Difesa contro i recenti attacchi alla supply chain del software: lezioni e strategie

Tutti i messaggi

Negli ultimi anni, gli attacchi alla supply chain del software sono emersi come una minaccia significativa alla sicurezza informatica, prendendo di mira le complesse reti di relazioni tra le organizzazioni e i loro fornitori. Questo articolo approfondisce i recenti attacchi alla supply chain, esaminando come si sono verificati e discutendo le strategie di prevenzione e mitigazione. Dalle violazioni che compromettono i dati sensibili agli attacchi che sfruttano le vulnerabilità del software, comprendere questi incidenti è fondamentale per rafforzare le difese. Esploriamo anche come le soluzioni complete di Scribe Security possono affrontare queste minacce, garantendo una solida protezione per le organizzazioni.

Attacchi recenti alla catena di fornitura del software

Attacco SiSense (aprile 2024)
Gli aggressori hanno violato SiSense, un'azienda di business intelligence, compromettendo il suo repository GitLab, che conteneva le credenziali per il loro account Amazon S3. Ciò ha consentito l'accesso non autorizzato e la potenziale perdita di dati. CISA è intervenuta e SiSense ha dovuto collaborare con esperti del settore per mitigare l'impatto della violazione.

Attacco alla catena di fornitura di Okta (ottobre 2023)
Gli autori delle minacce hanno ottenuto l'accesso al sistema di gestione del supporto clienti di Okta ottenendo credenziali, consentendo loro di visualizzare file sensibili da recenti casi di supporto. La violazione è stata notificata in ritardo a clienti come BeyondTrust, evidenziando il rischio di risposta ritardata nelle vulnerabilità della supply chain.

Vulnerabilità di JetBrains TeamCity (settembre/ottobre 2023)
Sfruttando una vulnerabilità critica di bypass dell'autenticazione in JetBrains TeamCity, gli attori della minaccia russa (Cozy Bear) hanno ottenuto il controllo amministrativo sui server interessati. Questa violazione ha consentito loro di eseguire codice remoto e potenzialmente compromettere le catene di fornitura delle organizzazioni che utilizzano TeamCity.

Attacco 3CX (marzo 2023)
Gli aggressori hanno inserito un file di libreria dannoso nelle app desktop 3CX per Windows e macOS, che ha scaricato un payload crittografato per le operazioni di Command & Control. La violazione, attribuita al gruppo nordcoreano Lazarus, ha evidenziato i rischi negli ambienti di compilazione software poiché le app dannose erano firmate con certificati 3CX validi.

Violazione dei partner di Applied Materials (febbraio 2023)
Un attacco ransomware a un importante fornitore (si suppone MKS Instruments) di Applied Materials ha interrotto le spedizioni di semiconduttori, costando all'azienda circa 250 milioni di dollari. La violazione ha avuto un impatto sulle divisioni Vacuum Solutions e Photonics Solutions del fornitore, ritardando l'elaborazione degli ordini e la spedizione.

Campagna MOVEit (giugno 2023)
Il software di trasferimento file MOVEit è stato sfruttato dal gruppo ransomware Cl0p, che ha preso di mira molteplici vulnerabilità per l'esecuzione di codice remoto. La campagna ha interessato oltre 342 organizzazioni, tra cui grandi aziende come Norton ed EY, dimostrando l'ampia portata e il potenziale di danno degli attacchi alla supply chain.

Attacco al framework PyTorch (dicembre 2022)
Gli aggressori hanno compromesso i pacchetti di build notturni del framework di apprendimento automatico PyTorch, iniettando codice dannoso che ha raccolto dati dai sistemi degli utenti. La violazione ha sottolineato i pericoli dell'affidamento a repository di terze parti e la necessità di una convalida rigorosa delle dipendenze software.

Attacco Fantasy Wiper (dicembre 2022)
Questo attacco ha comportato la distribuzione di un aggiornamento dannoso al software Kaseya VSA, che ha cancellato i dati dai sistemi in tutto il mondo. La violazione ha dimostrato come gli aggiornamenti software, se compromessi, possono fungere da potente vettore per attacchi informatici su larga scala.

Questi esempi di attacchi alla supply chain del software illustrano i diversi metodi e le gravi conseguenze degli attacchi alla supply chain del software, sottolineando la necessità critica di misure di sicurezza informatica solide e di un monitoraggio attento dei componenti e dei servizi di terze parti.

Soluzioni complete per prevenire gli attacchi alla supply chain del software

La piattaforma di Scribe Security può aiutare a rilevare e prevenire gli attacchi alla supply chain del software, come quelli elencati, tramite una combinazione di gestione automatizzata SBOM (Software Bill of Materials), scansione delle vulnerabilità e monitoraggio in tempo reale delle pipeline CI/CD. La piattaforma si concentra su controlli di integrità, tracciamento della provenienza e convalida continua della sicurezza, assicurando che ogni componente software sia autenticato e non soggetto a manomissioni.

Ecco come Scribe Security può aiutare a mitigare specifici scenari di attacco:

1. Attacco SiSense (aprile 2024) – Violazione del repository GitLab

Nel caso dell'attacco SiSense, in cui gli aggressori hanno ottenuto l'accesso non autorizzato a credenziali sensibili archiviate in un repository GitLab compromesso, la piattaforma di Scribe Security affronta tali vulnerabilità monitorando costantemente i repository per credenziali esposte o configurazioni errate. Attraverso scansioni automatiche e monitoraggio del controllo degli accessiScribe rileva potenziali errori di sicurezza, come credenziali incorporate, che possono rappresentare un bersaglio primario per gli aggressori.

Inoltre, la piattaforma tiene traccia escalation dei privilegi e accesso non autorizzato tentativi, aiutando a rilevare e prevenire le violazioni prima che possano degenerare. In caso di violazione, le capacità di risposta di Scribe consentono un rapido rilevamento e mitigazione, riducendo i potenziali danni causati dall'accesso non autorizzato a infrastrutture sensibili come gli account Amazon S3.

2. Attacco alla catena di fornitura Okta (ottobre 2023) – Sistema di assistenza clienti compromesso

Nell'attacco Okta, in cui gli autori della minaccia hanno sfruttato le vulnerabilità nei sistemi di assistenza clienti per ottenere l'accesso ai file sensibili dei clienti, la piattaforma di Scribe aiuta a prevenire tali violazioni attraverso controllo degli accessi basato sui ruoli (RBAC) e firma del codice continuaGarantendo che tutte le integrazioni di terze parti (come i sistemi di assistenza clienti) siano costantemente verificate, monitorate e ad accesso limitato, Scribe riduce al minimo il rischio di compromissione delle credenziali.

La piattaforma di Scribe Security consente inoltre registri di controllo completi e monitoraggio delle attività per rilevare accessi non autorizzati o attività insolite, garantendo che le organizzazioni possano rispondere rapidamente e informare le parti interessate senza indugio.

3. Vulnerabilità JetBrains TeamCity (settembre/ottobre 2023) – Bypass dell'autenticazione

Il Squadra Città JetBrains vulnerabilità ha permesso agli aggressori di ottenere il controllo amministrativo sui server interessati. La piattaforma di Scribe Security si concentra su controlli di integrità e verifica della provenienza, assicurando che l'infrastruttura software critica come gli strumenti CI/CD (ad esempio, TeamCity) rimanga senza compromessi. Scribe's garanzia continua Le funzionalità convalidano l'integrità di tutti i componenti nell'ambiente di compilazione del software, impedendo l'introduzione di codice non autorizzato o dannoso.

Facendo leva autenticazione e gestione degli accessi Grazie ai protocolli, Scribe impedisce anche l'accesso non autorizzato ai server di sviluppo, garantendo che solo il personale verificato possa modificare o controllare le infrastrutture critiche.

4. Attacco 3CX (marzo 2023) – Libreria dannosa nelle app firmate

L'attacco 3CX, che ha coinvolto gli aggressori che hanno inserito un file di libreria dannoso nelle app desktop 3CX, sottolinea l'importanza di integrità del codice. Sicurezza dello Scribe firma del codice continua e controlli di provenienza garantire che ogni build e pacchetto software sia autenticato, firmato e privo di manomissioni.

Se 3CX avesse impiegato tali strumenti di convalida continua, avrebbe potuto rilevare che le sue applicazioni firmate erano state compromesse durante il processo di compilazione. La piattaforma impedisce anche l'uso di certificati compromessi monitorando la validità del certificato e avvisando i team di eventuali anomalie nel processo di firma.

5. Violazione del partner di Applied Materials (febbraio 2023) – Attacco ransomware al fornitore

Nel caso di Applied Materials, dove un attacco ransomware ha interrotto la supply chain, la piattaforma di Scribe garantisce la resilienza della supply chain attraverso Trasparenza della supply chain basata su SBOMMonitorando costantemente tutti i fornitori terzi, Scribe consente alle organizzazioni di comprendere quali componenti sono a rischio e di adottare misure proattive per proteggere la propria supply chain.

Inoltre, Scribe rilevamento delle vulnerabilità Gli strumenti identificano i potenziali rischi tra i fornitori, segnalando eventuali componenti software obsoleti o non aggiornati che potrebbero introdurre vulnerabilità nella catena di fornitura più ampia.

6. Campagna MOVEit (giugno 2023) – Software di trasferimento file sfruttato

La campagna di trasferimento file MOVEit del gruppo ransomware Cl0p ha evidenziato come le vulnerabilità in software critici come gli strumenti di trasferimento file possano avere conseguenze di vasta portata. Scribe's scansione automatica delle vulnerabilità verifica costantemente la presenza di tali debolezze nei software di terze parti come MOVEit, consentendo alle organizzazioni di correggere le vulnerabilità prima che vengano sfruttate.

Scribe Security migliora anche la sicurezza attraverso gestione delle dipendenze, assicurando che tutte le dipendenze software (ad esempio, il software di trasferimento file) siano aggiornate e prive di vulnerabilità note.

7. Attacco al framework PyTorch (dicembre 2022) – Repository di terze parti compromessi

L'attacco al framework PyTorch ha mostrato i rischi di affidarsi a repository di terze parti. La piattaforma di Scribe Security si concentra sulla garanzia di integrità e provenienza di tutti i componenti software, siano essi originati da repository di terze parti o da ambienti di sviluppo interni. Convalidando la fonte e la sicurezza di ogni componente, Scribe impedisce che codice dannoso venga iniettato in build notturne o framework di sviluppo.

Inoltre, Scribe Monitoraggio SBOM aiuta a identificare l'origine di ogni componente, garantendo che le organizzazioni possano identificare e mitigare rapidamente i rischi posti dai repository compromessi.

8. Fantasy Wiper Attack (dicembre 2022) – Distribuzione di aggiornamenti dannosi

Il Attacco Fantasy Wiper, che ha comportato la distribuzione di un aggiornamento dannoso tramite il software Kaseya VSA, evidenzia il pericolo di aggiornamenti software compromessi. Scribe Security's monitoraggio continuo degli aggiornamenti software assicura che eventuali discrepanze negli aggiornamenti vengano segnalate prima che vengano distribuiti sulla rete. Verificando la provenienza di ogni aggiornamento, Scribe assicura che solo gli aggiornamenti legittimi e sicuri vengano inviati in produzione.

Inoltre, Scribe capacità di rollback consentono alle organizzazioni di tornare rapidamente a versioni sicure del software nel caso in cui venga rilevato un aggiornamento dannoso, riducendo al minimo i tempi di inattività e le interruzioni.

Conclusione: proteggere la catena di fornitura del software con Scribe Security

La piattaforma di Scribe Security offre un approccio multistrato per proteggere la supply chain del software. Attraverso gestione continua SBOM, scansione delle vulnerabilità, monitoraggio in tempo realee controlli di integrità, la piattaforma aiuta le organizzazioni a rilevare e prevenire attacchi alla supply chain come quelli a cui sono stati sottoposti SiSense, Okta, 3CX e altri.

Integrando la sicurezza in ogni fase del ciclo di vita dello sviluppo e monitorando costantemente la catena di fornitura del software, Scribe Security garantisce che le organizzazioni possano impedire ad attori malintenzionati di sfruttare le vulnerabilità, mantenere la conformità e mitigare i rischi associati ai componenti di terze parti.

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.