T1195: Компрометация цепочки поставок
Злоумышленники могут вносить изменения в продукт или механизмы его доставки до того, как этот продукт получит конечный пользователь, с целью компрометации данных или систем.
Компрометация цепочки поставок может произойти на любом ее этапе и включать в себя следующие действия:
- манипуляции с инструментами разработки;
- манипуляции со средой разработки;
- манипуляции с репозиториями исходного кода (публичными или частными);
- манипуляции с программными зависимостями открытого ПО;
- манипуляции с механизмами обновления или распространения ПО;
- компрометация или заражение образов систем (массовое заражение съемных носителей на заводе);
- замена легитимного программного обеспечения на модифицированные версии;
- продажа модифицированных или поддельных продуктов легальным дистрибьюторам;
- перехват поставок продукта.
Хотя компрометация цепочки поставок может затронуть любой компонент аппаратного или программного обеспечения, злоумышленники, имеющие целью запуск вредоносного кода, часто концентрируют свои усилия на внедрении вредоносных дополнений в легитимное ПО в каналах распространения или обновления этого ПО. Атака может быть направлена сразу на нужные цели, или же вредоносное ПО может распространяться среди широкого круга потребителей с переходом к дополнительным тактикам в отношении конкретных жертв. Популярные проекты с открытым исходным кодом, от которого зависит работа многих других приложений, могут стать средством доставки вредоносного кода их пользователям.
Способы обнаружения
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Выполняйте визуальный осмотр аппаратного обеспечения, чтобы выявить следы вмешательства в его работу. Проверяйте целостность механизмов загрузки, которые выполняются до запуска операционной системы и могут использоваться в злонамеренных целях, и сопоставляйте результаты проверки с легитимным стандартным поведением. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность. |
---|
Меры противодействия
ID | M1016 | Название | Поиск уязвимостей | Описание | Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Используйте технологию Trusted Platform Module и безопасный или доверенный процесс загрузки, чтобы предотвратить нарушение целостности системы. Проверьте целостность существующего BIOS или EFI, чтобы определить, не подвержен ли он модификации . |
---|
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Разработчики приложений должны быть осторожны при выборе сторонних библиотек для интеграции в приложение. Кроме того, разработчики должны по возможности использовать конкретные версии зависимостей программного обеспечения, а не обязательно последние. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых приложений, необслуживаемого и (или) ранее уязвимого программного обеспечения, ненужных функций, компонентов, файлов и документации. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | По возможности требуйте, чтобы разработчики брали пакеты из внутренних репозиториев, содержащих проверенные и одобренные пакеты, а не из внешних. |
---|