حمله زنجیره تامین (Supply Chain Attack) چیست انواع آن کدام است و چگونه انجام می شود؟ نحوه توقف این حملات چطور می باشد؟
در طول یک حمله زنجیره تامین، مهاجمان از ابزارها یا خدمات شخص ثالث برای نفوذ به سیستم یا شبکه هدف سوء استفاده می کنند.
حمله زنجیره تامین چیست؟
حمله زنجیره تامین از ابزارها یا خدمات شخص ثالث – که در مجموع به عنوان “زنجیره تامین” نامیده می شود – برای نفوذ به سیستم یا شبکه هدف استفاده می کند. این حملات گاهی اوقات “حملات زنجیره ارزش” یا “حملات شخص ثالث” نامیده می شوند.
به طور طبیعی، حملات زنجیره تامین غیرمستقیم هستند: آنها وابستگی های شخص ثالثی را هدف قرار می دهند که اهداف نهایی آنها (اغلب ناآگاهانه) به آنها متکی هستند. وابستگی یک برنامه یا قطعه کد (اغلب با جاوا اسکریپت نوشته شده) از ارائه دهندگان شخص ثالث است که عملکرد برنامه را بهبود می بخشد.
برای مثال، وابستگی مورد استفاده توسط یک سایت فروشگاهی کوچک، ممکن است به اجرای رباتهای گفتگوی کمک به مشتری یا گرفتن اطلاعات در مورد فعالیت بازدیدکنندگان سایت کمک کند. صدها و اگر نگوییم هزاران مورد از این وابستگیها را میتوان در طیف وسیعی از نرمافزارها، برنامهها و خدماتی که هدفها برای حفظ برنامهها و شبکههای خود استفاده میکنند، یافت.
در یک حمله زنجیره تامین، مهاجم ممکن است یک فروشنده امنیت سایبری را هدف قرار دهد و کد مخرب (یا “بدافزار“) را به نرم افزار خود اضافه کند، که سپس در یک به روز رسانی سیستم برای مشتریان آن فروشنده ارسال می شود. هنگامی که مشتریان بهروزرسانی را دانلود میکنند و معتقدند که از یک منبع قابل اعتماد است، بدافزار به مهاجمان اجازه دسترسی به سیستمها و اطلاعات آن مشتریان را میدهد. (این اساساً چگونه حمله SolarWinds علیه 18000 مشتری در سال 2020 انجام شد.)
- مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]
حمله زنجیره تامین چگونه انجام می شود؟
قبل از انجام یک حمله زنجیره تامین، مهاجمان باید به سیستم، برنامه یا ابزار شخص ثالثی که قصد بهره برداری از آن را دارند (که به عنوان حمله “بالادستی” نیز شناخته می شود، دسترسی پیدا کنند. این ممکن است با استفاده از اعتبارنامه های سرقت شده، هدف قرار دادن فروشندگان با دسترسی موقت به سیستم یک سازمان، یا سوء استفاده از یک آسیب پذیری نرم افزاری ناشناخته، در میان روش های دیگر انجام شود.
هنگامی که دسترسی به این وابستگی شخص ثالث ایمن شد، حمله “پایین دستی” – حملهای که اغلب از طریق مرورگر یا دستگاه آنها به هدف نهایی می رسد – می تواند به روش های مختلفی انجام شود.
با بازگشت به مثال قبلی، حمله “بالا دستی” زمانی رخ می دهد که مهاجم کدهای مخرب را به نرم افزار یک فروشنده امنیت سایبری اضافه می کند. سپس، حمله «پاییندستی» زمانی انجام میشود که آن بدافزار بر روی دستگاههای کاربر نهایی از طریق یک بهروزرسانی معمول نرمافزار اجرا شود.
انواع متداول حملات زنجیره تامین چیست؟
حملات زنجیره تامین ممکن است سخت افزار، نرم افزار، برنامه ها یا دستگاه هایی را که توسط اشخاص ثالث مدیریت می شوند هدف قرار دهند. برخی از انواع حملات رایج عبارتند از:
حملات مبتنی بر مرورگر کدهای مخرب را روی مرورگرهای کاربر نهایی اجرا می کنند. مهاجمان ممکن است کتابخانههای جاوا اسکریپت یا افزونههای مرورگر را که به طور خودکار کد را در دستگاههای کاربر اجرا میکنند، هدف قرار دهند. همچنین ممکن است اطلاعات حساس کاربر را که در مرورگر ذخیره شده است (از طریق کوکیها، ذخیرهسازی جلسه و غیره) به سرقت ببرند.
حملات نرم افزاری بدافزار را در به روز رسانی نرم افزار پنهان می کنند. همانند حمله SolarWinds، سیستمهای کاربران ممکن است این بهروزرسانیها را بهطور خودکار دانلود کنند – به مهاجمان اجازه میدهد دستگاههای خود را آلوده کرده و اقدامات بعدی را انجام دهند.
حملات منبع باز از آسیب پذیری های کد منبع باز سوء استفاده می کنند. بستههای کد منبع باز میتوانند به سازمانها در تسریع توسعه برنامهها و نرمافزارها کمک کنند، اما همچنین ممکن است به مهاجمان اجازه دهند آسیبپذیریهای شناختهشده را دستکاری کنند یا بدافزاری را پنهان کنند که سپس برای نفوذ به سیستم یا دستگاه کاربر استفاده میشود.
حملات جاوا اسکریپت از آسیبپذیریهای موجود در کد جاوا اسکریپت سوء استفاده میکنند یا اسکریپتهای مخرب را در صفحات وب جاسازی میکنند که هنگام بارگیری توسط کاربر بهطور خودکار اجرا میشوند.
حملات Magecart از کدهای مخرب جاوا اسکریپت برای حذف اطلاعات کارت اعتباری از فرم های پرداخت وب سایت استفاده می کنند که اغلب توسط اشخاص ثالث مدیریت می شوند. این همچنین به عنوان “formjacking” شناخته می شود.
حملات چاله آبی، وب سایت هایی را شناسایی می کند که معمولاً توسط تعداد زیادی از کاربران استفاده می شود (به عنوان مثال یک سازنده وب سایت یا وب سایت دولتی). مهاجمان ممکن است از تعدادی تاکتیک برای شناسایی آسیب پذیری های امنیتی در سایت استفاده کنند، سپس از آن آسیبپذیریها برای ارائه بدافزار به کاربران ناآگاه استفاده کنند.
Cryptojacking به مهاجمان اجازه می دهد تا منابع محاسباتی مورد نیاز برای استخراج ارز دیجیتال را سرقت کنند. آنها می توانند این کار را به چند روش انجام دهند: با تزریق کد یا تبلیغات مخرب به یک وب سایت، جاسازی اسکریپت های استخراج رمزنگاری در مخازن کد منبع باز، یا استفاده از تاکتیک های فیشینگ برای ارائه لینک های آلوده به بدافزار به کاربران ناآگاه.
نحوه دفاع در برابر حملات زنجیره تامین
هر حملهای که از نرم افزار، سخت افزار یا برنامه های شخص ثالث سوء استفاده کند یا دستکاری کند، حمله زنجیره تامین محسوب می شود. سازمان ها معمولاً با انواع مختلفی از فروشندگان خارجی کار می کنند که هر یک از آنها ممکن است از ده ها وابستگی در ابزارها و خدمات خود استفاده کنند.
به همین دلیل، اگر نگوییم غیرممکن، ممکن است برای سازمانها سخت باشد که کاملاً خود را در برابر حملات زنجیره تأمین مصون نگه دارند. با این حال، چندین استراتژی وجود دارد که سازمان ها می توانند برای دفاع پیشگیرانه در برابر روش های حمله رایج استفاده کنند:
اجرای ارزیابی ریسک شخص ثالث
این ممکن است شامل آزمایش نرمافزار شخص ثالث قبل از استقرار، الزام فروشندگان به رعایت سیاستهای امنیتی خاص، اجرای سیاستهای امنیت محتوا (CSP) برای کنترل منابعی که مرورگر میتواند اجرا کند، یا استفاده از یکپارچگی منابع فرعی ( SRI) برای بررسی جاوا اسکریپت برای محتوای مشکوک.
پیاده سازی Zero Trust
ابزار Zero Trust تضمین می کند که هر کاربر – از کارمندان گرفته تا پیمانکاران و فروشندگان – در معرض اعتبارسنجی و نظارت مستمر در داخل شبکه یک سازمان باشد. تأیید هویت و امتیازات کاربر و دستگاه کمک میکند تا اطمینان حاصل شود که مهاجمان نمیتوانند صرفاً با سرقت اعتبارنامههای قانونی کاربر به سازمان نفوذ کنند (یا در صورت نقض اقدامات امنیتی موجود، در داخل شبکه حرکت کنند).
از پیشگیری از بدافزار استفاده کنید
ابزارهای پیشگیری از بدافزار، مانند نرمافزار آنتی ویروس، بهطور خودکار دستگاهها را برای کدهای مخرب اسکن میکنند تا از اجرای آن جلوگیری کنند.
جداسازی مرورگر را بپذیرید
ابزارهای جداسازی مرورگر، کد صفحه وب (یا جعبه ایمنی) را قبل از اجرا در دستگاه های کاربر نهایی ایزوله می کنند، بنابراین هر بدافزاری قبل از رسیدن به هدف مورد نظر خود شناسایی و کاهش می یابد.
شناسایی سایه IT
«Shadow IT» به برنامهها و خدماتی اطلاق میشود که کارکنان بدون تأیید بخش فناوری اطلاعات سازمان خود از آنها استفاده میکنند. این ابزارهای غیرمجاز ممکن است حاوی آسیبپذیریهایی باشند که نمیتوانند توسط فناوری اطلاعات وصله شوند، زیرا از کاربرد آنها بیاطلاع هستند. استفاده از یک واسطه امنیتی دسترسی ابری (CASB) با قابلیتهای تشخیص فناوری اطلاعات سایه میتواند به سازمانها کمک کند تا ابزارهایی را که کارکنانشان استفاده میکنند فهرستبندی کنند و آنها را برای هر گونه آسیبپذیری امنیتی تجزیه و تحلیل کنند.
فعال کردن وصله و تشخیص آسیبپذیری
سازمانهایی که از ابزارهای شخص ثالث استفاده میکنند، مسئولیت دارند که از عاری بودن آن ابزارها از آسیبپذیریهای امنیتی اطمینان حاصل کنند. در حالی که شناسایی و اصلاح هر آسیبپذیری ممکن است امکانپذیر نباشد، سازمانها همچنان باید تلاش خود را برای یافتن و افشای آسیبپذیریهای شناخته شده در نرمافزار، برنامهها و سایر منابع شخص ثالث انجام دهند.
جلوگیری از سوء استفاده های روز صفر
اغلب، حملات زنجیره تامین از اکسپلویت های روز صفر استفاده می کنند که هنوز اصلاح نشدهاند. در حالی که هیچ روشی برای پیشبینی تهدیدات روز صفر وجود ندارد، ابزارهای جداسازی مرورگر و فایروال ها میتوانند به جداسازی و مسدود کردن کدهای مخرب قبل از اجرای آن کمک کنند.
نحوه توقف حملات زنجیره تامین
2 ابزار مهمی که حتی شرکت های ارائه دهنده خدمات امنیت سایبری نیز از آنها برای کمک به مشتریانشان بهره می برند، موارد زیر هستند و شما نیز می توانید از آنها استفاده نمایید:
Cloudflare Zero Trust با مسدود کردن دسترسی به وبسایتهای بالقوه مخاطرهآمیز، جلوگیری از آپلود و دانلودهای مخرب، و ممیزی برنامههای SaaS (چه تأیید شده و چه تأیید نشده) در سازمان شما، به خنثی کردن حملات زنجیره تأمین کمک میکند.
Cloudflare Zaraz یک مدیر ابزار شخص ثالث است که برنامه ها را در فضای ابری بارگیری می کند، بنابراین کدهای مخرب نمی توانند در مرورگر کاربر نهایی اجرا شوند. Zaraz به کاربران امکان مشاهده و کنترل اسکریپت های شخص ثالثی را که در سایت های آنها اجرا می شود، می دهد و آنها را قادر می سازد تا رفتارهای مخاطره آمیز را ایزوله و مسدود کنند.