Zaufane oprogramowanie już nie wystarcza – rosnąca fala ataków na łańcuchy dostaw pokazuje, jak łatwo dziś zamienić legalną aplikację w cyfrową broń. A to dopiero początek problemów.
Ataki na łańcuchy dostaw oprogramowania stają się jednym z najgroźniejszych zjawisk w świecie cyfrowego bezpieczeństwa. Z raportu Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA) wynika, że to właśnie one mogą stanowić najpoważniejsze wyzwanie dla Unii Europejskiej do 2030 roku. Brytyjski National Cyber Security Centre (NCSC) w samym tylko 2024 roku odnotował prawie 2000 zgłoszeń poważnych incydentów – z czego 12 sklasyfikowano jako „wysoce krytyczne”.
Coraz mniej zagrożeń pochodzi dziś z nieznanych źródeł czy błędów użytkowników. Przestępcy obrali inny kierunek – wykorzystują zaufanie.
– To jak ciasto, które otrzymujesz od kogoś, z kim znasz się od lat. Nie spodziewasz się, że może być zatrute – mówi Mariusz Sawczuk, starszy inżynier ds. rozwiązań w firmie F5 – A to właśnie zaufanie do dostawców oprogramowania coraz częściej okazuje się śmiertelnie niebezpieczne.
Cichy wróg w kodzie
Współczesne aplikacje to już nie tylko linie kodu pisane przez programistów konkretnej firmy. To mozaika komponentów open source, bibliotek zewnętrznych, frameworków i narzędzi deweloperskich. Przestępcy wiedzą, że wystarczy zainfekować jeden z tych składników, aby trafić do setek, tysięcy, a nawet milionów urządzeń.
Tak działa atak na łańcuch dostaw – polega na umieszczeniu złośliwego kodu w jednym z komponentów, który następnie trafia do legalnie dystrybuowanego oprogramowania. Efekt? Niczego niepodejrzewający użytkownicy instalują aplikację, która działa jak koń trojański.
To nie tylko teoria. Według danych Cybersecurity Ventures, już w 2025 roku globalny koszt szkód wynikających z takich ataków sięgnie 60 miliardów dolarów, a do końca dekady może przekroczyć 130 miliardów. Z kolei brytyjskie National Audit Office ostrzega, że dziesiątki kluczowych systemów rządowych są podatne na tego rodzaju zagrożenia.
SolarWinds i Kaseya: ostrzeżenia, które nadeszły za późno
Prawdziwe oblicze problemu poznaliśmy w 2020 roku, gdy hakerzy powiązani z rosyjskim wywiadem zainfekowali aktualizację oprogramowania Orion firmy SolarWinds. Zaatakowane zostały m.in. amerykańskie agencje federalne, Microsoft, a nawet firmy z sektora bezpieczeństwa IT. Co gorsza – złośliwy kod był aktywny przez wiele miesięcy, zanim ktokolwiek go wykrył.
Rok później sytuacja powtórzyła się przy okazji ataku grupy REvil na firmę Kaseya. Aktualizacja oprogramowania serwisowego stała się nośnikiem ransomware, który sparaliżował setki firm, w tym całą sieć sklepów Coop w Szwecji. W obu przypadkach punktem wspólnym była podatność systemów na zaufanie do wewnętrznych źródeł.
Zero Trust: strategia (nie)zaufania
W odpowiedzi na te zagrożenia coraz więcej organizacji wdraża strategię Zero Trust – model zakładający, że nic nie jest domyślnie bezpieczne, nawet jeśli pochodzi „z własnego podwórka”.
Oznacza to m.in. obowiązkową weryfikację wszystkich komponentów, izolację środowisk (sandboxing), automatyczne skanowanie open source’owych bibliotek i ścisłe audyty dostawców.
– Nie wystarczy raz zatwierdzić narzędzia – trzeba je stale nadzorować – podkreśla Mariusz Sawczuk z F5 i dodaje: – Zaufanie trzeba dziś zdobywać codziennie. I to pod mikroskopem.
Co istotne, Zero Trust nie jest zarezerwowane dla dużych korporacji. Również małe firmy, startupy i twórcy aplikacji open source powinni zmienić podejście. Szczególnie że to właśnie mniejsze, mniej chronione projekty stają się celem ataków.
Open source pod ostrzałem
Przykładem może być znany incydent z biblioteką event-stream w środowisku JavaScript. Projekt, który przez długi czas nie był rozwijany, został przejęty przez nowego użytkownika. Ten dodał do kodu funkcję kradnącą dane z portfeli kryptowalut. Zainfekowana wersja była pobierana dziesiątki tysięcy razy, zanim ktokolwiek zorientował się, że coś jest nie tak.
Podobne przypadki dotknęły m.in. ua-parser-js, colors.js, czy faker.js – popularnych narzędzi używanych przez tysiące deweloperów. Czasem były to ataki sabotażowe, innym razem – celowe infekcje malwarem. Każdy z nich obnażał ten sam problem: brak transparentności i nadzoru nad komponentami używanymi masowo w aplikacjach.
SBOM – recepta (choć nie panaceum)
Jednym z narzędzi, które może pomóc w walce z zagrożeniami, jest SBOM – Software Bill of Materials. To nic innego jak szczegółowa „księga kucharska” każdej aplikacji, zawierająca pełną listę komponentów, wersji i zależności.
– To pełna lista komponentów i ich wersji, które tworzą daną aplikację – mówi Mariusz Sawczuk z F5. – Pozwala szybciej reagować na zagrożenia i eliminować podatne elementy. Transparentność i automatyzacja to dziś najważniejsze narzędzia w walce z zagrożeniami – podsumowuje.
SBOM staje się coraz popularniejszym standardem – nie tylko w sektorze prywatnym, ale również w administracji publicznej. W USA jego stosowanie jest już obowiązkowe dla dostawców technologii pracujących na zlecenie rządu federalnego. W UE trwają prace nad podobnymi regulacjami w ramach inicjatywy Cyber Resilience Act.
Świat bez gwarancji
Współczesne aplikacje przypominają konstrukcje z gotowych klocków – i właśnie dlatego wiedza o pochodzeniu każdego z nich staje się kluczowa. Zaufanie to dziś nie luksus, a ryzyko, którego koszt może sięgnąć setek milionów dolarów.
Największe firmy wiedzą już, że nie wystarczy chronić wyłącznie własny kod. Potrzeba świadomości całego łańcucha – od źródła biblioteki, przez system budowania aplikacji, po infrastrukturę w chmurze.
Bo w cyfrowym świecie, gdzie zaufanie jest walutą – każdy jego nadużyty kredyt może wywołać kryzys, którego nie da się naprawić prostą aktualizacją.
źródło: informacja prasowa
Dodaj komentarz