התחכום של המתקפות על שרשרת האספקה יורד – והסיכון לארגונים גדל

מתקפות סייבר על שרשרת האספקה מתבצעות על גורם צד שלישי או ספק של הארגון, במקום לנסות לפרוץ לרשת הארגון באופן ישיר. אחת ממתקפות שרשרת האספקה הגדולות והמתוחכמות ביותר עד כה הייתה תקיפת סולארווינדס (SolarWinds) ב-2020, במסגרתה השיגו ההאקרים גישה לרשתות של מעל ל-30,000 ארגונים פרטיים וציבוריים, על ידי פריצה לתוכנת ניהול IT של חברת סולארווינדס, שבה הארגונים הללו השתמשו.  

בעולמנו, בו הקישוריות היא מרכיב משמעותי, מתקפה על ספק אחד יכולה בקלות להפוך למתקפה על סביבתו כולה ולגרום לנזק עצום לשותפים, לגורמי צד שלישי וללקוחות

הסיבה העיקרית לקושי בזיהוי ובמניעה של מתקפות על שרשראות האספקה היא אמון. מתקפות סייבר על שרשראות האספקה מנצלות את האמון הטבעי שארגונים נותנים בספקים שלהם ובגורמי צד שלישי אחרים. איננו בהכרח יודעים מי החולייה החלשה בסביבה העסקית שבה אנו פועלים ואיננו מטילים ספק בהודעת עדכון שנושאת חתימה דיגיטלית של שותף אסטרטגי, מאחר שאין לנו כל סיבה לחשוד ששירותים מהימנים נחשפו לסכנה. זו גם הסיבה העיקרית לקושי בזיהוי ובמניעה של מתקפות על שרשראות האספקה: האמון.

לא כל המתקפות על שרשראות האספקה הינן בעלות משמעות זהה. חלק מהן, כמו המתקפה על אוקטה (Okta), לא תוכננו בהכרח כמתקפות על שרשראות האספקה. אולם בעולמנו, בו הקישוריות היא מרכיב משמעותי, מתקפה על ספק אחד יכולה בקלות להפוך למתקפה על סביבתו כולה ולגרום לנזק עצום לשותפים, לגורמי צד שלישי וללקוחות.

רמה גבוהה של אמון בסביבת גורמי צד שלישי היא כורח המציאות, משום שאחרת הדבר יפגע בצורה משמעותית ברציפות העסקית שלנו. בין שזוהי תוכנת המעקב מרחוק שבה ספק שירותים מנוהלים (MSP) משתמש לצורך פיקוח על סביבת ה-IT שלנו, פתרון תוכנה של צד שלישי שהופך תהליכים נפוצים לאוטומטיים, או במקרה של אוקטה, גורמי הצד השלישי של גורמי הצד השלישי שלנו, מאחר שהמתקפה בוצעה למעשה באמצעות סיטל Sitel), ספק שתומך ב-אוקטה ביצירת נכסים לשירות תמיכה בלקוחות. ארגון אינו יכול לפעול ללא שרשרת האספקה שלו.

מותקפות יותר ויותר. שרשראות אספקה. אילוסטרציה. צילום: אילוסטרציה. BigStock

האבולוציה של המתקפות על שרשראות האספקה

עם זאת, בעוד שבעבר מתקפות על שרשראות האספקה היו נדירות, ובוצעו בעיקר באמצעות האקרים הנתמכים על-ידי ממשלות והמצוידים בכלים מתוחכמים, המתקפה על אוקטה היא דוגמה נוספת להיפוך במגמה זו, והיא מדגימה היטב כיצד מתקפות המשפיעות על שרשראות האספקה לובשות כעת צורות שונות ומגוונות.

קבוצת ההאקרים $Lapsus, אשר נטלה את האחריות לביצוע מתקפה זו, אינה קבוצת האקרים מדינתית. מתקפת סייבר זו לא בוצעה באמצעות גורמים ממשלתיים רוסיים או סיניים, אלא באמצעות קבוצת האקרים מתקדמת הרבה פחות, שכל רצונה היה לחשוף לקוחות ומידע. הם עשו זאת על ידי חיפוש הדרך הקלה ביותר לחדירה, כאשר גילו שדלת הכניסה נעולה היטב.

מתקפה זו מנמיכה את הרף לתוקפים, והיא מוכיחה שלא צריך להיות קבוצה מתוחכמת הפועלת בשירותה של ממשלה חזקה על מנת לפרוץ בהצלחה את אבטחת הרשת או לגנוב מידע יקר-ערך.

זוהי גם קריאת השכמה לארגונים, קטנים כגדולים – בעוד שבעבר בארגונים רבים היה נהוג לחשוב שמורכב מדי להתגונן מפני מתקפות על שרשראות האספקה, העלייה בפופולריות של סוגי מתקפות אלה, במיוחד כשיטה בה נוקטים האקרים מתקדמים פחות, צריכה להוות קריאה לפעולה.

כל קבוצות ההאקרים מודעות לעובדה שתקיפת שירות של צד שלישי מאפשרת גישה למאות או אפילו לאלפי חברות, כפי שראינו במתקפה על קסייה (Kaseya) בשנת 2021 (על אף הוויכוח סביב השאלה האם מדובר במתקפה על שרשרת האספקה).

מתקפות אלה עשויות להיות קשות לזיהוי עקב רמת האמון הגבוהה שאנו נותנים בגורמי צד שלישי, אך אין הדבר פירושו שלא ניתן להתמודד ואף למנוע אותן. על כל ארגון ליישם בתהליך ניהול הסיכונים שלו אמצעי מנע להגבלת הסיכון למתקפות על שרשראות האספקה, ולצמצם את מידת השפעתן עוד לפני חשיפת הארגון לסכנה. 

מומלץ לנקוט בפעולות הגנתיות בסיסיות שהינן אפקטיביות באותה מידה כנגד כל רמות המתקפות על שרשרת האספקה, ביניהן:  

• הערכת מידת החשיפה לסיכונים: על מנהלי אבטחת הסייבר למפות את הסיכונים הפוטנציאליים מצד ספקים וגורמי צד שלישי אחרים העלולים לפגוע בתהליכים קריטיים בארגון ולהשפיע על ההמשכיות העסקית שלו.
• סגמנטציה של הרשת: הגבלת שטח התקיפה, על מנת להבטיח הגנה על נכסים קריטיים ונתוני לקוחות במקרה של פריצה.
• הענקת הרשאות ברמה הנמוכה ביותר: הענקת הרשאות גישה מינימליות לספקים חיצוניים, למשתמשים ולשירותים עצמם – למשאבים הדרושים להם בלבד ותו לא.
• ניטור אבטחה: הבטחה להפעלת התראות במקרה של מתקפה, עם הופעת הסממן הראשון לתנועה רוחבית או לכל פעילות חריגה אחרת.

הכותב הוא מומחה בכיר לזיהוי ותגובה לאירועי סייבר בחברת סיגניה