ووفقا ل تقرير غارتنر، فإن ما يصل إلى 45% من المؤسسات في جميع أنحاء العالم قد تعرضت لهجوم على سلسلة توريد البرامج الخاصة بها بحلول عام 2025. وقد أصبح هذا النوع من الهجمات متكررًا ويصعب التعامل معه بسبب التغييرات في كيفية إنشاء المنتجات البرمجية هذه الأيام.
اليوم، لم يعد مهندسو البرمجيات مضطرين إلى إنشاء تطبيقات من الصفر. بقدر ما 90% من التطبيق يمكن إنشاؤها باستخدام أكواد الطرف الثالث والمكتبات المنفصلة والبرامج مفتوحة المصدر. في حين أن هذا النهج في تطوير البرامج يساعد على تبسيط عملية إنشاء التطبيقات وتوفير قدر كبير من الوقت، فإنه يزيد أيضًا من التهديدات ونقاط الضعف الأمنية حيث يمكن تسليم الحزم الضارة من خلال رموز وبرامج خارجية.
في النهاية ، هو كذلك أصبحت صعبة بشكل متزايد للحفاظ على سلامة سلاسل توريد البرمجيات. إن الزيادة الأخيرة في مخاطر سلسلة توريد البرمجيات والانتهاكات الكبيرة التي تسببها تظهر مدى خطورة مشكلة نقاط الضعف في سلسلة التوريد.
وتماشيًا مع هذا الاتجاه، أصبح من الضروري على المؤسسات اتخاذ الإجراءات اللازمة لضمان سلامة وأمن برامجها. في هذا المنشور، سنستكشف مخاطر سلسلة توريد البرامج الشائعة والطرق المختلفة التي يمكن للمؤسسات من خلالها التخفيف من نقاط الضعف هذه وحماية برامجها من الهجمات.
نقاط الضعف المعروفة في سلاسل توريد البرمجيات
يمكن أن تشكل برامج الطرف الثالث العديد من التهديدات لسلسلة توريد البرامج. قد يستخدم المهاجمون طرقًا مختلفة لاستغلال نقاط الضعف في الأنظمة التي تعتمد على برنامج الطرف الثالث هذا. تتضمن بعض أساليب الهجوم هذه إدخال تعليمات برمجية ضارة في البرامج، والارتباك في التبعية، وكتابة الأخطاء المطبعية، وما إلى ذلك.
ومع ذلك، نظرًا لتعقيد تطوير البرامج والسرعة التي يجب بها تسليم التطبيقات الجديدة في السوق الرقمية شديدة التنافسية اليوم، ليس أمام مهندسي البرمجيات خيار سوى الاعتماد على أدوات الطرف الثالث والمكتبات الخارجية لإنشاء التطبيقات في أسرع وقت ممكن. .
يمكن إدخال الثغرات الأمنية في التطبيقات نتيجة لما يلي:
- الكود الذي تكتبه: ممارسات أمنية سيئة في الكود المخصص الذي كتبته بنفسك
- ما تستخدمه في الإنشاء: يمكن أن تتعرض أدوات تطوير البرامج المستخدمة لإنشاء التطبيقات للخطر، مما يعرض برنامجك لثغرات أمنية
- ما تشتريه: قد تحتوي بعض تطبيقات البرامج كخدمة (SaaS) الجاهزة للاستخدام لتطوير التطبيقات على ثغرات أمنية
- ما تستخدمه: تعتمد العديد من التطبيقات على مكتبات مفتوحة المصدر تابعة لجهات خارجية والتي قد تكون بمثابة الحلقة الضعيفة في سلسلة التوريد الخاصة بك.
وبالنظر إلى الروابط الضعيفة العديدة المحتملة في كل سلسلة توريد برمجيات، يجب على المؤسسات أن تكون استباقية بشأن الوقاية والعلاج نقاط الضعف في سلسلة توريد البرمجيات. للقيام بذلك، يجب على مهندسي البرمجيات فهم هذه المخاطر أو التهديدات المحتملة التي يمكن أن تواجهها مشاريعهم البرمجية. بعض هذه التهديدات تشمل:
حزمة التعليمات البرمجية الضارة المضمنة
أحد الأشياء التي يفعلها المهاجمون في هجوم سلسلة توريد البرامج هو إصابة نقاط النهاية المتأثرة ببرامج ضارة. يمكن أن تكون هذه البرامج الضارة فيروسًا أو برنامج فدية أو حصان طروادة أو برنامج تجسس يمكن أن يلحق الضرر بالبرامج وأنظمة الكمبيوتر المتضررة.
غالبًا ما يختار المهاجمون الأهداف التي تتمتع أنظمتها بتفويض عالي المستوى على أجهزة المستخدم. من الأمثلة البارزة على هجوم كهذا هو الهجوم السيبراني الذي تعرض له عام 2021 Kaseya، أحد مطوري حلول تكنولوجيا المعلومات، وكان من بين عملائه مقدمو الخدمات المُدارة وعملاء المؤسسات.
أحد حلول تكنولوجيا المعلومات الرئيسية التي تقدمها Kasya هو VSA، وهي أداة موحدة للمراقبة والإدارة عن بعد. كان خادم VSA موثوقًا للغاية على أجهزة العملاء، ومن خلال التسلل إليه، تمكن المهاجمون من التحايل على ضوابط المصادقة على العملاء المتصلين. وبهذه الطريقة، يمكنهم تحميل حمولات ضارة دون عوائق. هجوم كاسيا مشابه لـ إخفاق أمان SolarWinds، حيث تمكن المهاجمون من إرسال تحديثات ضارة إلى آلاف العملاء مما جعلهم عرضة لثغرات أمنية إضافية.
استخراج البيانات الحساسة
يمكن تصنيف كل هجوم يهدف إلى سرقة البيانات على أنه هجوم لاستخراج البيانات. يقال إن عملية تسريب البيانات تحدث عندما يقوم أحد العناصر الخبيثة بنقل غير مصرح به للبيانات الحساسة من نظام مستهدف إلى موقع مختلف. من الأمثلة البارزة على هجوم استخراج البيانات الذي حدث نتيجة لهجوم على سلسلة التوريد هو هجوم نوفمبر 2013 على الهدف، إحدى أكبر شركات البيع بالتجزئة في الولايات المتحدة.
دخل المهاجمون إلى أنظمة Target باستخدام بيانات الاعتماد التي سرقوها من بائع خارجي. وقد منحهم هذا الهجوم وصولاً غير مصرح به إلى قاعدة بيانات خدمة عملاء Target، مما سمح لهم بالتقاط الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني ومعلومات بطاقة الدفع وغيرها من البيانات الحساسة للعملاء. وتم تسريب معلومات بطاقة الدفع الخاصة بـ 41 مليون عميل مستهدف إلى خوادم المهاجم بينما تم الكشف عن معلومات الاتصال الخاصة بأكثر من 60 مليون عميل.
تنفيذ التعليمات البرمجية عن بعد
يعد تنفيذ التعليمات البرمجية عن بُعد (يُسمى أيضًا تنفيذ التعليمات البرمجية التعسفية) أحد أنواع الهجمات الإلكترونية حيث يتمكن المهاجم من الوصول للتحكم في تشغيل جهاز أو كمبيوتر عن بُعد. عادةً ما يقوم المهاجم بإدخال تعليمات برمجية ضارة في ملف أو سلسلة أو حزمة كاملة ينوي الضحية تشغيلها على أنظمته. يسمح هذا للمهاجم بشن هجوم واسع النطاق يمكنه اختراق تطبيق الويب أو خادم الويب بالكامل. هناك طريقتان شائعتان يمكن أن تحدث بها هجمات تنفيذ التعليمات البرمجية عن بعد في هجمات سلسلة توريد البرامج عبر Typosquatting وDependency Confusion:
Typosquatting
لتنفيذ هذا النوع من الهجمات، تقوم الجهات الفاعلة الضارة عادةً بإنشاء حزمة مخترقة مماثلة للتبعيات التي تنوي تثبيتها. عادةً ما تحتوي الحزمة الضارة على هجاء مختلف قليلاً. والقصد من ذلك هو الاستفادة من الخطأ المحتمل في كتابة أمر التثبيت. تعمل الحزمة الضارة بشكل طبيعي تمامًا مثل التبعية التي ينوي المهندس تثبيتها، ولكنها تنفذ أيضًا تعليمات برمجية ضارة تم تضمينها فيها في نفس الوقت.
ارتباك التبعية
يعد ارتباك التبعية أسلوبًا آخر يستخدمه المهاجمون لبدء تنفيذ تعليمات برمجية عن بعد في هجوم سلسلة توريد البرامج. مع هذا النوع من الهجوم، تقوم الجهات الخبيثة بإنشاء حزمة على مكتبة خارجية بنفس اسم حزمة التبعية الداخلية. نظرًا لأن كلا التبعيتين لهما نفس الاسم، فقد يقوم مدير الحزم بتثبيت التعليمات البرمجية الضارة بدلاً من ذلك. يسمح هذا للمهاجم باختراق بيئة التكامل المستمر/النشر المستمر (CI/CD) للتطبيق البرمجي الذي يتم تطويره.
كيفية التخفيف من المخاطر في سلسلة توريد البرمجيات؟
على مدى السنوات القليلة الماضية، أصبحت هجمات سلسلة توريد البرمجيات واحدة من أكبر التهديدات السيبرانية التي تواجهها المؤسسات في جميع أنحاء العالم. لقد أصبح التخفيف من مخاطر مثل هذه الهجمات جزءًا مهمًا من الأمن السيبراني وإدارة المخاطر في كل مؤسسة، وخاصة تلك التي تعتمد على برنامج طرف ثالث أو آخر. بدلاً من الثقة العمياء في منصات الطرف الثالث والمستودعات العامة، فمن الأفضل اتخاذ الاحتياطات اللازمة وإجراء الفحوصات اللازمة على ما يتم استيراده إلى نظامك. عند إنشاء خطة إدارة مخاطر سلسلة توريد البرامج، يمكنك استخدام الطرق التالية للتخفيف من مخاطر هجمات سلسلة توريد البرامج:
تدقيق البرمجيات الخاصة بك
ما يجعل مكافحة هجمات سلسلة التوريد أمرًا صعبًا للغاية هو أن المخاطر تتجاوز أنظمتك الخاصة. للتخفيف من مخاطر هذه الهجمات، عليك أن تفعل أكثر من مجرد حماية محيطك الخاص. وبدلاً من ذلك، يجب أن تركز استراتيجيتك بشكل أكبر على ضمان أن تكون أنظمة البرامج الخارجية المتصلة بنظامك آمنة تمامًا.
ومع ذلك، غالبًا ما يكون من الصعب تحقيق ذلك خاصةً عندما لا يكون لديك معلومات كافية حول الأنظمة الخارجية التي تتصل بها أو تبعيات التعليمات البرمجية المستخدمة داخل التطبيق الخاص بك. الخطوة الأولى في التخفيف من مخاطر هجوم سلسلة التوريد هي إجراء تدقيق شامل لسلسلة توريد البرامج الخاصة بك.
مؤخرًا، في أعقاب هجوم SolarWinds عام 2020 والذي أثر على العديد من الوكالات الحكومية الأمريكية، جعلت الحكومة الفيدرالية للولايات المتحدة عمليات تدقيق البرامج مطلبًا قانونيًا لكل شركة تبيع برامج لوكالة حكومية أمريكية. يجب عليك أن تفعل الشيء نفسه أيضًا بالنسبة لجميع أنظمتك أيضًا. إن الاحتفاظ بسجل واضح لجميع تبعيات برامجك هو الطريقة الوحيدة لمعرفة ما إذا كان نظامك معرضًا لخطر هجمات سلسلة التوريد.
إلى جانب مراجعة تبعيات برنامجك على الفور، تحتاج أيضًا إلى مراجعة نظامك مرة أخرى مع كل إصدار جديد لبرنامجك. قد تحتاج أيضًا إلى تجاوز التدقيق اليدوي من خلال إجراء تدقيق أكثر شمولاً يمكنه تحديد جميع أنواع التبعيات، بما في ذلك التبعيات العابرة.
التدقيق الآلي
إلى جانب التدقيق اليدوي على أنظمتك، قد تحتاج أيضًا إلى ضبط التدقيق على الطيار الآلي. تلعب الأتمتة دورًا رئيسيًا في اكتشاف نقاط الضعف في أي جزء من برنامجك. تساعد عمليات الفحص التلقائي على اكتشاف الثغرات الأمنية في كود البرنامج الخاص بك بسرعة حتى يمكن معالجتها قبل دفع الكود إلى الإنتاج. سيستمر استخدام أكواد الطرف الثالث في تطوير البرمجيات في النمو وستستمر الجهات الفاعلة الخبيثة في استهداف هذه الأنظمة باعتبارها حلقة ضعيفة لشن هجمات على البرامج في سلسلة القيمة. الطريقة الوحيدة لإيقافها هي البقاء على اطلاع دائم بسلامة نظامك من خلال مراجعته باستمرار.
قم بإعداد فاتورة المواد الخاصة بالبرمجيات
فاتورة المواد البرمجية أصبحت (SBOM) إحدى الطرق الرئيسية لضمان أمان برامجك والتخفيف من مخاطر سلسلة التوريد. هذه الوثيقة عبارة عن بيانات تعريفية رسمية يمكن قراءتها آليًا، وهي مصممة لتحديد كافة محتويات حزمة البرامج. كما أنه يعرض تفاصيل المعلومات الحيوية الأخرى مثل بيانات الترخيص وحقوق الطبع والنشر لجميع المكونات المستخدمة في إنشاء منتج برمجي.
إن مفهوم إعداد قائمة المواد ليس مفهوما جديدا تماما. تاريخياً، يأخذ أصله من عالم التصنيع. هنا، يحصل كل منتج مصنع على قائمة المواد التي تكون بمثابة جرد لجميع العناصر المدرجة في عملية التصنيع لذلك المنتج.
يمكن تطبيق نفس المبدأ على إدارة مخاطر سلسلة توريد البرمجيات. يعرض SBOM تفاصيل جزء تطبيقك الذي قمت بإنشائه من الصفر، مع إدراج جميع الأجزاء التي حصلت عليها من موردي الطرف الثالث أيضًا. وبهذه الطريقة، عند اكتشاف ثغرة أمنية، يمكنك بسهولة تتبع مصدرها.
من المفترض أن تتم مشاركة SBOMs عبر المؤسسات المختلفة التي تستخدم أحد مكونات البرنامج. وهذا يوفر الشفافية بشأن جميع المكونات التي يستخدمها الجميع عبر سلسلة توريد البرامج. باعتبارك منظمة مهتمة بأمان برنامجك، فأنت بحاجة إلى جعل SBOMs أولوية. قبل إضافة أحد المكونات إلى منتج البرنامج الخاص بك، قد يكون من المفيد الحصول على قائمة المواد من البائع. وهذا سيجعل من السهل الاستجابة للتحديات ونقاط الضعف الأمنية.
تطوير إطار عمل لإدارة المخاطر
للتخفيف من مخاطر هجمات سلسلة توريد البرمجيات، من الأفضل دائمًا اتباع نهج استباقي بدلاً من الانتظار حتى حدوث الهجوم. ومن خلال تحديد سيناريوهات الهجوم المحتملة مسبقًا، يمكنك الوصول إلى مدى استعدادك لمواجهتها في المستقبل.
كجزء من جهود إدارة مخاطر سلسلة توريد البرامج، تحتاج إلى تطوير طريقة لتقييم احتمالية قيام مهاجم باختراق نظامك. بهذه الطريقة، يمكنك تحديد الاستراتيجيات الوقائية التي تحتاج إلى اعتمادها للحد من هذه المخاطر بالإضافة إلى خطة الطوارئ التي يتعين عليك وضعها لمعالجة المخاطر.
يعد تدريب الجميع في مؤسستك على كيفية الاستجابة لهجمات سلسلة التوريد جزءًا أساسيًا آخر من إطار عمل إدارة المخاطر لديك. وهذا سيمكن الجميع من توخي اليقظة في توقع مثل هذه الهجمات والرد بشكل مناسب في حالة حدوثها.
وفي الختام
ستستمر هجمات سلسلة توريد البرمجيات في تعريض المؤسسات لأشكال مختلفة من المخاطر. وبالتالي، لم يعد بإمكان المهندسين افتراض أن حزم الطرف الثالث التي يستخدمونها لبناء تطبيقاتهم البرمجية ونشرها وصيانتها آمنة وتتم صيانتها بشكل صحيح. في الواقع، السبب الرئيسي الذي يجعل هجمات سلسلة توريد البرامج أكثر شيوعًا من ذي قبل يرجع جزئيًا إلى الاعتماد المتزايد على أكواد الطرف الثالث في إنشاء تطبيقات البرامج. للتخفيف من هذه المخاطر، تحتاج إلى جرد سلسلة توريد البرامج الخاصة بك ووضع التدابير اللازمة لتقليل تأثير هذه التهديدات على نظامك من أجل منع الانتهاكات الكبيرة والعواقب المصاحبة لها.