Editors' Pick

Ellátási lánc támadás elleni tanácsok

Yanac

A CISA és a NIST (U.S. Cybersecurity and Infrastructure Security Agency és National Institute of Standards and Technology) közös ajánlást adott ki az ellátási lánc támadások elleni hatékony védekezés érdekében.

Az ellátási lánc támadás sokféle lehet, és az utóbbi időszak ilyen jellegű incidenseit követően egyre hangsúlyosabb szerepet kap a médiában, lassan ez is egy elhasznált, elkoptatott kifejezés lesz, mint sok más hasonló erős hívószó korábban. A SolarWinds incidens óta egyre több helyen lehet olvasni, hallani ilyen támadásokról, bár ezen esetek többségéről kiderül, hogy nem minősülnek ellátási lánc támadásnak. Vannak azonban olyan incidensek, mint legutóbb a Pulse Secure VPN szolgáltató esetében is, hogy kiderül, valóban ilyen támadás történt. Ezen esetek közös jellemzője, hogy ha kellő ideig tudnak észrevétlenek maradni, akkor jelentős károkat tudnak okozni, és számottevő mértékű áldozatuk lehet, attól függően, hogy az adott terméknek hány (fel)használója volt.

Az ilyen jellegű támadások ellen rendkívül nehéz védekezni, mert jellemzően egyrészt sokkal kifinomultak, mint a szokásos, tömeges incidensek (ransomware, DDoS, vagy kriptonbányászok), másrészt pedig azért, mert nagyszámú, harmadik féltől származó alkalmazásokat engedünk be védett rendszereinkbe, melyek egy része privilegizált módban is fut, illetve a megbízható működéshez szükséges egy állandó kapcsolat a beszállítóval, gyártóval. Ennek megfelelően egy ilyen alkalmazást megfertőzni a támadóknak aranybánya, míg a védekező oldalról az anomáliákat kiszűrni nagyon bonyolult és időigényes folyamat.

A CSIA és NIST közös ajánlása abban nyújt segítséget, hogy miként lehet már a fejlesztési folyamatba olyan kontrollokat építeni, ami segít(het) megelőzni az ilyen jellegű támadásokat. A dokumentum fő üzenete, hogy alkalmazni kell a NIST által támogatott  Cyber Supply Chain Risk Management (C-SCRM) és a Secure Software Development Framework (SSDF) keretrendszereket. Megjegyzik továbbá, hogy az ellátási lánc támadások során jellemzően az alábbi faktorokat használják ki a támadók:

  • frissítések elfogása, meghamisítása,
  • a kód aláírások meghamisítása, vagy kompromittálása,
  • nyílt forráskód kompromittálása.

Fontos megjegyezni, hogy az ajánlásban is szereplő SSDF keretrendszer alkalmazása csak a szükséges minimum, ajánlatosabb ennél sokkal szigorúbb biztonsági keretrendszerek alkalmazása, mint az USA Védelmi Minisztériuma által is támogatott DevSecOps, vagy az Payment Card Industry Data Security Standard (PCI-DSS), Open Web Application Security Project (OWASP), illetve akár Software Assurance Maturity Model (SAMM) keretrendszerek. Természetesen a megfelelő keretrendszer kiválasztásánál figyelembe kell venni többek között a tervezett terméket, a termék platformját, és más, eltérő követelményeket, mint pl.: a pénzügyi szektorban alkalmazott különleges kontrollokat és megfelelőségi követelményeket.

(ajánlás)

(forrás)