حمله زنجیره تامین (Supply Chain Attack)

حمله زنجیره تامین (Supply Chain Attack)
آنچه در این مقاله میخوانید:

حمله زنجیره تامین (Supply Chain Attack) چیست انواع آن کدام است و چگونه انجام می شود؟ نحوه توقف این حملات چطور می باشد؟

در طول یک حمله زنجیره تامین، مهاجمان از ابزارها یا خدمات شخص ثالث برای نفوذ به سیستم یا شبکه هدف سوء استفاده می کنند.

 

حمله زنجیره تامین چیست؟

حمله زنجیره تامین از ابزارها یا خدمات شخص ثالث – که در مجموع به عنوان “زنجیره تامین” نامیده می شود – برای نفوذ به سیستم یا شبکه هدف استفاده می کند. این حملات گاهی اوقات “حملات زنجیره ارزش” یا “حملات شخص ثالث” نامیده می شوند.

به طور طبیعی، حملات زنجیره تامین غیرمستقیم هستند: آنها وابستگی های شخص ثالثی را هدف قرار می دهند که اهداف نهایی آنها (اغلب ناآگاهانه) به آنها متکی هستند. وابستگی یک برنامه یا قطعه کد (اغلب با جاوا اسکریپت نوشته شده) از ارائه دهندگان شخص ثالث است که عملکرد برنامه را بهبود می بخشد.

برای مثال، وابستگی مورد استفاده توسط یک سایت فروشگاهی کوچک، ممکن است به اجرای ربات‌های گفتگوی کمک به مشتری یا گرفتن اطلاعات در مورد فعالیت بازدیدکنندگان سایت کمک کند. صدها و اگر نگوییم هزاران مورد از این وابستگی‌ها را می‌توان در طیف وسیعی از نرم‌افزارها، برنامه‌ها و خدماتی که هدف‌ها برای حفظ برنامه‌ها و شبکه‌های خود استفاده می‌کنند، یافت.

در یک حمله زنجیره تامین، مهاجم ممکن است یک فروشنده امنیت سایبری را هدف قرار دهد و کد مخرب (یا “بدافزار“) را به نرم افزار خود اضافه کند، که سپس در یک به روز رسانی سیستم برای مشتریان آن فروشنده ارسال می شود. هنگامی که مشتریان به‌روزرسانی را دانلود می‌کنند و معتقدند که از یک منبع قابل اعتماد است، بدافزار به مهاجمان اجازه دسترسی به سیستم‌ها و اطلاعات آن مشتریان را می‌دهد. (این اساساً چگونه حمله SolarWinds علیه 18000 مشتری در سال 2020 انجام شد.)

 

 

 

حمله زنجیره تامین چگونه انجام می شود؟

قبل از انجام یک حمله زنجیره تامین، مهاجمان باید به سیستم، برنامه یا ابزار شخص ثالثی که قصد بهره برداری از آن را دارند (که به عنوان حمله “بالادستی” نیز شناخته می شود، دسترسی پیدا کنند. این ممکن است با استفاده از اعتبارنامه های سرقت شده، هدف قرار دادن فروشندگان با دسترسی موقت به سیستم یک سازمان، یا سوء استفاده از یک آسیب پذیری نرم افزاری ناشناخته، در میان روش های دیگر انجام شود.

هنگامی که دسترسی به این وابستگی شخص ثالث ایمن شد، حمله “پایین دستی” – حمله‌ای که اغلب از طریق مرورگر یا دستگاه آنها به هدف نهایی می رسد – می تواند به روش های مختلفی انجام شود.

با بازگشت به مثال قبلی، حمله “بالا دستی” زمانی رخ می دهد که مهاجم کدهای مخرب را به نرم افزار یک فروشنده امنیت سایبری اضافه می کند. سپس، حمله «پایین‌دستی» زمانی انجام می‌شود که آن بدافزار بر روی دستگاه‌های کاربر نهایی از طریق یک به‌روزرسانی معمول نرم‌افزار اجرا شود.

 

 

انواع متداول حملات زنجیره تامین چیست؟

حملات زنجیره تامین ممکن است سخت افزار، نرم افزار، برنامه ها یا دستگاه هایی را که توسط اشخاص ثالث مدیریت می شوند هدف قرار دهند. برخی از انواع حملات رایج عبارتند از:

حملات مبتنی بر مرورگر کدهای مخرب را روی مرورگرهای کاربر نهایی اجرا می کنند. مهاجمان ممکن است کتابخانه‌های جاوا اسکریپت یا افزونه‌های مرورگر را که به طور خودکار کد را در دستگاه‌های کاربر اجرا می‌کنند، هدف قرار دهند. همچنین ممکن است اطلاعات حساس کاربر را که در مرورگر ذخیره شده است (از طریق کوکی‌ها، ذخیره‌سازی جلسه و غیره) به سرقت ببرند.

 

حملات نرم افزاری بدافزار را در به روز رسانی نرم افزار پنهان می کنند. همانند حمله SolarWinds، سیستم‌های کاربران ممکن است این به‌روزرسانی‌ها را به‌طور خودکار دانلود کنند – به مهاجمان اجازه می‌دهد دستگاه‌های خود را آلوده کرده و اقدامات بعدی را انجام دهند.

 

حملات منبع باز از آسیب پذیری های کد منبع باز سوء استفاده می کنند. بسته‌های کد منبع باز می‌توانند به سازمان‌ها در تسریع توسعه برنامه‌ها و نرم‌افزارها کمک کنند، اما همچنین ممکن است به مهاجمان اجازه دهند آسیب‌پذیری‌های شناخته‌شده را دستکاری کنند یا بدافزاری را پنهان کنند که سپس برای نفوذ به سیستم یا دستگاه کاربر استفاده می‌شود.

 

حملات جاوا اسکریپت از آسیب‌پذیری‌های موجود در کد جاوا اسکریپت سوء استفاده می‌کنند یا اسکریپت‌های مخرب را در صفحات وب جاسازی می‌کنند که هنگام بارگیری توسط کاربر به‌طور خودکار اجرا می‌شوند.

 

حملات Magecart از کدهای مخرب جاوا اسکریپت برای حذف اطلاعات کارت اعتباری از فرم های پرداخت وب سایت استفاده می کنند که اغلب توسط اشخاص ثالث مدیریت می شوند. این همچنین به عنوان “formjacking” شناخته می شود.

 

حملات چاله آبی، وب سایت هایی را شناسایی می کند که معمولاً توسط تعداد زیادی از کاربران استفاده می شود (به عنوان مثال یک سازنده وب سایت یا وب سایت دولتی). مهاجمان ممکن است از تعدادی تاکتیک برای شناسایی آسیب‌ پذیری‌ های امنیتی در سایت استفاده کنند، سپس از آن آسیب‌پذیری‌ها برای ارائه بدافزار به کاربران ناآگاه استفاده کنند.

 

Cryptojacking به مهاجمان اجازه می دهد تا منابع محاسباتی مورد نیاز برای استخراج ارز دیجیتال را سرقت کنند. آنها می توانند این کار را به چند روش انجام دهند: با تزریق کد یا تبلیغات مخرب به یک وب سایت، جاسازی اسکریپت های استخراج رمزنگاری در مخازن کد منبع باز، یا استفاده از تاکتیک های فیشینگ برای ارائه لینک های آلوده به بدافزار به کاربران ناآگاه.

 

 

 

نحوه دفاع در برابر حملات زنجیره تامین

هر حمله‌ای که از نرم افزار، سخت افزار یا برنامه های شخص ثالث سوء استفاده کند یا دستکاری کند، حمله زنجیره تامین محسوب می شود. سازمان ها معمولاً با انواع مختلفی از فروشندگان خارجی کار می کنند که هر یک از آنها ممکن است از ده ها وابستگی در ابزارها و خدمات خود استفاده کنند.

به همین دلیل، اگر نگوییم غیرممکن، ممکن است برای سازمان‌ها سخت باشد که کاملاً خود را در برابر حملات زنجیره تأمین مصون نگه دارند. با این حال، چندین استراتژی وجود دارد که سازمان ها می توانند برای دفاع پیشگیرانه در برابر روش های حمله رایج استفاده کنند:

 

اجرای ارزیابی ریسک شخص ثالث

این ممکن است شامل آزمایش نرم‌افزار شخص ثالث قبل از استقرار، الزام فروشندگان به رعایت سیاست‌های امنیتی خاص، اجرای سیاست‌های امنیت محتوا (CSP) برای کنترل منابعی که مرورگر می‌تواند اجرا کند، یا استفاده از یکپارچگی منابع فرعی ( SRI) برای بررسی جاوا اسکریپت برای محتوای مشکوک.

پیاده سازی Zero Trust

ابزار Zero Trust تضمین می کند که هر کاربر – از کارمندان گرفته تا پیمانکاران و فروشندگان – در معرض اعتبارسنجی و نظارت مستمر در داخل شبکه یک سازمان باشد. تأیید هویت و امتیازات کاربر و دستگاه کمک می‌کند تا اطمینان حاصل شود که مهاجمان نمی‌توانند صرفاً با سرقت اعتبارنامه‌های قانونی کاربر به سازمان نفوذ کنند (یا در صورت نقض اقدامات امنیتی موجود، در داخل شبکه حرکت کنند).

 

از پیشگیری از بدافزار استفاده کنید

ابزارهای پیشگیری از بدافزار، مانند نرم‌افزار آنتی ویروس، به‌طور خودکار دستگاه‌ها را برای کدهای مخرب اسکن می‌کنند تا از اجرای آن جلوگیری کنند.

جداسازی مرورگر را بپذیرید

ابزارهای جداسازی مرورگر، کد صفحه وب (یا جعبه ایمنی) را قبل از اجرا در دستگاه های کاربر نهایی ایزوله می کنند، بنابراین هر بدافزاری قبل از رسیدن به هدف مورد نظر خود شناسایی و کاهش می یابد.

شناسایی سایه IT

«Shadow IT» به برنامه‌ها و خدماتی اطلاق می‌شود که کارکنان بدون تأیید بخش فناوری اطلاعات سازمان خود از آنها استفاده می‌کنند. این ابزارهای غیرمجاز ممکن است حاوی آسیب‌پذیری‌هایی باشند که نمی‌توانند توسط فناوری اطلاعات وصله شوند، زیرا از کاربرد آن‌ها بی‌اطلاع هستند. استفاده از یک واسطه امنیتی دسترسی ابری (CASB) با قابلیت‌های تشخیص فناوری اطلاعات سایه می‌تواند به سازمان‌ها کمک کند تا ابزارهایی را که کارکنانشان استفاده می‌کنند فهرست‌بندی کنند و آن‌ها را برای هر گونه آسیب‌پذیری امنیتی تجزیه و تحلیل کنند.

فعال کردن وصله و تشخیص آسیب‌پذیری

سازمان‌هایی که از ابزارهای شخص ثالث استفاده می‌کنند، مسئولیت دارند که از عاری بودن آن ابزارها از آسیب‌پذیری‌های امنیتی اطمینان حاصل کنند. در حالی که شناسایی و اصلاح هر آسیب‌پذیری ممکن است امکان‌پذیر نباشد، سازمان‌ها همچنان باید تلاش خود را برای یافتن و افشای آسیب‌پذیری‌های شناخته شده در نرم‌افزار، برنامه‌ها و سایر منابع شخص ثالث انجام دهند.

جلوگیری از سوء استفاده های روز صفر

اغلب، حملات زنجیره تامین از اکسپلویت های روز صفر استفاده می کنند که هنوز اصلاح نشده‌اند. در حالی که هیچ روشی برای پیش‌بینی تهدیدات روز صفر وجود ندارد، ابزارهای جداسازی مرورگر و فایروال‌ ها می‌توانند به جداسازی و مسدود کردن کدهای مخرب قبل از اجرای آن کمک کنند.

 

 

نحوه توقف حملات زنجیره تامین

2 ابزار مهمی که حتی شرکت های ارائه دهنده خدمات امنیت سایبری نیز از آنها برای کمک به مشتریان‌شان بهره می برند، موارد زیر هستند و شما نیز می توانید از آنها استفاده نمایید:

Cloudflare Zero Trust با مسدود کردن دسترسی به وب‌سایت‌های بالقوه مخاطره‌آمیز، جلوگیری از آپلود و دانلودهای مخرب، و ممیزی برنامه‌های SaaS (چه تأیید شده و چه تأیید نشده) در سازمان شما، به خنثی کردن حملات زنجیره تأمین کمک می‌کند.

Cloudflare Zaraz یک مدیر ابزار شخص ثالث است که برنامه ها را در فضای ابری بارگیری می کند، بنابراین کدهای مخرب نمی توانند در مرورگر کاربر نهایی اجرا شوند. Zaraz به کاربران امکان مشاهده و کنترل اسکریپت های شخص ثالثی را که در سایت های آنها اجرا می شود، می دهد و آنها را قادر می سازد تا رفتارهای مخاطره آمیز را ایزوله و مسدود کنند.

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر

راههای ارتباط با ما

با شما تماس می گیریم!