T1195.002: Компрометация цепочки поставок ПО

Злоумышленники могут вносить изменения в программное обеспечение до того, как это ПО получит конечный пользователь, с целью компрометации данных или систем. Компрометация цепочки поставок программного обеспечения может происходить различными способами, в том числе путем внесения изменений в исходный код приложения, путем манипуляций с механизмом обновления или распространения этого программного обеспечения или путем замены скомпилированных релизов на модифицированные версии.

Атака может быть направлена сразу на нужные цели или же на широкий круг потребителей с переходом к дополнительным тактикам в отношении конкретных жертв.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1780: SupplyChain_Push_By_Non_Standard_User: Пользователь, ранее не вносивший изменения в ветки, внес изменения в ветку, добавленную в список отслеживаемых supply_chain: PT-CR-1764: SupplyChain_Merge_Request_Apply_From_New_Assignee: Слияние в ветку с нового узла с использованием новой учетной записи supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих supply_chain: PT-CR-1759: SupplyChain_Web_UI_File_Operation: Пользователь создал или изменил файл из отслеживаемой ветки через веб-интерфейс

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность.

Меры противодействия

IDM1016НазваниеПоиск уязвимостейОписание

Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода.

IDM1051НазваниеОбновление ПООписание

Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых приложений, необслуживаемого и (или) ранее уязвимого программного обеспечения, ненужных функций, компонентов, файлов и документации.