Apa itu Supply Chain Attack? Teknik & Pencegahannya

Supply chain attack, juga dikenal sebagai value chain, serangan pihak ketiga, atau backdoor breach, terjadi ketika pelaku ancaman meretas pemasok perusahaan atau vendor pihak ketiga yang memiliki akses ke data perusahaan untuk akhirnya menembus jaringan perusahaan yang ditargetkan. Hal ini biasanya dilakukan dengan memasukkan kode berbahaya ke dalam perangkat lunak yang sah dari vendor.

Apa itu Supply Chain Attack?

Supply chain attack bekerja seperti ini : peretas mencari protokol jaringan yang tidak aman. Mereka juga mencari protokol server yang rentan dan melakukan pengkodean yang berbahaya. Begitu masuk, mereka memodifikasi kode sumber sebelum memasukkan malware ke dalam pembuatan perangkat lunak dan proses pembaruan pemasok atau vendor.

Vendor yang akan mendistribusikan dan menandatangani perangkat lunak tersebut kemudian tidak akan menyadari bahwa perangkat lunak tersebut mungkin berisi kode berbahaya, oleh karena itu produk akan ditayangkan dengan ditandatangani dan disertifikasi. Pelanggan yang membeli perangkat lunak yang disusupi ini akan terinfeksi malware setelah dijalankan di titik akhir mereka, karena kode berbahaya akan diluncurkan dengan hak yang sama dengan perangkat lunak yang dijalankannya.

Peretas sering kali menyukai Managed Service Provider (MSP) saat mengembangkan supply chain attack karena akses luas mereka ke jaringan pelanggan mereka. Akibatnya, jika peretas berkompromi dengan MSP, mereka pada akhirnya akan mendapatkan akses ke jaringan pelanggan.

Namun, supply chain attack tidak hanya terkait dengan perangkat lunak yang membahayakan; mereka juga dapat terjadi ketika pabrikan menanamkan microchip yang diretas ke dalam sirkuit yang digunakan untuk membuat komponen jaringan dan server. Pelaku ancaman dapat menggunakan chip yang disusupi ini untuk memata-matai informasi penting atau bahkan mendapatkan akses jarak jauh ke jaringan perusahaan.

Teknik Supply Chain Attack

CISA menyoroti tiga teknik umum yang digunakan oleh aktor ancaman untuk melakukan supply chain attack dalam makalah mereka yang berjudul "Defending Against Software Supply Chain Attacks" adalah sebagai berikut :

Pembajakan Pembaruan

Perangkat lunak diperbarui secara teratur untuk memperbaiki kerentanan yang muncul, dan pembaruan ini didistribusikan kepada pelanggan oleh vendor perangkat lunak dari server terpusat. Pada tahap ini, pelaku ancaman mengakses jaringan vendor dan membajak upgrade tersebut. Mereka menginfeksi pembaruan dengan malware atau memodifikasinya untuk mendapatkan kendali atas operasi perangkat lunak.

Merusak Codesigning

Merusak codesigning adalah teknik supply chain attack umum lainnya. Penyerang dapat mengganggu desain bersama dengan menggunakan sertifikat yang ditandatangani sendiri, sistem penandatanganan yang cacat, dan kebijakan akses akun yang tidak sesuai. Akibatnya, penjahat dunia maya dapat membajak pembaruan dengan menyamar sebagai vendor terkemuka, dan kode berbahaya selanjutnya disuntikkan ke pembaruan itu.

Kompromi Kode Sumber Terbuka

Ini biasanya terjadi ketika peretas menyuntikkan kode berbahaya ke pustaka kode yang tersedia online. Ini mungkin menjadi masalah bagi pengembang yang mencari blok kode gratis untuk memungkinkan mereka membuat kode pihak ketiga mereka sendiri.

Cara Mencegah Supply Chain Attack

1. Periksa Vendor Anda

Untuk memulai, saya telah memberikan beberapa saran untuk memeriksa vendor sebelum menjalin hubungan di bawah ini :

• Minta mereka melakukan penilaian mandiri keamanan (alat keamanan apa yang mereka gunakan, kebijakan manajemen akses istimewa apa yang mereka miliki, apakah mereka mengikuti patch dan pembaruan mereka, metode verifikasi kode apa yang mereka gunakan, dll.).

• Audit penyedia Anda dan lakukan tes penetrasi Anda sendiri pada mereka. Audit dapat dilakukan dengan menggunakan sertifikasi formal seperti HIPAA Business Partner Agreement atau audit PCI. Anda harus menjamin bahwa metode keamanan yang digunakan oleh vendor Anda telah divalidasi dan disertifikasi.

• Anda bahkan dapat mendesak vendor Anda untuk membeli asuransi cyber jika perlu.

• Menilai vendor Anda secara berkala : Anda harus mengonfirmasi bahwa vendor Anda masih aman karena mereka mungkin aman pada awalnya tetapi kemudian di jalan menjadi terganggu.

Singkatnya, pastikan vendor Anda menerima komentar dan perubahan dan mereka jelas tentang bagaimana mereka melindungi perusahaan mereka.

2. Batasi Akses Istimewa

Akses istimewa ke data penting dalam perusahaan harus dibatasi menggunakan alat manajemen akses istimewa otomatis dan terus dipantau menggunakan principle of least privilege (POLP). POLP menjamin bahwa setiap orang hanya memiliki akses ke sumber daya yang mereka butuhkan untuk melakukan tugas mereka dan tidak lebih, sehingga mengurangi akses yang tidak perlu. Akses vendor juga dapat dibatasi dengan cara ini.

Membatasi akses ke akun dengan hak istimewa tinggi juga membantu mencegah pergerakan jaringan lateral, yang merupakan metode populer dalam supply chain attack.

3. Gunakan Alat Keamanan Email yang Baik

Sebagian besar supply chain attack menggunakan penipuan email sebagai vektor utama mereka. Pertimbangkan Kompromi Email Bisnis: pelaku ancaman mengirim email ke karyawan kunci atas nama CEO yang meminta pembayaran faktur atau transfer uang. Hal ini juga disertai dengan rasa urgensi.

4. Pastikan Manajemen Patch Anda Baik

Pastikan bahwa perbaikan terbaru diinstal di sistem Anda segera setelah tersedia. Ini dimungkinkan dengan alat Patch & Asset Management otomatis yang menjaga perangkat lunak Anda tetap mutakhir.

5. Gunakan Deteksi dan Respons Titik Akhir

Deteksi dan Respons Titik Akhir memberi Anda wawasan menyeluruh tentang titik akhir Anda serta perlindungan ancaman untuk perangkat itu.

Perlindungan titik akhir juga membantu keamanan stasiun kerja dan lingkungan pengembang, yang sering menjadi sasaran supply chain attack karena akses mereka ke saluran CI/CD. Perangkat lunak EDR mendeteksi perilaku yang tidak biasa, memungkinkan tim keamanan untuk merespons serangan dengan cepat.

6. Gunakan Layanan Deteksi dan Respons/SOC

Tim SOC membantu dalam deteksi proaktif ancaman di jaringan Anda. Layanan Deteksi dan Respons membuat pemantauan lingkungan lebih efisien karena Anda menerima pemberitahuan infeksi secara real-time dan merespons serangan dengan cepat dan efisien.

7. Pendidikan Keamanan Siber Karyawan

Saya tidak bisa melebih-lebihkan perlunya pelatihan keamanan siber. Semua personel, apakah mereka bekerja untuk Anda atau vendor, harus dapat mengenali gejala dan risiko serangan siber. Akibatnya, pelatihan kesadaran keamanan dunia maya sangat penting, dan ini membentuk lapisan pertahanan yang kuat untuk bisnis Anda dan vendor Anda. Setiap aspek keamanan harus dilindungi, seperti kesalahan kata sandi yang umum, cara mengidentifikasi serangan phishing dan upaya spear phishing, apa itu business email compromise (BEC) dan vendor email compromise (VEC), bagaimana mengidentifikasi berbagai jenis malware, dan proses apa yang harus diikuti jika mereka pernah dihadapkan dengan salah satu dari ancaman ini atau melihat sesuatu yang mencurigakan terjadi di dalam perusahaan.

8. Terapkan Kebijakan Integritas Kode yang Kuat

Kebijakan integritas kode menentukan pedoman apakah aplikasi memiliki otorisasi untuk dijalankan atau tidak. Saat kode aplikasi memunculkan tanda bahaya, sistem secara otomatis menghentikannya. Menerapkan kebijakan integritas kode dapat membantu melawan supply chain attack.