T1195: Компрометация цепочки поставок
Злоумышленники могут вносить изменения в продукт или механизмы его доставки до того, как этот продукт получит конечный пользователь, с целью компрометации данных или систем.
Компрометация цепочки поставок может произойти на любом ее этапе и включать в себя следующие действия:
- манипуляции с инструментами разработки;
- манипуляции со средой разработки;
- манипуляции с репозиториями исходного кода (публичными или частными);
- манипуляции с программными зависимостями открытого ПО;
- манипуляции с механизмами обновления или распространения ПО;
- компрометация или заражение образов систем (массовое заражение съемных носителей на заводе);
- замена легитимного программного обеспечения на модифицированные версии;
- продажа модифицированных или поддельных продуктов легальным дистрибьюторам;
- перехват поставок продукта.
Хотя компрометация цепочки поставок может затронуть любой компонент аппаратного или программного обеспечения, злоумышленники, имеющие целью запуск вредоносного кода, часто концентрируют свои усилия на внедрении вредоносных дополнений в легитимное ПО в каналах распространения или обновления этого ПО. Атака может быть направлена сразу на нужные цели, или же вредоносное ПО может распространяться среди широкого круга потребителей с переходом к дополнительным тактикам в отношении конкретных жертв. Популярные проекты с открытым исходным кодом, от которого зависит работа многих других приложений, могут стать средством доставки вредоносного кода их пользователям.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Выполняйте визуальный осмотр аппаратного обеспечения, чтобы выявить следы вмешательства в его работу. Проверяйте целостность механизмов загрузки, которые выполняются до запуска операционной системы и могут использоваться в злонамеренных целях, и сопоставляйте результаты проверки с легитимным стандартным поведением. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность. |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Разработчики приложений должны быть осторожны при выборе сторонних библиотек для интеграции в приложение. Кроме того, разработчики должны по возможности использовать конкретные версии зависимостей программного обеспечения, а не обязательно последние. |
---|
ID | M1016 | Название | Поиск уязвимостей | Описание | Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | По возможности требуйте, чтобы разработчики брали пакеты из внутренних репозиториев, содержащих проверенные и одобренные пакеты, а не из внешних. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Используйте технологию Trusted Platform Module и безопасный или доверенный процесс загрузки, чтобы предотвратить нарушение целостности системы. Проверьте целостность существующего BIOS или EFI, чтобы определить, не подвержен ли он модификации . |
---|
ID | M1051 | Название | Обновление ПО | Описание | Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых приложений, необслуживаемого и (или) ранее уязвимого программного обеспечения, ненужных функций, компонентов, файлов и документации. |
---|