CyberGlossary

Атаки и угрозы

Атака на цепочку поставок

Также известно как: Атака через третью сторону, Компрометация поставщика

Определение

Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.

Атака на цепочку поставок направлена на процессы разработки, сборки или распространения у поставщика: вредоносный код, компоненты или обновления доставляются как легитимные продукты сразу множеству жертв. Типичные техники: компрометация репозиториев исходного кода, внедрение бэкдоров в системы сборки, отравление open-source зависимостей, злоупотребление доступом провайдеров управляемых услуг и подмена аппаратуры на этапе производства. Поскольку вредоносный артефакт подписан и считается доверенным, классические периметровые средства его редко обнаруживают. Меры защиты: SBOM, подписанные и воспроизводимые сборки, фиксация зависимостей, управление рисками поставщиков, принципы zero trust, сегментация сети и постоянный мониторинг аномального поведения после обновлений.

Примеры

  • Злоумышленники внедряют бэкдор в подписанное обновление поставщика, заражая тысячи клиентов при штатном обновлении.
  • В публичном реестре пакетов публикуется вредоносный пакет с именем, похожим на популярную библиотеку.

Связанные термины