Закрыть меню

КИБЕРВИКИПЕДИЯ
SECURITY VISION

Введите термин или слово

Поиск

Атака на цепочку поставок (Supply Chain Attack)

Атака на цепочку поставок (Supply Chain Attack) — это атака, при которой злоумышленник компрометирует поставщика или компоненты системы на более раннем этапе цепочки поставок с целью нарушения работы конечного пользователя или получения доступа к его данным.

Атака на цепочку поставок представляет собой метод взлома, при котором злоумышленники нацелены на уязвимости в цепочке поставок программного обеспечения, оборудования или других технологий, используемых компанией. Такие атаки могут привести к компрометации программного обеспечения на раннем этапе разработки, либо к установке вредоносных компонентов в процессе производства. Атаки на цепочку поставок могут быть использованы для получения доступа к целевым компаниям, даже если они используют проверенные и надёжные решения.

Примером успешной атаки является известная кампания SolarWinds, когда вредоносный код был внедрён в обновления программного обеспечения для управления IT-инфраструктурой, что позволило злоумышленникам получить доступ к системам десятков тысяч организаций.

Защита от атак на цепочку поставок включает:

· Аудит безопасности поставщиков: Оценка безопасности всех поставщиков и партнёров, а также тщательное тестирование всех поставляемых компонентов.

· Контроль версий и подписей кода: Использование цифровых подписей для проверки целостности программного обеспечения и его компонентов.

· Многофакторная аутентификация и защита доступа: Защита доступа на каждом уровне цепочки поставок.

Бытовые примеры:

1. Взлом в магазине: Как если бы кто-то взломал систему продаж в магазине, подменив товары перед тем, как они попадут к покупателю, так и атака на цепочку поставок затрагивает компоненты, которые поставляются на более ранних этапах.

2. Отравление пищи: Как если бы кто-то подсыпал вредоносное вещество в еду на этапе её производства, так и атака на цепочку поставок изменяет компоненты на раннем этапе, чтобы повлиять на конечную цель.

3. Использование поддельных частей: Как если бы кто-то поставил на рынок поддельные компоненты для смартфонов, так и атака на цепочку поставок может подразумевать внедрение вредоносного ПО в критически важные компоненты системы.