روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اینکه می‌گویند، "کارایی یک گروه یا سیستم بستگی به ضعیف‌ترین یا آسیب‌پذیرترین عضو یا بخش آن دارد"، مستقیماً در مورد امنیت سایبری سازمانی صدق می‌کند. این روزها مشاغل اغلب به ده‌ها یا حتی صدها تأمین‌کننده و پیمانکار متکی هستند که به نوبه خود از خدمات و محصولات پیمانکاران و تامین کنندگان بیشتری استفاده می‌کنند. و زمانی که این زنجیره‌ها نه مواد خام، بلکه محصولات پیچیده فناوری اطلاعات را شامل می‌شوند، اطمینان از امنیت آنها به‌طور قابل توجهی چالش‌برانگیزتر می‌شود. این واقعیت توسط مهاجمان مورد سوء استفاده قرار می‌گیرد، که یکی ازحلقه‌های زنجیره را به خطر می‌اندازند تا به پایان آن - هدف اصلی خود - برسند. بر این اساس، برای رهبران کسب و کار و رؤسای فناوری اطلاعات و امنیت اطلاعات ضروری است که خطرات حملات زنجیره تامین را درک کنند تا بتوانند به طور موثر آنها را مدیریت کنند.

اما حمله زنجیره تامین چیست؟
حمله زنجیره تأمین عبارت است از یک عامل مخرب که با به خطر انداختن یک فروشنده نرم افزار طرف‌سوم قابل اعتماد یا ارائه‌دهنده خدمات به سیستم‌های یک سازمان نفوذ می‌کند. انواع این حمله عبارتند از:
به خطر انداختن نرم افزارهای معروف که توسط یک تأمین‌کننده توسعه‌یافته و توسط سازمان هدف (یا چندین سازمان) استفاده می‌شود. این نرم‌افزار برای انجام کارهای مخرب برای مهاجم دستکاری شده است. پس از نصب به‌روزرسانی بعدی، نرم‌افزار دارای عملکرد اعلام‌نشده‌ای خواهد بود که به سازمان اجازه می‌دهد به خطر بیافتد. از نمونه‌های معروف این گونه حملات می‌توان به تهدید شدنِ SolarWinds Orion و 3CX در سال گذشته، بزرگترین تلاش تا به امروز برای چنین حمله‌ای کشف شد - XZ Utils ;Iخوشبختانه ناموفق بود اشاره کرد.
مهاجمین، حساب‌های شرکتی را که توسط یک ارائه‌دهنده خدمات برای کار در سیستم‌های سازمان هدف استفاده می‌شود پیدا می‌کنند. مهاجمین از این حساب‌ها برای نفوذ به سازمان و انجام یک حمله استفاده می‌کنند. به عنوان مثال، غول خرده فروشی آمریکایی Target از طریق حسابی که برای یک ارائه‌دهنده HVAC صادر شده بود هک شد.
مهاجمین یا یک ارائه‌دهنده کلود را به خطر می‌اندازند یا از ویژگی‌های زیرساخت ارائه دهنده کلود برای دسترسی به داده‌های سازمان مورد نظر سوء استفاده می‌کنند. پرمخاطب‌ترین مورد در سال گذشته مربوط به به خطر افتادن بیش از 150 مشتری سرویس کلود Snowflake بود که منجر به درز اطلاعات صدها میلیون کاربر Ticketmaster، Santander Bank، AT&T و دیگران شد. یکی دیگر از حملات در مقیاس بزرگ و تاثیر بزرگ، هک ارائه دهنده خدمات احراز هویت Okta بود. مهاجمین از مجوزهای واگذار شده به یک پیمانکار در سیستم های کلود مانند Office 365 برای به دست آوردن کنترل بر اسناد و مکاتبات سازمان هدف سوء استفاده می‌کنند. مهاجمین دستگاه‌های تخصصی متعلق به یک پیمانکار یا تحت مدیریت، اما متصل به شبکه سازمان هدف را به خطر می‌اندازند. به عنوان مثال می‌توان به سیستم‌های تهویه مطبوع دفتر هوشمند و سیستم‌های نظارت تصویری اشاره کرد. به عنوان مثال، سیستم‌های اتوماسیون ساختمان به پایگاهی برای حمله سایبری به ارائه‌دهندگان مخابرات در پاکستان تبدیل شد.
مهاجمان تجهیزات فناوری اطلاعات خریداری‌شده توسط سازمان هدف را با آلوده کردن نرم افزارهای از پیش نصب شده یا تعبیه عملکردهای پنهان در سیستم عامل دستگاه تغییر می‌دهند. با وجود پیچیدگی، چنین حملاتی در عمل رخ داده است. موارد اثبات‌شده شامل عفونت دستگاه اندروید و عفونت سرور در سطح تراشه است. تمام تغییرات این تکنیک در چارچوب MITER ATT&CK تحت نام "ارتباطات قابل اعتماد" (T1199) قرار می‌گیرد.
مزایای حملات زنجیره تامین برای مجرمان
حملات زنجیره تامین چندین مزیت برای مهاجمین دارد. اولاً، به خطر انداختن تأمین‌کننده، یک کانال دسترسی منحصربه‌فرد مخفی و مؤثر ایجاد می‌کند - همانطور که شاهد حمله به نرم‌افزار SolarWinds Orion که به طور گسترده در شرکت‌های بزرگ ایالات متحده استفاده می‌شود، و به خطر افتادن سیستم‌های کلود مایکروسافت، که منجر به درز ایمیل از چندین بخش دولتی ایالات متحده شد بودیم. به همین دلیل، این نوع حمله به ویژه توسط جنایتکارانی که به دنبال کسب اطلاعات هستند، مورد پسند واقع می‌شود. دوم اینکه، به خطر افتادن موفقیت‌آمیز یک برنامه یا سرویس محبوب، فوراً دسترسی به ده‌ها، صدها یا حتی هزاران سازمان را فراهم می‌کند. بنابراین، این نوع حمله برای کسانی که با انگیزه منافع مالی مانند گروه‌های باج‌افزاری هستند نیز جذاب است. یکی از برجسته‌ترین موارد نقض این نوع حمله به تامین‌کننده فناوری اطلاعات Kaseya توسط گروه REvil بود.

مزیت تاکتیکی (برای مجرمان) حملاتی که از روابط قابل اعتماد سوء استفاده می‌کنند در پیامدهای عملی این اعتماد نهفته است: برنامه‌ها و آدرس‌های IP تأمین‌کننده در معرض خطر بیشتر در لیست‌های مجاز قرار می‌گیرند، اقدامات انجام شده با استفاده از حساب‌های صادر شده برای تامین‌کننده کمتر به عنوان «مشکوک توسط مراکز نظارت و غیره» علامت‌گذاری می‌شوند..
آسیب ناشی از حملات زنجیره تأمین
پیمانکاران معمولاً در حملات هدفمندی که توسط مهاجمان با انگیزه و ماهر بالا انجام می‌شود، به خطر می‌افتند. هدف چنین مهاجمانی معمولاً به دست آوردن یک باج بزرگ یا اطلاعات ارزشمند است - و در هر صورت، قربانی ناگزیر با پیامدهای منفی طولانی مدت روبرو خواهد شد. این مخارج دربردارنده‌ی هزینه‌های مستقیم بررسی رخداد و کاهش تأثیر آن، جریمه‌ها و هزینه‌های مربوط به کار با تنظیم‌کننده‌ها، آسیب‌های اعتباری و غرامت بالقوه به مشتریان است. اختلالات عملیاتی ناشی از چنین حملاتی نیز می‌تواند منجر به زیان‌های قابل توجه بهره وری شود و تداوم کسب و کار را تهدید کند.
مواردی نیز وجود دارد که از نظر فنی واجد شرایط حملات زنجیره تامین نیستند - حملاتی که به ارائه دهندگان فناوری کلیدی در یک صنعت خاص انجام می‌شود - که با این وجود زنجیره تأمین را مختل می‌کند. نمونه‌های متعددی از این مورد تنها در سال 2024 وجود داشت که برجسته‌ترین آنها حمله سایبری به Change Healthcare، یک شرکت بزرگ مسئول پردازش اسناد مالی و بیمه در صنعت مراقبت‌های بهداشتی ایالات متحده بود. مشتریان Change Healthcare هک نشدند، اما در حالی که شرکت در معرض خطر یک ماه وقت صرف بازیابی سیستم‌های خود کرد، خدمات پزشکی در ایالات متحده تا حدی فلج گشت و اخیراً فاش شد که سوابق پزشکی محرمانه 100 میلیون بیمار در نتیجه این حمله بر ملا شده است. . در این مورد، نارضایتی انبوه مشتریان عاملی شد که شرکت را برای پرداخت باج تحت فشار قرار داد.
برگردیم به نمونه‌های ذکر شده قبلی: Ticketmaster که با نقض گسترده داده‌ها مواجه شد، با چندین پرونده قضایی چند میلیارد دلاری روبرو شد. جنایتکاران برای رمزگشایی اطلاعات قربانیان حمله کاسیا 70 میلیون دلار درخواست کردند. و برآورد خسارت ناشی از حمله SolarWinds از 12 میلیون دلار به ازای هر شرکت آسیب دیده تا 100 میلیارد دلار در کل متغیر است.
کدام تیم‌ها و بخش‌ها باید مسئول پیشگیری از حمله زنجیره تأمین باشند؟
گرچه همه موارد فوق ممکن است نشان دهد که مقابله با حملات زنجیره تامین کاملاً بر عهده تیم‌های امنیت اطلاعات است، اما در عمل، به حداقل رساندن این خطرات مستلزم تلاش‌های هماهنگ چندین تیمِ درون‌سازمانی است. بخش‌های کلیدی که باید در این کار مشارکت داشته باشند عبارتند از:
امنیت اطلاعات: مسئول اجرای اقدامات امنیتی و نظارت بر رعایت آنها، انجام ارزیابی‌های آسیب‌پذیری و پاسخگویی به رخدادها است.
فناوری اطلاعات: تضمین می‌کند رویه‌ها و اقدامات مورد نیاز امنیت اطلاعات هنگام سازماندهی دسترسی پیمانکاران به زیرساخت سازمان دنبال می‌شود، از ابزارهای نظارتی برای نظارت بر رعایت این اقدامات استفاده و از ظهور حساب‌های سایه یا متروکه و خدمات فناوری اطلاعات جلوگیری می‌کند.
مدیریت تدارکات و فروشنده: باید با امنیت اطلاعات و سایر بخش‌ها همکاری کند تا معیارهای انطباق با امنیت اطلاعات و اعتماد سازمانی را در فرآیندهای انتخاب تأمین‌کننده لحاظ کند. همچنین باید به طور مرتب بررسی شود که ارزیابی های تامین کننده با این معیارها مطابقت دارند و از انطباق مداوم با استانداردهای امنیتی در طول دوره قرارداد اطمینان حاصل کنند.
دپارتمان‌های حقوقی و مدیریت ریسک: از رعایت مقررات و مدیریت تعهدات قراردادی مرتبط با امنیت سایبری اطمینان حاصل کنید.
هيئت مديره: بايد فرهنگ امنيتي را در سازمان ارتقا داده و منابع را براي اجراي اقدامات فوق تخصيص دهد.
اقداماتی برای به حداقل رساندن خطر حملات زنجیره تأمین
سازمان‌ها باید اقدامات جامعی را برای کاهش خطرات مرتبط با حملات زنجیره تامین انجام دهند:
تامین کنندگان را به طور کامل ارزیابی کنید. ارزیابی سطح امنیتی تامین کنندگان بالقوه قبل از شروع همکاری بسیار مهم است. این شامل درخواست بازبینی خط‌مشی‌های امنیت سایبری، اطلاعات مربوط به رخدادهای گذشته و انطباق با استانداردهای امنیتی صنعت می‌شود. برای محصولات نرم‌افزاری و سرویس‌های کلود، جمع‌آوری داده‌ها در مورد آسیب‌پذیری‌ها و پنتست‌ها نیز توصیه می‌شود و گاهی پیشنهاد می‌کنیم امنیت برنامه‌های پویا (DAST) آزمایش شوندو
الزامات امنیتی قراردادی را اجرا کنید. قراردادها با تأمین‌کنندگان باید شامل الزامات امنیتی اطلاعات خاص، مانند ممیزی‌های امنیتی منظم، انطباق با سیاست‌های امنیتی مرتبط سازمان شما، و پروتکل‌های اعلان رخداد باشد.
اقدامات فناورانه پیشگیرانه را اتخاذ کنید. اگر سازمان شما شیوه‌های امنیتی مانند اصل حداقل امتیاز، اعتماد صفر و مدیریت هویت بالغ را اجرا کند، خطر آسیب جدی ناشی از به خطر افتادن تامین‌کننده به میزان قابل توجهی کاهش می‌یابد.
نظارت را سازماندهی کنید. توصیه می‌کنیم از راهکارهای XDR یا MDR برای نظارت بر زیرساخت در زمان واقعی و تشخیص ناهنجاری‌ها در نرم افزار و ترافیک شبکه استفاده کنید.
یک طرح واکنش به رخداد ایجاد کنید. ایجاد یک طرح واکنشی که شامل حملات زنجیره تامین شود، مهم است. این طرح باید تضمین کند که نقض‌ها به سرعت شناسایی و مهار می‌شوند - برای مثال با قطع ارتباط تامین‌کننده از سیستم‌های شرکت.
در مسائل امنیتی با تامین کنندگان همکاری کنید. همکاری نزدیک با تامین‌کنندگان برای بهبود اقدامات امنیتی آنها حیاتی است - چنین همکاری اعتماد متقابل را تقویت و حفاظت متقابل را به یک اولویت مشترک تبدیل می‌کند.
یکپارچگی عمیق تکنولوژیکی در سراسر زنجیره تأمین به شرکت‌ها مزیت‌های رقابتی منحصر به فردی می‌دهد، اما به طور همزمان خطرات سیستمی ایجاد می‌کند. درک این خطرات برای رهبران کسب‌وکار بسیار مهم است: حملات به روابط قابل اعتماد و زنجیره‌های تأمین یک تهدید رو به رشد است که آسیب قابل‌توجهی را به دنبال دارد. تنها با اجرای اقدامات پیشگیرانه در سراسر سازمان و نزدیک شدن به مشارکت با تامین کنندگان و پیمانکاران به صورت استراتژیک، شرکت ها می‌توانند این خطرات را کاهش داده و انعطاف پذیری کسب و کار خود را تضمین دهند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.