Volejte: +420 267 316 318; navštivte nás: Vršovická 1461/64, 101 00 Praha 10 - Vršovice|info@solutia.cz
FacebookXLinkedIn

Proč si nemůžete dovolit ignorovat útoky na dodavatelský řetězec softwaru

Článek přečtěte do 8 min.

Proč si nemůžete dovolit ignorovat útoky na dodavatelský řetězec softwaru? Zpráva společnosti Ivanti o stavu kybernetické bezpečnosti z roku 2025 odhalila, že pouze každá třetí organizace se cítí připravena chránit se před hrozbami v dodavatelském řetězci softwaru. Vzhledem k tomu, že útočníci se stále častěji zaměřují na závislosti třetích stran, mohou se útoky v dodavatelském řetězci stát bolestivou Achillovou patou kybernetické bezpečnosti, pokud je organizace budou i nadále přehlížet.

Organizace čelí nedostatečné připravenosti na kybernetické hrozby

Otázka: Ohodnoťte předpokládanou úroveň hrozeb a zranitelností pro rok 2025.
Otázka: Jak je vaše organizace připravena vypořádat se s jednotlivými typy hrozeb nebo zranitelností?

Rostoucí riziko útoků v dodavatelském řetězci softwaru

Oblasti útoků se neustále rychle rozšiřují a klíčovým vektorem této expanze jsou dodavatelské řetězce softwaru organizací. Moderní podniky se v rámci své vlastní technologické infrastruktury spoléhají na řadu softwarových aplikací, nástrojů a závislostí. Podle zprávy společnosti BetterCloud z roku 2024 používá jedna organizace průměrně 112 SaaS aplikací. A tato síť se stále více stává složitější. V průměru má každá softwarová aplikace 150 závislostí – z nichž 90% jsou nepřímé závislosti – které představují drtivou většinu zranitelností.

Počet aktérů útočících na závislosti třetích stran se v posledních několika letech rapidně zvýšil, přičemž v roce 2024 útoky nahlásilo 75% všech dodavatelských řetězců softwaru. Hrozby v dodavatelském řetězci softwaru se také staly sofistikovanějšími, protože útočníci hledají jakoukoli slabinu v kódu dodavatele , kterou by mohli zneužít. Bezpečnostní týmy se však často potýkají s řádným prověřováním všech softwarových komponent.

Mnoho organizací neidentifikovalo riziko dodavatelského řetězce

Otázka: Identifikoval váš tým systémy/komponenty třetích stran, které jsou ve vašem dodavatelském řetězci softwaru nejzranitelnější a v případě jejich ohrožení způsobí největší dopad na organizaci?

Výzkum kybernetické bezpečnosti společnosti Ivanti zjistil, že ačkoli 84% vedoucích pracovníků v organizacích uvádí, že je „velmi důležité“ monitorovat dodavatelský řetězec softwaru, téměř polovina (48%) dosud neidentifikovala nejzranitelnější komponenty ve svém vlastním dodavatelském řetězci. Tento nedostatek due diligence vystavuje společnosti velkým finančním a reputačním rizikům.

Běžné typy útoků na dodavatelský řetězec softwaru

Podle společnosti Gartner zažije do roku 2025 útok na dodavatelský řetězec softwaru 45% organizací. Zde je stručný přehled některých nejběžnějších typů zranitelností dodavatelského řetězce softwaru, na které se útočníci zaměřují:

  • Útoky na upstream servery jsou nejčastějšími útoky v dodavatelském řetězci. Dochází k nim, když hackeři napadnou systém umístěný „upstream“ od uživatelů, například úložiště kódu, a vloží do něj škodlivý obsah / malware. Tento obsah se poté rozšíří na „downstream“ uživatele prostřednictvím něčeho, jako je aktualizace softwaru.
  • Útoky v rámci midstreamu označují incidenty, kdy útočníci naruší zprostředkující systémy, jako jsou nástroje pro vývoj softwaru, spíše než původní kódovou základnu.
  • Útoky zaměřené na zmatení závislostí se snaží oklamat vývojáře nebo systém a přimět ho ke stažení kompromitované softwarové závislosti z externího zdroje. Mezi běžné metody útoku patří použití názvu pro nahraný škodlivý software, který je podobný důvěryhodné interní knihovně. Škodlivá verze je často integrována do sestavení softwaru namísto legitimní závislosti.
  • K útokům s použitím certifikátů pro podepisování kódu dochází, když hackeři vloží škodlivý software do certifikátů pro digitální podepisování kódu, které mají ověřit bezpečnost a pravost softwaru. K těmto útokům dochází, když útočníci naruší vývojové prostředí prostřednictvím sociálního inženýrství nebo jiné taktiky.
  • Útoky na infrastrukturu CI/CD cílí na automatizované vývojové kanály zaváděním malwaru, jako je klonování autentických repozitářů GitHub pro škodlivé účely.

Nedávné příklady útoků na dodavatelský řetězec

Nemusíte se příliš hluboko rýpat ve zprávách, abyste našli reálné příklady útoků tohoto typu. Zde je několik incidentů útoků na dodavatelský řetězec z posledních několika let, které vzbudily celosvětovou pozornost.

  • Útok sociálního inženýrství Okta

    •  V říjnu 2023 se společnost Okta, poskytovatel služeb správy identit a přístupu, setkala s vážným narušením bezpečnosti dat v systému zákaznické podpory poté, co se čtyři různí zákazníci Okty stali obětí útoků sociálního inženýrství zaměřených na jejich IT servisní oddělení. Útočníci zneužili tyto administrativní přihlašovací údaje k zahájení několika následných útoků, které vedly k neoprávněnému přístupu k datům tisíců zákazníků Okty, včetně společností 1Password, BeyondTrust a Cloudflare.

  • Útok ransomwaru Kaseya

    • V tomto případě z července 2021 hackeři zneužili šest zranitelností typu zero-day v nástroji pro vzdálenou správu společnosti Kaseya a tyto zranitelnosti využili k distribuci škodlivého ransomwarového balíčku prostřednictvím aktualizace softwaru, která infikovala stovky poskytovatelů spravovaných služeb (MSP) a jejich klientů. Útok zastavil provoz téměř 2 000 firem po celém světě a dostal se na titulní stránky novin, když útočníci požadovali ohromující výkupné ve výši 70 milionů dolarů (které nakonec nebylo zaplaceno).

  • Útok na CI/CD v Codecovu

    • V lednu 2021 se hackeři infiltrovali do populárního nástroje pro testování kódu Codecov, který v té době používalo přes 29 000 zákazníků. Útočníci získali neoprávněný přístup ke skriptu Bash Uploader od Codecovu a zavedli škodlivý kód, který následně zákazníci Codecovu použili ve svých CI/CD pipelines. Codecov útok detekoval a nahlásil až v dubnu 2021 – to znamená, že tito hackeři měli potenciálně přístup k citlivým datům v tisících zákaznických systémů po celé měsíce.
    • Každé z těchto narušení dodavatelského řetězce způsobilo kaskádovité a rozsáhlé škody jak zneužívanému poskytovateli, tak i jeho tisícům zákazníkům a dalším subjektům.

Vážné dopady útoků na dodavatelský řetězec

Rozsah škod, které vznikají v důsledku útoků na dodavatelský řetězec softwaru, nelze podceňovat. Každý z výše uvedených útoků vedl k značnému finančnímu poškození a poškození reputace a přiměl mnoho organizací k přehodnocení svého přístupu k bezpečnosti dodavatelů.

Finanční dopady

Společnost Cybersecurity Ventures předpovídá, že celosvětové roční náklady na útoky v dodavatelském řetězci softwaru pro firmy dosáhnou do roku 2031 ohromujících 138 miliard dolarů, oproti 60 miliardám dolarů v roce 2025. Tyto ztráty zahrnují vše od ušlých příjmů, nákladů na nápravu a právních poplatků až po potenciální sankce za nedodržování předpisů. Po úniku dat v roce 2023 klesly akcie společnosti Okta o 11%. Po dalším velkém úniku dat v roce 2022 se na společnost Okta obrátili akcionáři a požadovali odškodnění ve výši 60 milionů dolarů.

Provozní dopady

Útoky na dodavatelský řetězec mohou vést k narušení provozu a odstávkám systémů tisíců zákazníků, zastavení kritických operací a způsobení zpoždění, která dále ovlivňují i ​​další dodavatele. Podívejme se jen na několik institucí postižených únikem dat z Kaseyi. Ve Švédsku byl velký prodejce potravin nucen o víkendu zavřít 800 obchodů a narušení utrpěly i státní dráhy. Jedenáct škol a více než 100 školek na Novém Zélandu muselo také zastavit veškerý online provoz a uchýlit se k používání pera a papíru, dokud nebyl incident vyřešen.

Poškození pověsti

Veřejně poškozená reputace může firmu snížit důvěru zákazníků a akcionářů. Firmy mohou ztratit dodavatele a loajalitu zákazníků, kterou si budovaly roky. V březnu 2023 byl populární software pro obchodní komunikaci 3CX napaden, když hackeři do jeho aplikace vložili škodlivý kód, což potenciálně odhalilo citlivá data více než 600 000 zákazníků a vyvolalo u společnosti měsíce negativní mediální pozornosti a veřejné reakce.

Kde se peníze zastaví? Technický dluh a sdílená odpovědnost

Vzhledem k očekávanému nárůstu četnosti a závažnosti hrozeb v dodavatelském řetězci softwaru je pro podniky nezbytné stanovit jasnou odpovědnost a dodržovat přísné osvědčené bezpečnostní postupy pro dodavatele třetích stran a kybernetickou bezpečnost dodavatelského řetězce softwaru.

Kdo je zodpovědný za softwarovou bezpečnost?

V současné době mnoha organizacím chybí přísné a standardizované procesy pro hodnocení bezpečnosti externích dodavatelů. Navíc se mnoho zákazníků a dodavatelů ani neshoduje na tom, kdo je zodpovědný za správu bezpečnosti softwaru třetích stran.

Organizace se v otázce odpovědnosti za softwarovou bezpečnost neshodují

Otázka: Kdo je zodpovědný za softwarovou bezpečnost?

Zpráva o stavu kybernetické bezpečnosti analyzovala organizace s různou úrovní kybernetických bezpečnostních schopností a vyvinula tak naši stupnici kybernetické vyspělosti. Tato stupnice sahala od méně vyspělých organizací (úroveň 1 a úroveň 2) až po organizace s pokročilejšími kybernetickými bezpečnostními schopnostmi (úroveň 4).

Prostřednictvím tohoto výzkumu jsme zjistili, že méně rozvinuté organizace se nejčastěji domnívaly, že kybernetická bezpečnost je výhradní odpovědností dodavatele. Ty s nejvyšší úrovní kybernetické připravenosti se však zasazovaly o sdílení odpovědnosti mezi dodavatelem softwaru a zákazníkem.

Jak se chránit před hrozbami v dodavatelském řetězci softwaru

Zabezpečení dodavatelského řetězce softwaru je klíčovou součástí komplexní a proaktivní strategie kybernetické bezpečnosti.

Posílení dodavatelského řetězce softwaru a obrana proti potenciálním útokům vyžaduje, aby organizace zacházely se všemi dodavateli a komponentami třetích stran jako s rozšířenou součástí celého svého útočného prostoru. Zde jsou naše klíčová doporučení pro organizace, jak zajistit, aby byly připraveny lépe předcházet útokům v dodavatelském řetězci a také detekovat a reagovat na jakékoli potenciální hrozby v dodavatelském řetězci.

Důkladné řízení dodavatelů a hodnocení rizik

Než se spojíte s dodavateli softwaru, proveďte due diligence. Hledejte dodavatele, kteří splňují oborové standardy a mají zveřejněné zásady pro zveřejňování zranitelností. Pravidelné audity, kontroly kódu a proaktivní hodnocení ze strany dodavatele i zákazníka jsou klíčem ke zmírnění rizik.

Náš výzkum zjistil, že organizace s nejpokročilejší úrovní kybernetické bezpečnosti s největší pravděpodobností provedou hloubkovou analýzu při hodnocení kybernetické bezpečnosti svých externích dodavatelů, včetně:

  • Začlenění dotazníků pro posouzení bezpečnosti (SAQ) do jejich hodnocení.
  • S ohledem na bezpečnostní certifikace dodavatelů, jako je ISO 27001 a SOC 2.
  • Kontrola standardů shody specifických pro dané odvětví.
  • Zajištění, aby dodavatelé měli plány a procesy pro reakci na incidenty, které jim pomohou zvládnout potenciální narušení bezpečnosti.
  • Vyžádání si softwarového kusovníku (SBOM) pro pochopení open-source a externích komponent použitých v jejich softwaru.

Zralé organizace jsou přísnější při hodnocení zabezpečení softwaru třetích stran

Otázka: Které z těchto požadavků vaše organizace vyžaduje k zajištění bezpečnosti softwaru třetích stran?

Neustálé monitorování a proaktivní náprava napříč všemi závislostmi

Klíčové je používat automatizované nástroje a procesy pro detekci hrozeb k monitorování a vyhodnocování všech softwarových komponent. Závislosti, zejména v komponentách softwaru s otevřeným zdrojovým kódem, jsou často přehlíženy a představují hlavní riziko zranitelnosti, pokud nejsou pravidelně monitorovány a aktualizovány.

Nástroje umělé inteligence a automatizace mohou poskytovat v reálném čase přehled o výkonu zařízení, aplikací a sítě a odhalovat potenciální problémy. Řešení pro samoopravu a automatizovanou nápravu nabízejí efektivní způsoby řešení problémů s minimálním nebo žádným lidským zásahem.

Pravidelná komunikace s externími dodavateli

Základním kamenem pro zajištění vzájemné odpovědnosti za bezpečnost dodavatelského řetězce softwaru je častá a otevřená komunikace mezi zákazníky a externími dodavateli. Bezpečnostní a IT týmy musí být informovány o všech aktualizacích softwaru, opravách známých zranitelností a všech nově vznikajících bezpečnostních hrozbách.

Zjistěte více o zabezpečení dodavatelského řetězce softwaru

Chcete se dozvědět více? Přečtěte si celou zprávu o trendech v kybernetické bezpečnosti, která vám poskytne hlubší vhled do nejnaléhavějších hrozeb v kybernetické bezpečnosti a strategií pro proaktivní řízení rizik.

Zdroj: Ivanti

2025-05-06T13:34:39+01:006 května, 2025|Kategorie: Aktuality, Bezpečnost|Štítky: , , , , |

Sdílejte tento článek, vyberte si platformu!

FacebookXLinkedInE-mail

Podobné příspěvky

Vedoucí představitelé ITAM/SAM prozrazují, co jim v noci nedá spát
Vedoucí představitelé ITAM/SAM prozrazují, co jim v noci nedá spát
Galerie

Vedoucí představitelé ITAM/SAM prozrazují, co jim v noci nedá spát

17 července, 2025
Hackeři zneužili novou bezpečnostní chybu v Google Chromu
Hackeři zneužili novou bezpečnostní chybu v Google Chromu
Galerie

Hackeři zneužili novou bezpečnostní chybu v Google Chromu

17 července, 2025
Nová éra MLOps a dodávek umělé inteligence
Nová éra MLOps a dodávek umělé inteligence
Galerie

Nová éra MLOps a dodávek umělé inteligence

17 července, 2025
Je vaše ITSM prostředí připraveno na agentskou umělou inteligenci? Pravděpodobně (zatím) ne
Je vaše ITSM prostředí připraveno na agentskou umělou inteligenci? Pravděpodobně (zatím) ne
Galerie

Je vaše ITSM prostředí připraveno na agentskou umělou inteligenci? Pravděpodobně (zatím) ne

17 července, 2025
Skype je pryč, ale vaše data ne
Skype je pryč, ale vaše data ne
Galerie

Skype je pryč, ale vaše data ne

16 července, 2025
Solutia
Přehled ochrany osobních údajů

Tyto webové stránky používají soubory cookies, abychom vám mohli poskytnout co nejlepší uživatelský zážitek. Informace o souborech cookie se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte, a pomáhají našemu týmu pochopit, které části webových stránek považujete za nejzajímavější a nejužitečnější.
Přejít nahoru