Coraz częściej cyberprzestępcy poszukują podatności w kodzie źródłowym wytwórców oprogramowania zabezpieczającego, by poprzez skuteczny atak na ten element łańcucha dostaw podejmować wrogie działania wymierzone w korzystające z niego podmioty. Rzeczywistość pokazuje, że przestępcy średnio po niespełna 5 dniach od wykrycia luki zaczynają ją wykorzystywać. Ekspert Stormshield komentuje ujęty w projekcie nowelizacji ustawy o KSC obowiązek przekazywania szczegółowych informacji o urządzeniach i produktach ICT uprawnionym podmiotom oraz wyjaśnia, jak minimalizować ryzyko związane podatnościami.
Cyberprzestępcy szukają podatności - ataki na dostawców bezpieczeństwa IT
Podatności w kontekście bezpieczeństwa to błędy w kodzie, konfiguracji lub procesach popełnione w trakcie tworzenia systemu lub przeoczenia, których charakter sprawia, że w pierwszej chwili trudno ocenić czy mogą one zostać odkryte i wykorzystane przez cyberprzestępców. Poszukiwanie wszelkich niedociągnięć jest dla grup przestępczych chlebem powszednim, ponieważ odkrycie ich pozwala uzyskać nieautoryzowany dostęp do urządzenia potencjalnej ofiary czy wykonać na nim określony kod. Konsekwencją jest kradzież danych do celów szpiegostwa handlowego czy przemysłowego lub wyrządzenie innych szkód.
Jak działają cyberprzestępcy? Starają się bezpośrednio infiltrować mechanizmy aktualizacji lub dostarczania nowego oprogramowania, aby uzyskać dostęp do infrastruktury klientów. Innym działaniem jest atak DDoS, w efekcie którego jego klienci tracą dostęp do różnych usług udostępnianych przez dostawców, co uniemożliwia im prawidłowe funkcjonowanie. W katalogu wrogich działań są także przejęcia stacji roboczych docelowej firmy za pomocą użycia uprawnień administratora, z których często korzysta oprogramowanie antywirusowe. Taki atak osłabia bezpośrednio infrastrukturę firm-klientów. Możliwa jest także modyfikacja aktualizacji oprogramowania, a następnie infekowanie komputerów tego typu złośliwym oprogramowaniem.
Atak na dostawcę może również obejmować próbę ingerencji w kod źródłowy jego oprogramowania, również w celu identyfikacji podatności zero-day. W przypadku, gdy nie została zastosowana odpowiednia łatka, cyberprzestępcy mogą nawet przejąć kontrolę nad rozwiązaniami.
Próby destabilizacji działania firm zajmujących się bezpieczeństwem IT i kompromitowanie ich rozwiązań stały się jednym z wiodących trendów w grupach zajmujących się przestępczością cyfrową. Jak wskazuje raport jednego z dostawców rozwiązań bezpieczeństwa IT, w drugiej połowie 2023 roku średnio niespełna pięć dni upływało od wykrycia do wykorzystania podatności.
"Grupy hakerskie są niezwykle zainteresowane osłabianiem producentów i odkrywaniem podatności w rozwiązaniach, które na co dzień pełnią kluczową rolę w ochronie przedsiębiorstw. Odkrycie luki, nim o jej istnieniu przekona się dostawca oprogramowania, jest dla nich niczym wejście w posiadanie wytrycha, pozwalającego otworzyć drzwi strzegące nas przed nieproszonymi gośćmi, którzy chcą się włamać do naszego domu" - ocenia Paweł Śmigielski, country manager Stormshield w Polsce.
W opinii eksperta Stormshield, wprowadzona przez projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) możliwość prowadzenia przez zespoły CSIRT MON, CSIRT NASK i CSIRT GOV badań urządzeń i produktów ICT może być odpowiedzią na ten trend. Wspomniane podmioty będą mogły zażądać od dostawcy dokumentacji i nie będą związane postanowieniami umów licencyjnych.
"W ten sposób ustawodawca po raz pierwszy chce zagwarantować sobie możliwość przeprowadzenia badań na własnych warunkach, nie będąc ograniczonym umowami licencyjnymi producentów. W projekcie ustawy jest mowa m.in. o odtwarzaniu kodu źródłowego oprogramowania i przełamywaniu zabezpieczeń producenta przed badaniem" - wskazuje Paweł Śmigielski.
Jak zwraca uwagę w swojej publikacji Dziennik Gazeta Prawna, postępowanie to jest jednym z kluczowych założeń projektu. „W razie wykrycia podatności, CSIRT może zwrócić się do pełnomocnika rządu ds. cyberbezpieczeństwa o wydanie rekomendacji dotyczących niekorzystania z określonego sprzętu lub oprogramowania. Takie rekomendacje będą zaś elementem analizy w razie wszczęcia wobec danej firmy postępowania o uznanie za dostawcę wysokiego ryzyka”. To będzie oznaczało konieczność usunięcia wcześniej kupionego od takiego podmiotu sprzętu lub oprogramowania oraz zakaz nabywania nowego. W najgorszym przypadku działanie będzie musiało podjąć nawet ok. 35 tysięcy podmiotów z prawie 20 sektorów, które zostaną objęte ustawą wprowadzającą do polskiego prawodawstwa założenia dyrektywy NIS2.
"Ocena rozwiązań jest powszechną praktyką, a w Europie działają organizacje normalizacyjne np. ANSSI dla Francji, BSI dla Niemiec i CCN dla Hiszpanii. Takie kwalifikacje dają gwarancję, że dany produkt zabezpieczający spełnia potrzeby klientów końcowych" - komentuje ekspert Stormshield.
Przy czym wymogi agencji zajmujących się cyberbezpieczeństwem i certyfikacją różnią się w poszczególnych krajach. Przykładowo we Francji dostawca zobowiązany jest do przekazania kodu źródłowego, podczas gdy CCN tego nie wymaga. Z kolei w Niemczech kod nie jest wymagany przy certyfikacji, lecz niezbędny przy procesie kwalifikacji. Planowany krajowy system certyfikacji cyberbezpieczeństwa przyniesie w tym zakresie pozytywną zmianę. Jego wprowadzenie pozwoli na podniesienie znaczenia certyfikowanych, bezpiecznych rozwiązań i docelowo również poziomu bezpieczeństwa polskich organizacji.
Korzystaj z zewnętrznego konsultingu i certyfikowanych rozwiązań od różnych dostawców
Dobrym sposobem ograniczenia negatywnych konsekwencji podatności jest promowanie różnorodności w wyborze rozwiązań bezpieczeństwa. W przypadku naruszenia bezpieczeństwa pojedynczego dostawcy, jeżeli korzystamy jedynie z dostarczonych przez niego rozwiązań, nasza sytuacja będzie gorsza niż w przypadku, gdybyśmy wykorzystywali różne produkty.
"W dobie coraz większej ilości ataków wymierzonych w dostawców lub bezpośrednio w rozwiązania cyberbezpieczeństwa, warto szukać balansu między zaufaniem, funkcjonalnościami oraz kosztem zakupu i utrzymania rozwiązania" - dodaje Paweł Śmigielski, wskazując przy tym na rolę 'zaufanej trzeciej strony'.
Takie podejście pozwala dostawcy obiektywnie spojrzeć na rozwiązanie i uzyskać ogólny przegląd produktu, a nawet jego kodu. Fakt, że robi to bezstronny podmiot stanowi dodatkową gwarancję w zakresie jakości i obiektywizmu wniosków. Dlatego również w interesie dostawców leży audytowanie ich produktów przez firmy zewnętrzne: przeglądy kodu, pentesty i nagrody za błędy to skuteczne sposoby wykrywania potencjalnych wad rozwiązania.
Otwartość dostawców z myślą o bezpieczeństwie klientów
Warto podkreślić, że przejrzystość dostawcy w zakresie luk w zabezpieczeniach wykrytych w jego produktach jest istotna.
"Korzystającym z rozwiązań Stormshield udostępniliśmy portal: advisories.stormshield.eu, na którym opisane są podatności wykryte w dostarczanych przez nas lub firmy trzecie technologiach np. OpenVPN lub OpenSSL. Serwis zawiera również wskazania poziomu krytyczności danej podatności, jej krótki opis oraz rozwiązanie, którym najczęściej jest sugerowana wersja firmware zawierająca niezbędne poprawki" - wyjaśnia Paweł Śmigielski.
Należy również wspomnieć, że poszczególni dostawcy rozwiązań bezpieczeństwa IT rozwijają i publikują sposoby ochrony przed podatnościami wykrytymi w rozwiązaniach powszechnie używanych na świecie np. Microsoft, Apache, JetBrains Team City. Dla przykładu w serwisie security.stormshield.eu znajduje się m.in. lista złośliwych adresów IP, lista podatności wykrytych w rozwiązaniach firm trzecich wraz z informacją, jakie rozwiązania Stormshield przed nimi chronią oraz możliwością sprawdzenia podejrzanych plików przez sandbox.
Źródło: Stormshield