Ինչպես կանխել մատակարարման շղթայի հարձակումը Linux միջավայրում


Ի՞նչ է մատակարարման շղթայի հարձակումը:

Սա կիբերհարձակման տեսակ է, որը ձգտում է վնասել կազմակերպությանը՝ հարձակվելով մատակարարման շղթայի թույլ տարրերի վրա: Մատակարարման շղթայի հարձակումը կարող է տեղի ունենալ ցանկացած ոլորտում:

Ծրագրային ապահովման մատակարարման շղթայի հարձակումները տեղի են ունենում, երբ հարձակվողները վնասակար կոդ են մտցնում ծրագրային ապահովման մատակարարման շղթայի վատ ապահովված մասում: Սա առաջացնում է ալիքային էֆեկտ, որի դեպքում ծրագրաշարի շատ սպառողներ ենթարկվում են հարձակման:

Մատակարարման շղթայի հարձակումների տեսակները.

Մատակարարման շղթայի հարձակումները կարող են լինել շատ բազմակողմանի: Ամենից հաճախ այս հարձակումները ներառում են կեղծ թարմացումներ: Կիբերհանցագործները վտանգի են ենթարկում աշխատողի սարքավորումները՝ մուտք գործելով ներքին ցանց աշխատակիցների հավատարմագրերի միջոցով: Ներս մտնելով՝ հարձակվողները ցանցի միջոցով տարածում են վարակված ծածկագիրը։

Մեկ այլ մեթոդ ներառում է ֆայլի ներբեռնումը կասեցնելը, դրանում վնասակար կոդ ավելացնելը և այն թիրախային համակարգիչ ուղարկելը: Կազմակերպությունները, որոնք չեն օգտագործում գաղտնագրված արձանագրություններ, հաճախ այս տեսակի հարձակման վտանգի տակ են:

Այլ դեպքերում հանցագործները կարող են մուտք գործել գրադարաններ, շրջանակներ և մշակման փաթեթներ երրորդ կողմերից: Եթե հարձակվողները վտանգի ենթարկեն դրանք, խնդիրը կարող է տարածվել դրանք օգտագործող յուրաքանչյուր հավելվածի վրա:

Ինչու՞ անվտանգության կանոնավոր գործելակերպերը չեն աշխատում մատակարարման շղթայի հարձակումների դեպքում:

Վերջին հարձակումները, ինչպիսիք են SolarWinds-ը և Capital One-ը, ցույց են տալիս, թե ինչպես դրանք կարող են արագ և վտանգավոր տարածվել լայնորեն օգտագործվող ծրագրային ապահովման վրա:

Մատակարարման շղթայի հարձակումների խնդիրն այն է, որ շատ սովորական անվտանգության պրակտիկա արդյունավետ չէ դրանց դեմ.

  • Առասպել. տեղադրել միայն ստորագրված տարբերակները: Այս առաջարկությունը չի գործում, երբ ծրագրաշարը ստորագրված է, ինչպես դա տեղի է ունենում մատակարարման շղթայի հարձակումների մեծ մասի դեպքում:
  • Առասպել. թարմացրեք ձեր ծրագրաշարը: Սա չի օգնում, երբ վարակված ծրագրաշարը թարմացվում է:
  • Առասպել. վերահսկել ծրագրաշարի վարքագիծը: Ճիշտ է, եթե դուք շարունակաբար վերահսկում եք վարքագիծը, դուք կարող եք ի վերջո հայտնաբերել խնդիրը, բայց քանի դեռ դա տեղի չի ունեցել, հարձակվողը կարող է արդեն մեծ վնաս պատճառել:
  • Առասպել. վերանայել սկզբնական կոդը: Հարձակվողները փոփոխությունները գրում են, որպեսզի նմանվեն կազմակերպության սեփական աղբյուրի կոդը, ուստի դժվար է այն նույնականացնել:

Արդյո՞ք Linux-ն ավելի ապահով է մատակարարման շղթայի հարձակումից:

Տարածված սխալ պատկերացում է, որ Linux-ը անխոցելի է կիբերանվտանգության խնդիրների համար: Սակայն վերջին տարիների հարձակումները ցույց տվեցին, որ դա հենց այնպես չէ։

Նման դեպքերից մեկը վերաբերում էր Linux Pling-ում հայտնաբերված խոցելիությանը: Կիբերանվտանգության հետազոտողները հայտնաբերել են Pling բաց կոդով ծրագրային ապահովման շուկաներում չփակված թերություն: Այս խոցելիությունը նշանակում է, որ Pling-ի վրա հիմնված բոլոր շուկաներն ունեն XSS-ի ճիճու թերություն, որը հարձակվողները կարող են օգտագործել Pling խանութում ցուցակներ փոփոխելու կամ ավելացնելու համար:

Linux-ը դեռ կարող է ռիսկեր ներկայացնել: Թեև Linux-ի օգտատերերը շատ ակտիվ են և հայտնաբերմանն պես շտկում են խոցելիությունը, գուցե արժե հասկանալ, թե Linux-ն ինչ միջոցներ է ձեռնարկում անվտանգության շահագործումը կանխելու համար:

Բաց կոդով ծրագրային ապահովման պահոցներ. Դուք կարող եք տեղադրել երկու տեսակի ծրագրակազմ Linux-ում՝ բաց կոդով կամ սեփականության: Կոդը տեսանելի է ցանկացած օգտվողի համար, ով ցանկանում է վերանայել այն: Պահեստային համակարգի օգտագործումն ավելի լավ պաշտպանություն է տալիս, քանի որ դրա բովանդակությունը ստուգվում է նախքան ներբեռնումը թույլ տալը:

Անվտանգության քաղաքականություն. Որոշ Linux բաշխումներ, ինչպիսիք են Debian-ը և Ubuntu-ն, լրացուցիչ միջոցներ են ձեռնարկում հարթակում ավելացված յուրաքանչյուր փաթեթի ամբողջականությունը ստուգելու համար: Նրանք նաև վերահսկում են այն մարդկանց թիվը, ովքեր կարող են հոգ տանել թարմացումների տեղադրման մասին:

Ինչևէ, ոչ մի օպերացիոն համակարգ 100%-ով ապահովված չէ օգտագործողի անփութությունից և սխալներից: Երբ օգտվողները ծրագրեր են տեղադրում անհայտ աղբյուրներից կամ միացնում են թույլտվությունների սխալ կազմաձևումները, Linux-ը կարող է առաջացնել նույն խնդիրները, ինչ մյուս օպերացիոն համակարգերը:

4 քայլ՝ ապահովելու ձեր ծրագրային ապահովման մատակարարման շղթան

Ամեն ինչ կորած չէ ծրագրային ապահովման մատակարարման շղթայի հարձակումներով: Այս բարդ հարձակումները կարելի է մեղմել: Ստորև բերված են մի քանի եղանակներ, որոնցով կարող եք պաշտպանվել ինքներդ ձեզ.

Տեսակավորել կախվածության շփոթությունը

Հարձակվողները կարող են վնասակար փաթեթներ ներարկել հանրային աղբյուրների միջոցով ծրագրային ապահովման մատակարարման շղթա՝ առաջացնելով կախվածության շփոթության հարձակումներ: Փաթեթի անվանման այլ կերպ կոչված գրոհը բաղկացած է մի քանի մանրակրկիտ պլանավորված քայլերից.

Հարձակվողը նույնականացնում է մասնավոր ներքին փաթեթների անունները, որոնք օգտագործվում են ծրագրային մշակումների մեջ: Հաջորդը, նրանք վերբեռնում են վնասակար փաթեթներ նույն անունով, ինչ այս մասնավոր ներքին փաթեթները: Երբ մշակողը փորձում է քաշել մասնավոր ներքին փաթեթը, նրանք հանրային փաթեթների կողքին քաշում են փոփոխվածը: Այնուհետև վնասակար փաթեթը հանվում է հանրությունից վերևում:

Ինչպե՞ս կարող եք պաշտպանվել ձեզ այս տեսակի հարձակումներից: Ահա մի քանի ցուցումներ.

  • Օգտագործեք շրջանակով փաթեթներ. Այս մեթոդը կողպում է փաթեթի անվանատարածքը և կապում այն կոնկրետ օգտագործողի կամ կազմակերպության հետ: Սա նվազեցնում է հարձակվողի կողմից հիմքում ընկած փաթեթը փոխարինելու հնարավորությունները:
  • Օգտագործեք ռեպո հատուկ կոնֆիգուրացիա. երբ դուք օգտագործում եք ներքին փաթեթների պահոց, համոզվեք, որ մասնավոր փաթեթների համար պրոքսի հարցումներ չեք ուղարկում հանրային ռեգիստրներին: Microsoft-ի այս փաստաթուղթը բացատրում է մասնավոր փաթեթների հոսքեր օգտագործելիս ռիսկը նվազեցնելու ուղիները:

Թույլ մի տվեք տեղադրել հրամաններ բաց կոդով փաթեթներում

Որոշ փաթեթների կառավարիչներ լռելյայն թույլ կտան ցանկացած տեղադրված փաթեթ կատարել կամայական հրամաններ: Հարձակվողները կարող են ներդնել հետնադուռ, որը թույլ է տալիս կոդի ներարկում: Անհայտ թվացող տառասխալ ավելացնելով՝ այն կարող է խաբել ծրագրավորողներին, որոնք սխալմամբ տեղադրում են վնասակար փաթեթ:

Դուք կարող եք պաշտպանվել՝ խուսափելով փաթեթները կուրորեն տեղադրելուց կամ պատճենել և տեղադրել առանց փաթեթը նախապես հաստատելու: Դուք կարող եք նաև ավելացնել ignore-scripts հրամանի տող npm install հրամանին: Սա կօգնի ձեզ կանխել փաթեթների ինքնաբերաբար կամայական հրամանների կատարումը:

Վերահսկեք զգայուն տեղեկատվությունը

Մուտքի վերահսկման ավելի խստացված անվտանգության միջոցառումների ապահովում, ինչպիսիք են բազմագործոն նույնականացումը՝ կանխելու զգայուն տեղեկատվության բացահայտումը: Բացի այդ, մի պահեք զգայուն տեղեկությունները պահոցում և խուսափեք զգայուն տեղեկություններով փաթեթներ հրապարակելուց

Վերջնական մտքեր

Linux հիմնադրամը խորհուրդ է տալիս կազմակերպություններին «խստացնել իրենց կառուցապատման միջավայրը հարձակումներից»: Սա նախ ներառում է այս հոդվածում նկարագրված անվտանգության որոշ պրակտիկաների իրականացում: Անվտանգության պատշաճ հիգիենան և տարրական ողջախոհությունը կարող են երկար ճանապարհ անցնել՝ այդպիսով նվազագույնի հասցնելով այն խոցելիությունը, որոնք հարձակվողները կարող են օգտագործել: