب.

• هجوم سلسلة التوريد Equifax

  تعرضت Equifax، إحدى أكبر وكالات الإبلاغ عن بطاقات الائتمان في العالم، لهجوم على سلسلة التوريد في عام 2018. وتم تسليم التعليمات البرمجية الضارة عبر ثغرة أمنية في التطبيق على موقع الشركة الإلكتروني. تأثر أكثر من 147 مليون عميل من عملاء Equifax بالهجوم الذي كشف عن بيانات شخصية حساسة بما في ذلك العناوين وأرقام الضمان الاجتماعي وتواريخ الميلاد وما إلى ذلك.

وفي الختام

إذا كان هناك شيء واحد فقط تحتاج إلى استخلاصه من هذه المقالة، فيجب أن يكون هذا: تمثل هجمات سلسلة توريد البرامج تهديدًا وشيكًا. لا شك في ذلك.

ولذلك، لا يمكنك الوثوق بالمنتجات الموقعة وتحديثات البائعين؛ قد تكون هناك بالفعل تعديلات أو إضافات على التعليمات البرمجية الخاصة بك. إذن ما الذي يمكنك فعله للتأكد من عدم إصابة نظامك بالملفات الضارة؟ تأكد من أن كل مالك مكتبة أو بائع برنامج يوفر لك SBOM كاملاً - اكتشف المزيد حول SBOMs هنا- وتأكد من حصولك على ما تتوقعه من البائع أو مالك المكتبة عن طريق طلب شهادة موثوقة.