Supply chain attack
Aki jártas az információbiztonságban, tisztában van vele, hogy nem csak a saját eszközeink védelme fontos, hanem a beszállítóké is.
Az utóbbi hetek, hónapok híre, hogy támadás érte a SolarWinds rendszereit. A SolarWinds nem csak egy cég, hanem az általuk készített monitoring és egyéb rendszerek is ezt a nevet viselik. Mégis, ki támadná meg egy átlagos, monitoring rendszereket készítő cég produktumát? Természetesen senki, de a SolarWinds rendszerek nem átlagosak. Különlegessé az a tény teszi őket, hogy több amerikai kormányszerv is használja ezeket. Hab a tortán, hogy a Fireeye - egy jó nevű biztonsági cég - is a vásárlók között volt, tőlük akár kiberfegyvereknek minősülő eszközöket is letölthettek, miután az államilag támogatott támadók hozzáfértek a cég rendszereihez. Személyes véleményem, hogy a Fireeye nem volt a célpontok listáján, csak kollaterális áldozat - nyilván a támadók örömmel vették ezt tudomásul.
Már előfordult
Nem ez az első alkalom, amikor támadók nem a valódi célpontot támadják közvetlenül, hanem a sokkal kevébé jól védett beszállítót. 2013-ban derült ki, hogy kínai támadók átjáróháznak használták a QinetiQ nevű, védelmi rendszereket, drónokat, eszközöket szállító vállalkozás rendszereit. A támadók azzal a lendülettel hozzá is fértek pl. az Apache harci helikopterek bizonyos technikai részleteihez, mivel a cég ezekhez a járművekhez is tervezett szoftvereket. A Lockheed Martin betörés idején pedig pl. az F35-ös vadászgépek bizonyos technikai részletei kerültek illetéktelen kezekbe.
Hogyan tovább?
A SolarWinds nem veszi félvállról a betörés tényét: nyilván óriási a reputációs veszteség, az anyagi még biztosan nem került megállapításra (érdemes belegondolni: Microsoft forráskódok kerültek nyilvánosságra a támadás után, néhány hete ezeket a feketepiacon 600 ezer amerikai dollárért árulták). A helyreállításra és a védelem újraépítésére felvették a Chris Krebs-Alex Stamos párost: Krebs a legutóbbi amerikai választások idején felelt az online rendszerek biztonságáért, Stamos pedig a Facebook korábbi biztonsági vezetője volt.
Hasonló eseteket állomány integritás figyelő (FIM) rendszerekkel, szigorúbb logolással, a beszállítói partnerek időszakos auditálásával lehet ritkítani. Megszüntetni persze nem, mert ha egy rendszer célzott támadás alá kerül, az általában el is esik - a Stuxnet óta tudjuk, hogy a leválasztott rendszerek is támadhatók.
2021.01.17
CoreSec