ما هي هجمات سلاسل التوريد؟
هجمات سلاسل التوريد هي استراتيجية هجمات إلكترونية تستهدف مؤسسة أو جهة من خلال نقاط الضعف في سلسلة التوريد الخاصة بها. بكلمات أخرى، يحصل هجوم سلاسل التوريد عندما يستهدف مقرصن منظمة من خلال طرف ثالث مرتبط بها.
عادة ما يكون هذا الطرف الثالث مزود خدمات سهل الاختراق بسبب إهماله للإجراءات الأمنية اللازمة. ويُعدّ اختراق البيانات المشتركة الموجودة لدى الطرف الثالث الهدف الرئيسي في الهجمات، كون هذه البيانات تتبع لعملاء هامين، ما يُفسر حجم الضرر الواسع الذي يمكن أن يسببه هذا النوع من الهجمات.
يتنوع مزودو الخدمات بين شركات صغيرة توفرّ مواد أولية إلى شركات تصنع البرامج في منصات التجارة الإلكترونية أو منصات مشاركة الملفات إلى أدوات حماية الكترونية يتم استهدافها للنيل من الزبائن الكبار لمقدمي الخدمات.
تحظى طريقة الهجوم هذه بشعبية متزايدة بين القراصنة المحترفين لأنها تسمح لهم باستهداف العديد من الضحايا من خلال اختراق واحد، بدلاً من الاضطرار إلى مهاجمة كل من هذه المنظمات على حدة. كما تتيح هذه الأنواع من الهجمات للقراصنة بالتسلل عبر "أبواب خلفية" بدلا من الاستهداف المباشر للضحية.
كيف تتم هجمات سلاسل التوريد؟
يراهن القراصنة على ضعف إجراءات الحماية لدى مزودي الخدمات الذين يعتقدون أنهم لا يمتلكون بيانات حساسة تستدعي الحماية، في حين أن منتجاتهم نفسها هي المطية الذي يتسلل منها المهاجمون الى الأهداف الكبرى؛ أي الشركات والمنظمات والجهات التي تشتري الخدمة.
يبحث القراصنة عادة عن ثغرات في الشبكات والبنى التحتية والخوادم الحاسوبية كما في إجراءات الحماية المعتمدة للولوج إلى الأنظمة الحاسوبية وتغيير رموز المصدر وإخفاء برامج ضارة في عمليات الإنشاء والتحديث.
في العمق، يتم توقيع واعتماد كل تطبيق او برنامج يطوره مزود للخدمات. ويحوي البرنامج المطور نفسه شهادة الاعتماد. يبحث القراصنة عن رموز شهادة الإعتماد بهدف الولوج إلى الأنظمة الحاسوبية وإخفاء برامجهم الضارة التي تصبح جزءًا من عمليات إنشاء البرنامج وتحديثه.
وبالتالي تتسع فجوة الاختراق في كل مرة يتم فيها بيع البرنامج او تحديثه، خاصة وأن الجهة المطورة، أي مزود الخدمة، لا تكون على دراية بعد بحصول عملية اختراق منتجها. عند هذه المرحلة يُصبح مزود الخدمات هو نفسه مصدر الخطر، مع لحاظ هامش الأذونات التي يحظى بها مزودو الخدمات عند بيع منتجاتهم للشركات.
ما مدى خطورة هجمات سلاسل التوريد؟
بمقدور مزود خدمة واحد مُختَرَق أن يؤدي الى التسبب بأضرار لآلاف الزبائن من الشركات الكبرى والصغيرة فضلا عن الأفراد من دون أن يعلم.
أحد الأمثلة الشهيرة على حجم الضرر الذي يمكن أن تتسبب به الهجمات على سلاسل التوريد، ما تعرضت له شركة"سولار ويندز" SolarWinds الأميركية في العام 2020، حين تبين أن أحد منتجاتها المستخدم في إدارة الأعمال قد تعرض للاختراق قبل أن تبيعه الشركة إلى أكثر من 18 ألف زبون بين شركة وفرد؛ علمًا أن من بين الزبائن جهات حكومية. في شباط من العام 2021، وصفت شركة "مايكروسوفت" الهجوم بأنه واحد من أوسع وأشد الهجمات تعقيدًا في العالم.
وتكمن خطورة هذا النوع من الهجمات في أنها تبدأ فور قيام الضحية بتثبيت تحديث برنامج Update مخترق، ما يؤدي تلقائياً إلى تثبيت التعليمات البرمجية الضارة بنفس الأذونات اللازمة للسماح للبرنامج أو التطبيق بالعمل. وبمجرد التثبيت، يتم تنشيط حصان طروادة الوصول عن بُعد لمنح القراصنة إمكانية الوصول إلى كل جهاز مصاب واستخراج البيانات الحساسة.
هجوم سلسلة التوريد SolarWinds كان فريدًا من نوعه لأن المتسللين لم يبدأوا التحكم عن بعد على الفور. بدلاً من ذلك، ظلت البرامج الضارة في حالة سبات لمدة أسبوعين قبل أن تبدأ عملية سرقة البيانات. في بعض الأحيان، قد يكون هجوم سلسلة التوريد مقدمة لهجوم أخطر عبر برمجيات "الفدية".
في كل الحالات، تُعد هجمات سلاسل التوريد مسألة أمن قومي نظراً لقدرتها على التسبب بأضرار فادحة تمسّ بمصالح الدول وخصوصيات الأفراد.
أنواع هجمات سلاسل التوريد
تستهدف هجمات سلاسل التوريد إما رموز المصدر Source Code أو آلية التحديث Update Process أو مرحلة بناء العمليات لبرنامج مزود الخدمة. وبالتالي فمن الممكن أن تتعرض الضحية للاختراق عبر أي من الوسائل التالية
- أدوات بناء البرمجيات وأدوات التحديث.
- شهادات التوقيع والاعتماد والتطبيقات الضارة الموقعة باسم شركات تطوير حقيقية.
- الرموز أو الشيفرات البرمجية الخاصة بمكونات الأجهزة.
- البرمجيات الضارة التي يتم تنصيبها بشكل مسبق على الأجهزة الإلكترونية كالهواتف الذكية أو النواقل التسلسلية المعروفة باسم USB.
أرقام وأحداث
ازداد عدد هجمات سلاسل التوريد بنسبة 78% في العام 2019، بحسب تقرير عن عملاقة الحماية "سيمانتك" Symantec. وبحسب تقرير عن كلا من شركة "أي بي أم" IBM ومعهد "بونيمون" Ponemon Institute، فإن الكلفة التقديرية المتوسطة لهجوم واحد من هجمات سلاسل التوريد عالميًا في العام 2020 بلغت 3.86 مليون دولار. أما متوسط الوقت المستغرق لاكتشاف الهجوم واحتوائه يناهز 9 أشهر كاملة.
وفي الولايات المتحدة وحدها، يبلغ معدل كلفة الهجوم الواحد نحو 8.19 مليون دولار. في شهر نيسان أبريل من العام 2016، وبعد سلسلة من الهجمات على شركة المحاماة "موساك فونسيكا" Mossack Fonseca العاملة في دولة "باناما"، تم تسريب 2.6 تيرابايت Terabytes من المعلومات الحساسة حول عمليات تهرب ضريبية لأكثر من 214 ألف سياسي وشركة عبر العالم. عُرفت القضية في الإعلام باسم "أوراق باناما" Panama Papers لكن قلة يعلمون أن العملية برّمتها تندرج ضمن هجمات سلاسل التوريد.
في أيلول سبتمبر من العام 2017، عانت Equifax، إحدى أكبر وكالات الإبلاغ عن بطاقات الائتمان، من خرق للبيانات عبر ثغرة أمنية في التطبيق على موقعها على الويب. طال الاختراق بيانات أكثر من 147 مليون عميل، من ضمنها أرقام الضمان الاجتماعي وأرقام رخص القيادة وتواريخ الميلاد والعناوين.
في تشرين الثاني نوفمبر من العام 2017، تم اختراق شركة محاماة خاصة تمتلك قاعدة بيانات لزبائن دوليين. أدى الهجوم في نهاية المطاف إلى تسريب 13.4 مليون سجل استثماري لشخصيات سياسية واقتصادية عالمية ورؤساء دول وحكومات. عُرفت القضية لاحقًا باسم "أوراق بارادايس" Paradise Papers.
في الثاني من شهر تموز يوليو 2021، تعرض عدد من مزودي الخدمات في الولايات المتحدة لهجوم نوعي بواسطة برمجية "فدية"، ما أدى الى توقف أكثر من 1500 شركة عن العمل. الهجوم استهدف بداية شركة "Kaseya" للبرمجيات في ولاية فلوريدا حيث تطور برامج لإدارة الشبكات والأنظمة والبنى التحتية لتكنولوجيا المعلومات، وتمتلك فروعًا في قارات العالم جميعها. تبنت جماعة قراصنة مجهولة المسؤولية عن الهجوم وطالبت بفدية قيمتها 70 مليون دولار لإصدار أداة فك تشفير تسمح باستعادة بيانات أكثر من مليون نظام تمت إصابته بالهجوم.
الحماية من هجمات سلاسل التوريد
لا يوجد حل سحري لهجمات سلاسل التوريد، نظرًا لتعقيد البيئة التي تتم فيها هذه الهجمات. ولكن الخبراء ينصحون بسلسلة من الإجراءات للحد من احتمالات الهجمات وحجم الضرر في حال وقوعها. وهذه النصائح موجهة للزبائن:
- توثيق كامل المعلومات عن مزودي الخدمات ومنتجاتهم.
- تحديد المخاطر المحتملة التي قد تنتج عن أختراق مزودي الخدمات.
- مراقبة المخاطر والتهديدات المرتبطة بسلاسل التوريد.
- الإطلاع ومتابعة كافة عمليات الإنتاج والتطوير لدى مزودي الخدمات للتأكد من سلامة الإجراءات.
- تصنيف الأصول الرقمية والمعلومات التي يتم مشاركتها مع مزودي الخدمات.
- تدوين ومراقبة أي عملية وصول access من قبل مزود الخدمة الى البيانات.
- تحديد آليات وخطط للتنفيذ عند وقوع هجوم.
أما النصائح الموجهة لمزودي الخدمات فهي:
- ضمان أفضل إجراءات الحماية الرقمية في كافة عمليات تصميم وتطوير وتصنيع وتسليم المنتجات والخدمات.
- المراقبة المستمرة لأي ثغرات أمنية محتملة تم الإبلاغ عنها من طرف ثالث أو من داخل الشركة.
- الاحتفاظ بنسخ احتياطية من الأصول الرقمية لتصحيح أي ضرر ينجم عن هجوم على سلسلة التوريد.
- تقليل فرص وقوع هجمات عن طريق الحد من قدرة المستخدمين على تثبيت برمجيات خارجية على الأجهزة داخل الشركة مزودة الخدمة.