T1195.002: Компрометация цепочки поставок ПО
Злоумышленники могут вносить изменения в программное обеспечение до того, как это ПО получит конечный пользователь, с целью компрометации данных или систем. Компрометация цепочки поставок программного обеспечения может происходить различными способами, в том числе путем внесения изменений в исходный код приложения, путем манипуляций с механизмом обновления или распространения этого программного обеспечения или путем замены скомпилированных релизов на модифицированные версии.
Атака может быть направлена сразу на нужные цели или же на широкий круг потребителей с переходом к дополнительным тактикам в отношении конкретных жертв.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1780: SupplyChain_Push_By_Non_Standard_User: Пользователь, ранее не вносивший изменения в ветки, внес изменения в ветку, добавленную в список отслеживаемых supply_chain: PT-CR-1764: SupplyChain_Merge_Request_Apply_From_New_Assignee: Слияние в ветку с нового узла с использованием новой учетной записи supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих supply_chain: PT-CR-1759: SupplyChain_Web_UI_File_Operation: Пользователь создал или изменил файл из отслеживаемой ветки через веб-интерфейс
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность. |
---|
Меры противодействия
ID | M1016 | Название | Поиск уязвимостей | Описание | Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых приложений, необслуживаемого и (или) ранее уязвимого программного обеспечения, ненужных функций, компонентов, файлов и документации. |
---|