T1195: Компрометация цепочки поставок

Злоумышленники могут вносить изменения в продукт или механизмы его доставки до того, как этот продукт получит конечный пользователь, с целью компрометации данных или систем.

Компрометация цепочки поставок может произойти на любом ее этапе и включать в себя следующие действия:

  • манипуляции с инструментами разработки;
  • манипуляции со средой разработки;
  • манипуляции с репозиториями исходного кода (публичными или частными);
  • манипуляции с программными зависимостями открытого ПО;
  • манипуляции с механизмами обновления или распространения ПО;
  • компрометация или заражение образов систем (массовое заражение съемных носителей на заводе);
  • замена легитимного программного обеспечения на модифицированные версии;
  • продажа модифицированных или поддельных продуктов легальным дистрибьюторам;
  • перехват поставок продукта.

Хотя компрометация цепочки поставок может затронуть любой компонент аппаратного или программного обеспечения, злоумышленники, имеющие целью запуск вредоносного кода, часто концентрируют свои усилия на внедрении вредоносных дополнений в легитимное ПО в каналах распространения или обновления этого ПО. Атака может быть направлена сразу на нужные цели, или же вредоносное ПО может распространяться среди широкого круга потребителей с переходом к дополнительным тактикам в отношении конкретных жертв. Популярные проекты с открытым исходным кодом, от которого зависит работа многих других приложений, могут стать средством доставки вредоносного кода их пользователям.

Способы обнаружения

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Выполняйте визуальный осмотр аппаратного обеспечения, чтобы выявить следы вмешательства в его работу. Проверяйте целостность механизмов загрузки, которые выполняются до запуска операционной системы и могут использоваться в злонамеренных целях, и сопоставляйте результаты проверки с легитимным стандартным поведением.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность.

Меры противодействия

IDM1016НазваниеПоиск уязвимостейОписание

Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода.

IDM1046НазваниеПроверка целостности загрузкиОписание

Используйте технологию Trusted Platform Module и безопасный или доверенный процесс загрузки, чтобы предотвратить нарушение целостности системы. Проверьте целостность существующего BIOS или EFI, чтобы определить, не подвержен ли он модификации .

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Разработчики приложений должны быть осторожны при выборе сторонних библиотек для интеграции в приложение. Кроме того, разработчики должны по возможности использовать конкретные версии зависимостей программного обеспечения, а не обязательно последние.

IDM1051НазваниеОбновление ПООписание

Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых приложений, необслуживаемого и (или) ранее уязвимого программного обеспечения, ненужных функций, компонентов, файлов и документации.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

По возможности требуйте, чтобы разработчики брали пакеты из внутренних репозиториев, содержащих проверенные и одобренные пакеты, а не из внешних.