هجوم سلسلة التوريد

هجوم سلسلة التوريد هو هجوم إلكتروني يسعى إلى إلحاق الضرر بمؤسسة من خلال استهداف عناصر أقل أمانًا في سلسلة التوريد. [1] قد يحدث هجوم سلسلة التوريد في أي من صناعات القطاع المالي، مثل صناعة النفط، حتى القطاع الحكومي.[2] يتلاعب المجرمون الإلكترونيون عادةً بعملية تصنيع المنتج عن طريق تثبيت أداة التأصيل (الروتكايت) أو مكونات تجسس قائمة على الأجهزة.[3] يشير تقرير تهديدات أمن الإنترنت عام 2019 الصادر عن سيمانتك إلى أن هجمات سلسلة التوريد زادت بنسبة 78% عام 2018. [4]

يعد تارگت ، شرق أوروبا البرمجيات الخبيثة لماكينات الصراف الآلي، بالإضافة إلى دودة الحاسوب ستكس‌نت من أمثلة هجمات سلسلة التوريد.

يوصي خبراء إدارة سلسلة التوريد بالرقابة الصارمة على شبكة التوريد الخاصة بالمؤسسات من أجل منع الضرر المحتمل من مجرمي الإنترنت.[5]

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

نظرة عامة

رسم تخطيطي أساسي لشبكة سلسلة التوريد، والذي يوضح كيفية نقل البضائع من مرحلة المواد الخام إلى الحصول عليها من قبل المستهلك النهائي.

سلسلة التوريد هي نظام من الأنشطة التي ينطوي عليها التعامل مع البضائع وتوزيعها وتصنيعها ومعالجتها من أجل نقل الموارد من البائع إلى أيدي المستهلك النهائي. سلسلة التوريد هي شبكة معقدة من الجهات الفاعلة المترابطة تحكمها عرض وطلب.[6] على الرغم من أن هجوم سلسلة التوريد مصطلح واسع بدون تعريف متفق عليه عالمياً،[7][8] بالإشارة إلى الأمن السيبراني، يتضمن هجوم سلسلة التوريد العبث المادي بالإلكترونيات (أجهزة الكمبيوتر، وأجهزة الصراف الآلي، وأنظمة الطاقة، وشبكات بيانات المصنع) من أجل تثبيت برامج ضارة غير قابلة للكشف بغرض إلحاق الضرر بالمشغل في أسفل شبكة سلسلة التوريد.[2][3][9] بمعنى أكثر عمومية، قد لا يشمل هجوم سلسلة التوريد بالضرورة الإلكترونيات. وفي عام 2010، عندما تمكن اللصوص من الوصول إلى مستودع توريد ضخم للأدوية في شركة إلاي لـِلي، من خلال حفر ثقب في السقف وتحميل ما قيمته 80 مليون دولار من الأدوية الموصوفة في شاحنة، يمكن أيضًا أن يُقال إنهم نفذوا هجوماً على سلسلة التوريد.[10][11]ومع ذلك ، ستناقش هذه المقالة الهجمات الإلكترونية على شبكات الإمداد المادية التي تعتمد على التكنولوجيا ؛ ومن ثم فإن هجوم سلسلة التوريد هو طريقة مستخدمة من قبل مجرمو الإنترنت.[12]


إطار عمل الهجوم

تبدأ هجمات سلسلة التوريد بشكل عام على أنظمة المعلومات بـ تهديد مستمر متقدم (APT)[13]التي تحدد عضواً في شبكة التوريد لديه أضعف أمان إلكتروني من أجل التأثير على المنظمة المستهدفة.[12] ووفقاً لتحقيق أجرته شركة ڤريزون بيزنس، فإن 92٪ من حوادث الأمن السيبراني التي حُللت في الاستبيان حدثت بين الشركات الصغيرة.[14] غالباً ما تتمكن APT من الوصول إلى المعلومات الحساسة عن طريق العبث المادي بإنتاج المنتج.[15] في أكتوبر عام 2008، كشف مسؤولو إنفاذ القانون الأوروبيون "النقاب عن حلقة احتيال بالغة التعقيد لبطاقات الائتمان" سرقوا تفاصيل حساب العميل باستخدام أجهزة لا يمكن تعقبها وأدخل في أجهزة قراءة بطاقات الائتمان المصنوعة في الصين للوصول إلى معلومات الحساب وإجراء عمليات سحب بنكية متكررة وعمليات شراء عبر الإنترنت، وتصل إلى ما يقدر بنحو 100 مليون دولار من الخسائر.[16]

المخاطر

يشكل تهديد هجوم سلسلة التوريد خطراً كبيراً على المنظمات الحديثة والهجمات لا تقتصر فقط على قطاع تكنولوجيا المعلومات ؛ تؤثر هجمات سلسلة التوريد على صناعة النفط وكبار تجار التجزئة وقطاع الأدوية وأي صناعة ذات شبكة إمداد معقدة.[2][9] يوضح منتدى أمن المعلومات أن المخاطر الناتجة عن هجمات سلسلة التوريد ترجع إلى مشاركة المعلومات مع الموردين، تنص على أن "مشاركة المعلومات مع الموردين أمر ضروري لعمل سلسلة التوريد، ومع ذلك فإنها تخلق أيضًا مخاطر ... المعلومات التي أخترقت في سلسلة التوريد يمكن أن تكون مدمرة كُلياً مثل تلك أخترقت من داخل المنظمة ".[17] بينما يقرن محمد علي ناصر من الجامعة الوطنية للعلوم الناشئة الخطر المذكور أعلاه بالاتجاه الأوسع للعولمة قائلاً: "... بسبب العولمة واللامركزية والاستعانة بمصادر خارجية لسلاسل التوريد، ازداد عدد نقاط التعرض أيضاً بسبب العدد الأكبر من الكيانات المشاركة والمنتشرة في جميع أنحاء العالم ... [أ] الهجوم الإلكتروني على [أ] سلسلة التوريد هو الطريقة الأكثر تدميراً لإلحاق الضرر بالعديد من الكيانات المرتبطة في وقت واحد بسبب تأثيره المتضاعف."[18] يمكن أن تؤدي أنظمة إدارة سلسلة التوريد سيئة الإدارة لمخاطر كبيرة للهجمات الإلكترونية، والتي يمكن أن تؤدي إلى فقدان معلومات العملاء الحساسة، وتعطيل عملية التصنيع، ويمكن أن تلحق الضرر بسمعة الشركة.[19]

أمثلة

هجمات المترجم

اعتباراً من 3 مايو 2019، أبلغت مجلة ويرد عن وجود مؤشر ترابط في هجمات سلسلة توريد البرامج الأخيرة.[20] ويعتقد أن هؤلاء قد انتشروا من المترجمين المشهورين والمقرصنين والفاسدين الذين نُشروا على مواقع القراصنة. أي الإصدارات التالفة من Apple XCode و Microsoft Visual Studio.[21] (نظرياً، قد يكتشف المترجمون البديلون هجمات المترجم[22]عندما يكون المترجم هو أساس الأدارة.)

شركة تارگت

صورة لمتجر تارگيت للتجارة التقليدية، حيث سرق هجوم سلسلة التوريد المعلومات المالية لـ 40 مليون عميل بين 27 نوفمبر و 15 ديسمبر 2013.

تعرضت شركة تارگت في نهاية عام 2013، التي تعد شركة تجزئة أمريكية، لواحد من أكبر خروقات البيانات في تاريخ صناعة التجزئة.[23] بين 27 نوفمبر و 15 ديسمبر عام 2013، تعرضت متاجر تارگيت الأمريكية للتجارة التقليدية لاختراق بيانات حيث أصبح ما يقرب من 40 مليون من بطاقات ائتمان العملاء وبطاقات الخصم عرضة للاحتيال بعد إدخال البرامج الضارة في نظام نقطة البيع في أكثر من 1800 متجر.[23]كما شهد خرق بيانات معلومات عملاء تارگت تأثيراً مباشراً على أرباح الشركة، التي انخفضت بنسبة 46 في المائة في الربع الأخير من عام 2013.[24] وقبل ستة أشهر، بدأت الشركة في تثبيت نظام أمان إلكتروني بقيمة 1.6 مليون دولار. كان لدى تارگت فريق من المتخصصين الأمنيين لمراقبة أجهزة الكمبيوتر الخاصة بها باستمرار. ومع ذلك، فإن هجوم سلسلة التوريد تحايل على هذه الإجراءات الأمنية.[25] يُعتقد أن مجرمي الإنترنت قد تسللوا إلى مورد طرف ثالث للوصول إلى شبكة البيانات الرئيسية لتارگت.[26] على الرغم من عدم تأكيد ذلك رسمياً،[27] يشتبه مسؤولو التحقيق في أن المتسللين اقتحموا شبكة الشركة لأول مرة في 15 نوفمبر 2013 باستخدام بيانات اعتماد رمز المرور المسروقة من شركة فازيو للخدمات الميكانيكية، مزود أنظمة HVAC ومقره پنسلڤانيا.[28] كما رفع العملاء تسعين دعوى قضائية ضد شركة تارگت بسبب الإهمال والأضرار التعويضية. وأنفقت شركة تارگت حوالي 61 مليون دولار للرد على الاختراق، وفقاً لتقرير الربع الرابع للمستثمرين.[29]

ستوكسنت

نموذج لمحطة بوشهر للطاقة النووية - في الجناح الإيراني لمعرض إكسپو 2010 شنغهاي

يعتقد أن السلاح السيبيراني أمريكي إسرائيلي، ستوكسنت دودة حاسوب خبيثة.[30] تستهدف دودة الحاسوب على وجه التحديد الأنظمة التي تعمل على أتمتة العمليات الكهروميكانيكية المستخدمة للتحكم في الآلات في خطوط تجميع المصنع أو معدات فصل المواد النووية.

كما يُقال إن دودة الحاسوب قد طورت خصيصاً من أجل إتلاف البرامج المحتملة اليورانيوم المخصب بواسطة حكومة إيران ؛ كيڤن هوگان، مدير أول للاستجابة الأمنية في نورتن لايف لوك، ذكرت أن غالبية الأنظمة المصابة بفيروس ستوكسنت كانت موجودة في جمهورية إيران الإسلامية[31] الأمر الذي أدى إلى تكهنات بأنه ربما كان يستهدف عمداً "بنية تحتية قيمة جداً" في البلاد[32]التي من ضمنها محطة بوشهر للطاقة النووية أو محطة ناتانز للطاقة النووية.[33] تُدخل ستوكسنت عادةً في شبكة الإمداد عبر محرك أقراص فلاش USB مصاب مع أشخاص لديهم وصول فعلي إلى النظام. حيث تنتقل الدودة عبر الشبكة السيبرانية، وتقوم بمسح البرامج الموجودة على أجهزة الكمبيوتر التي تتحكم في جهاز تحكم منطقي قابل للبرمجة (PLC). تقدم ستوكسنت الجذور الخفية المصابة إلى PLC لتعديل الرموز وإعطاء أوامر غير متوقعة إلى PLC أثناء إعادة حلقة من ملاحظات قيمة التشغيل العادية إلى المستخدمين.[34]

البرمجيات الضارة لأجهزة الصراف الآلي

في السنوات الأخيرة، أثرت البرامج الضارة المعروفة باسم Suceful و Plotus و Tyupkin و GreenDispense على ماكينة الصراف الآلي على مستوى العالم، وخاصة في روسيا وأوكرانيا.[35] يمنح برنامج GreenDispenser المهاجمين على وجه التحديد القدرة على الوصول إلى نظام ATM وإزالة الخزنة النقدية الخاصة به.عند التثبيت، قد يعرض برنامج GreenDispenser أشارة "خارج الخدمة" على ماكينة الصراف الآلي، لكن المقرصنين الذين لديهم بيانات اعتماد الوصول الصحيحة يمكنهم استنزاف الخزنة النقدية للصراف الآلي وإزالة البرامج الضارة من النظام باستخدام عملية حذف لا يمكن تعقبها.[36] عادةً ما تتصرف الأنواع الأخرى من البرامج الضارة بطريقة مماثلة، حيث تلتقط بيانات الشريط المغناطيسي من ذاكرة تخزين الجهاز وتطلب من الأجهزة سحب النقود. تتطلب الهجمات شخصاً لديه وصول داخلي، مثل فني أجهزة الصراف الآلي أو أي شخص آخر لديه مفتاح للجهاز، لوضع البرامج الضارة على جهاز الصراف الآلي.[37] نُشِط برنامج Tyupkin الضار في مارس 2014 على أكثر من 50 جهاز صراف آلي في مؤسسات مصرفية في أوروبا الشرقية، ويُعتقد أنه انتشر أيضًا في ذلك الوقت إلى الولايات المتحدة والهند والصين. كما تؤثر البرامج الضارة على أجهزة الصراف الآلي من كبرى الشركات المصنعة التي تستخدم أنظمة تشغيلMicrosoft Windows 32-bit حيث يعرض البرنامج الضار معلومات عن مقدار الأموال المتوفرة في كل جهاز ويسمح للمهاجم بسحب 40 ملاحظة من الشريط المحدد لكل ماكينة صراف آلي.[38]

نوت‌پيتيا / M.E.Doc

أثناء ربيع عام 2017، أصيب الكود الأساسي للحزمة المالية "M.E.Doc" المستخدمة في أوكرانيا بڤيروس نوت‌پيتيا وحمله المشتركين لاحقاً. وقد أُجرية الاختراق على نظام المزود: إما اختراق الشفرة نفسها لدى المزود، أو اختراق إعادة توجيه طلبات التنزيل إلى خادم آخر. أوضحت التقارير الصحفية في ذلك الوقت أن هذا كان هجوماً لسلسلة توريد، ولكن لم يتم تحديد ناقل الهجوم المستخدم.[39]

الخطوط الجوية البريطانية

خلال شهري أغسطس وسبتمبر 2018، احتوى قسم الدفع على موقع الخطوط الجوية البريطانية على رمز يجمع بيانات دفع العملاء. حيث كُتب الكود المحقون خصيصاً لتوجيه معلومات بطاقة الائتمان إلى موقع ويب في مجال baways.com، التي يمكن أن يعتقد بالغلط أنها تنتمي إلى الخطوط الجوية البريطانية.[40]


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

شركة سولارويندز

من المعتقد أن الهجوم السيبراني العالمي لسلسلة التوريد 2020 نتج عن هجوم على سلسلة التوريد استهدف تكنولوجيا المعلومات شركة البنية التحتية سولارويندز، والتي تضم العديد من المؤسسات الفيدرالية من بين عملائها، [41][42] بما في ذلك أجهزة الكمبيوتر التجارية من الإدارة الوطنية للأمن النووي (NNSA).[43]أصدرت وزارة الأمن الداخلي الأمريكية تعليمات 21-01 الطارئة، "التخفيف من تسوية كود أورين سولارويندز" الذي يتضمن فصل أي نظام تشغيل مضيف ويندوز يحمل فايروس من مجال مؤسسته، وإعادة بناء مضيفي ويندوز باستخدام مصادر موثوقة.[44] كانت مضيفات نظام التشغيل ويندوز (OS) المتضررة هي تلك التي تمت مراقبتها بواسطة برنامج مراقبة أورين سولارويندز.[44] قامت NNSA التابعة لوزارة الطاقة منذ ذلك الحين بفصل مضيفي ويندوز المُخترقين.[45] بالإضافة إلى الحكومة الفيدرالية الأمريكي، فإن 18000 من عملاء سولارويندز البالغ عددهم 33000 والذين يستخدمون منصة تحديث برامج أورين سولارويندز معرضون للخطر. وقد اخترق أورين في مارس ويونيو 2020، قبل اكتشاف الاختراق الإلكتروني من قبل شركة فاير آي في ديسمبر 2020. فعلى سبيل المثال، كانت شركة مايكروسوفت نفسها ضحية لخرق برنامج التحديث.[46][47] تعمل شركة مايكروسوفت الآن[needs update?] مع شركة فاير آي لاحتواء الهجوم السيبراني المستمر الموجود في برمجيات سلسلة التوريد المستخدمة من قبل "الحكومة والاستشارات والتكنولوجيا والاتصالات والكيانات الاستخراجية في أمريكا الشمالية وأوروبا وآسيا والشرق الأوسط" —فاير آي.[46] أعادت شركة الأمن السيبراني ڤوليكستي، بناء تسلسل الهجوم على مركز أبحاث أمريكي غير مسمى: أولاً، استغل المهاجم ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في خادم مايكروسوفت أكستشينج داخل الشركة ؛[48] وبعد معالجة هذه الثغرة الأمنية، استغل المهاجم الثغرات الأمنية في برنامج أورين سولارويندز، والتي كُشف عنها في ديسمبر 2020. ومن ثم أُستغل الخادم الوكيل للمصادقة الثنائية Duo التابع لمركز الأبحاث للوصول إلى اختراق البنية التحتية لمركز الأبحاث مرة أخرى.[48][49] واستناداً إلى إعادة بناء ڤوليكستي، نشرت "Breaking Defense" سلسلة القضاء مبسطة تشرح هجوم إكستشينج سيرفر على ما يقدر بنحو 30000 عميل حول العالم.[50][51] وفي يوليو 2021، أعلنت شركة سولارويندز أنها تعرضت للهجوم مرة أخرى.[52]

مايكروسوفت إكستشينج سيرفر

في فبراير 2021 ، حددت شركة مايكروسوفت أن المهاجمين قد قاموا بتنزيل بعض الملفات "(مجموعات فرعية من الخدمة، والأمن، والهوية)" كل منها من: [53]

  • "مجموعة فرعية صغيرة من عناصر أزور"
  • "مجموعة فرعية صغيرة من عناصر إنتون"
  • "مجموعة فرعية صغيرة من عناصر إكستشينج"

لا يحتوي أي من مستودعات مايكروسوفت على بيانات اعتماد الإنتاج. [53] تم تأمين مستودعات البرمجيات في ديسمبر، وتوقفت تلك الهجمات في يناير.[53] ومع ذلك، في مارس 2021، تم اختراق أكثر من 20000 منظمة أمريكية من خلال باب خلفي تم تثبيته عبر عيوب في إكستشينج سيرفر. [54] تستخدم المنظمات المتأثرة البريد الإلكتروني المستضاف ذاتياً (في الموقع بدلاً من المستند إلى السحابة) مثل الاتحادات الائتمانية وحكومات المدن والشركات الصغيرة. تم تصحيح العيوب في 2 مارس 2021، ولكن بحلول 5 مارس 2021، قامت 10٪ فقط من المنظمات المخترقة بتنفيذ التصحيح؛ بقي الباب الخلفي مفتوحاً. [55] يحاول المسؤولون الأمريكيون إخطار المنظمات المتضررة والتي هي أصغر من المنظمات التي تأثرت في ديسمبر 2020. [56]

قامت مايكروسوفت بتحديث أداة مؤشرات التسوية الخاصة بها، وأصدرت تدابير التخفيف في حالات الطوارئ لعيوب إكستشينج سيرفر الخاص بها. [50] يُعتقد حالياً أن الهجمات على سولارويندز وبرامج مايكروسوفت مستقلة، اعتباراً من مارس 2021. [50] تتيح أداة مؤشرات التسوية للعملاء فحص ملفات سجل إكستشينج سيرفر الخاصة بهم كحل وسط. [50][57][58] ما لا يقل عن 10 مجموعات مهاجمة تستخدم عيوب إكستشينج سيرفر. [59][60][1] يمكن أن تظل واجهة أوامر الويب على خادم مصحح؛ لا يزال هذا يسمح بالهجمات الإلكترونية بناءً على الخوادم المتأثرة. [61]اعتباراً من 12 مارس 2021، تتضاعف محاولات الاستغلال كل بضع ساعات، وفقاً لـ تشيك بوينت ريسيرش، [62] بعضها باسم الباحثين الأمنيين أنفسهم.[63]

بحلول 14 أبريل 2021، كان FBI قد أكمل عملية إلكترونية سرية لإزالة واجهات الويب من الخوادم المتضررة، وكان يُعلم مالكي الخوادم بما تم القيام به. [64]

في مايو 2021 ، حددت مايكروسوفت 3000 رسالة بريد إلكتروني ضارة إلى 150 منظمة في 24 دولة، والتي أطلقتها مجموعة أطلقت عليها مايكروسوفت اسم "نوبليوم". تم حظر العديد من رسائل البريد الإلكتروني هذه قبل التسليم. حصلت "نوبليوم" على حق الوصول إلى "حساب تسويق عبر البريد الإلكتروني للاتصال المستمر تستخدمه (الوكالة الأمريكية للتنمية الدولية)". [65] يؤكد باحثو الأمن أن "نوبليوم" يصنع رسائل بريد إلكتروني تصيد احتيالي يتم النقر عليها من قبل المستخدمين المطمئنين؛ ثم تقوم الروابط بتثبيت مباشر لشفرة "نوبليوم" الخبيثة لإصابة أنظمة المستخدمين، وجعلها عرضة للفدية والتجسس والمعلومات المضللة، وما إلى ذلك. [66] حددت حكومة الولايات المتحدة "نوبليوم" على أنه نابع من جهاز الأمن الفيدرالي الروسي. [67] بحلول يوليو 2021، من المتوقع أن تقوم حكومة الولايات المتحدة بتسمية بادئ هجمات إكستشينج سيرفر: [68] "وزارة أمن الدولة الصينية تستخدم متسللين إجراميين". [69][70]

في سبتمبر 2021، طلب موظفو إنفاذ قانون الأوراق المالية والبورصات (SEC) من أي شركة قامت بتنزيل أي تحديثات من سولارويندوز المخترقة، بتسليم البيانات طواعية إلى SEC إذا قاموا بتثبيت التحديثات المخترقة على خوادمهم. [71]

لغة ترميز تأكيد الأمان ذهبية

أظهرت Mandiant، وهي شركة أمنية، أن المجموعات التي ترعاها الدولة القومية، بمجرد حصولها على إمكانية الوصول إلى سحابة الشركة، يمكنها الآن استغلال لغة ترميز تأكيد الأمان ( SAML، للحصول على مصادقة موحدة لـ الدليل النشط والخدمات المماثلة، حسب الرغبة. [أ]

هجمات برامج الفدية

في مايو 2021، كشف هجوم ببرنامج الفدية على خط أنابيب كولونيال عن ضعف إمدادات البنزين الأمريكية على الساحل الشرقي. [73][74][75][76][77] في 16 يونيو 2021، حذر الرئيس بايدن الرئيس بوتين من أن 16 نوعاً من البنية التحتية ستكون محظورة على الهجمات الإلكترونية، وإلا ستعاني روسيا بالمثل. [78] ظهرت مجموعة من هجمات سلسلة التوريد وهجمات برامج الفدية في 2 يوليو 2021 في آلاف الشركات [78] في 17 دولة. [79] تمت كتابة كود REvil ransomware لتجنب إصابة المواقع التي تستخدم اللغة الروسية. [80] موقع REvil غير متصل الآن وفقاً لـ نيويورك تايمز .[52]

الوقاية

في 12 مايو 2021، كلف الأمر التنفيذي رقم 14028 (EO)، المتعلق بـ تحسين الأمن السيبراني للأمة، NIST وكذلك الوكالات الحكومية الأمريكية الأخرى بتعزيز الأمن السيبراني للولايات المتحدة. [81] في 11 يوليو 2021 (اليوم 60 من الجدول الزمني لـ EO)، قدم NIST، بالتشاور مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب الادارة والميزانية (OMB)، '4i': إرشادات لمستخدمي البرامج الهامة، بالإضافة إلى '4r': للحد الأدنى من اختبار البائعين لأمان وسلامة سلسلة توريد البرامج.[81]

  • اليوم 30: طلب المدخلات [82]
  • اليوم 45: تحديد 'البرامج الهامة' [83]
  • اليوم 60: EO مهمة 4i ،4r: إرشادات المستخدم واختبار البائعين [81]
  • اليوم 180: EO مهمة 4c : إرشادات لتحسين أمان برامج سلسلة التوريد
  • اليوم 270: EO مهمة 4e ،4s ،4t ،4u: إرشادات لتحسين برامج سلسلة التوريد
  • اليوم 360: EO مهمة 4d: إرشادات لمراجعة وتحديث إجراءات برنامج سلسلة التوريد
  • اليوم 365: EO مهمة 4w: دعم موجز للدليل

الحكومة

تم إقرار المبادرة الوطنية الشاملة للأمن السيبراني ومراجعة سياسة الفضاء الإلكتروني من قبل إدارتي بوش وأوباما على التوالي، وتمويلاً فيدرالياً أمريكياً مباشراً لتطوير مناهج متعددة الجوانب لإدارة مخاطر سلسلة التوريد العالمية.[84][85] وفقاً لأدريان ديفيس من مراجعة إدارة الابتكار التكنولوجي، فإن تأمين المنظمات من هجمات سلسلة التوريد يبدأ ببناء أنظمة مرنة على الإنترنت.[86] إن مرونة سلسلة التوريد، وفقاً لخبير إدارة مخاطر سلسلة التوريد دونال والترز، هي "قدرة سلسلة التوريد على التعامل مع الاضطرابات غير المتوقعة" وإحدى خصائصها هي الاعتراف على مستوى الشركة بالمكان الأكثر عرضة للتسلل في سلسلة التوريد. تلعب إدارة سلسلة التوريد دوراً مهماً في خلق مرونة سلسلة التوريد الفعالة. [87]

في مارس 2015، في ظل الائتلاف الحكومي الديمقراطي الليبرالي والمحافظ، حددت وزارة الأعمال في المملكة المتحدة جهوداً جديدة لحماية الشركات الصغيرة والمتوسطة من الهجمات الإلكترونية، والتي تضمنت تدابير لتحسين مرونة سلسلة التوريد. [88]

أنتجت حكومة المملكة المتحدة برنامج Cyber Essentials Scheme، الذي يدرب الشركات على الممارسات الجيدة لحماية سلسلة التوريد والأمن السيبراني بشكل عام. [89]

المؤسسات المالية

قامت مؤسسة ترست آند كليرنگ، وهي شركة أمريكية ما بعد التجارة، في عملياتها بتنفيذ حوكمة لإدارة نقاط الضعف في جميع أنحاء سلسلة التوريد الخاصة بها وإلقاء نظرة على أمن تكنولوجيا المعلومات طوال دورة حياة التطوير بأكملها؛ وهذا يشمل مكان ترميز البرامج وتصنيع الأجهزة. [90]

في تقرير صادر عن شركة برايس ووترهاوس كوبرز لعام 2014 بعنوان "التهديد الذكي: بناء مؤسسة مالية مرنة عبر الإنترنت"، أوصت شركة الخدمات المالية بالنهج التالي للتخفيف من هجوم إلكتروني:

"لتجنب الضرر المحتمل الذي قد يلحق بالنتائج النهائية للمؤسسة المالية وسمعتها والعلامة التجارية والملكية الفكرية، يحتاج الفريق التنفيذي إلى تولي مسؤولية المخاطر الإلكترونية. على وجه التحديد، يجب عليهم التعاون مسبقاً لفهم كيف ستدافع المؤسسة عن المخاطر السيبرانية وتستجيب لها، وما الذي يتطلبه الأمر لجعل مؤسساتهم مرنة على الإنترنت. [91]

شركات الأمن السيبراني

FireEye، شركة أمريكية لأمن الشبكات توفر تحليلات آلية للتهديدات وحماية ديناميكية من البرامج الضارة ضد التهديدات الإلكترونية المتقدمة، مثل التهديدات المستمرة المتقدمة والتصيد الاحتيالي، [92] توصي الشركات بوضع مبادئ معينة لخلق المرونة في سلسلة التوريد الخاصة بها، والتي تشمل:

  • قاعدة صغيرة من الموردين: هذا يسمح للشركة أن يكون لها سيطرة أكثر إحكاماً على مورديها.
  • ضوابط صارمة للموردين: فرض ضوابط صارمة على الموردين من أجل الالتزام بقوائم البروتوكول المعتمد. كما أن إجراء عمليات تدقيق في الموقع من حين لآخر في مواقع الموردين وقيام الأفراد بزيارة المواقع على أساس منتظم لأغراض العمل يسمح بمزيد من التحكم.
  • الأمان مدمج في التصميم: يجب تصميم ميزات الأمان، مثل أرقام التحقق، في البرنامج لاكتشاف أي وصول غير مصرح به سابقاً إلى الرمز. تعد عملية الاختبار التكراري للحصول على التعليمات البرمجية التي تم تقويتها وظيفياً والمعززة بالأمان نهجاً جيداً. [93]

في 27 أبريل 2015، تحدث سيرجي لوزكين ، كبير الباحثين الأمنيين في GReAT في كاسپرسكي لاب، عن أهمية إدارة المخاطر من الهجمات المستهدفة وحملات التجسس الإلكتروني، خلال مؤتمر حول الأمن السيبراني حيث قال:

"يجب أن تتضمن استراتيجيات التخفيف من التهديدات المتقدمة سياسات الأمان والتعليم وأمن الشبكة وإدارة النظام الشاملة وحلول الأمان المتخصصة، مثل ... ميزات تصحيح البرامج والتحكم في التطبيقات والقائمة البيضاء ووضع المنع الافتراضي". [94]


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

انظر ايضاً

الهوامش

المصادر

  1. ^ أ ب Maria Kotolov (4 Feb 2021) Supply chain attacks show why you should be wary of third-party providers
  2. ^ أ ب ت "Next Generation Cyber Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal". www.pipelineandgasjournal.com. Retrieved 2015-10-27.
  3. ^ أ ب "New malware hits ATM and electronic ticketing machines". SC Magazine UK. Retrieved 2015-10-29.
  4. ^ "2019 Internet Security Threat Report Executive Summary". Broadcom. Retrieved 2021-11-23.
  5. ^ Urciuoli, L., Männistö, T., Hintsa, J., & Khan, T. (2013). SUPPLY CHAIN CYBER SECURITY - POTENTIAL THREATS. Information & Security, 29(1), 51-68. Retrieved 2015-10-29
  6. ^ "Supply Chain Definition | Investopedia". Investopedia (in الإنجليزية الأمريكية). Retrieved 2015-11-04.
  7. ^ Supply chain, cyber security and geo-political issues pose greatest risks, as risk goes up in importance and profile say risk managers at sword active risk conference. (28 July 2015). M2 Presswire Retrieved on 2015-11-4
  8. ^ Napolitano, J. (6 January 2011). How to secure the global supply chain. Wall Street Journal Retrieved on 2015-11-4
  9. ^ أ ب Kuchler, Hannah (2014-05-28). "Cyber attackers 'target healthcare and pharma companies'". Financial Times. ISSN 0307-1766. Retrieved 2015-10-27.
  10. ^ "Drug theft goes big". Fortune. Retrieved 2015-11-04.
  11. ^ "Solving the Eli Lilly Drug Theft". www.securitymagazine.com. Retrieved 2015-11-04.
  12. ^ أ ب CERT-UK (2015). "Cyber-security risks in the supply chain" (PDF). Archived from the original (PDF) on 2015-02-18. Retrieved 2015-10-27.
  13. ^ BRAD D. WILLIAMS (July 01, 2021) US-UK Warn Of New Worldwide Russian Cyberespionage Context for some threat naming schemas: APT, GRU, Fancy bear, SVR, etc.
  14. ^ "2014 Data Breach Investigations Report" (PDF). Verizon Enterprise. 2014. Retrieved 2015-10-27.
  15. ^ Modine, Austin (10 October 2008). "Organized crime tampers with European card swipe devices". The Register. Retrieved 2015-10-27.
  16. ^ Gorman, Siobhan. "Fraud Ring Funnels Data From Cards to Pakistan". Wall Street Journal. ISSN 0099-9660. Retrieved 2015-10-27.
  17. ^ "Security Form" (PDF).
  18. ^ Nasir, Muhammad Ali (June 2015). "Potential cyber-attacks against global oil supply chain". 2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA). pp. 1–7. CiteSeerX 10.1.1.695.1707. doi:10.1109/CyberSA.2015.7166137. ISBN 978-0-9932-3380-7. S2CID 18999955. {{cite book}}: |journal= ignored (help)
  19. ^ Urciuoli, Luca (Apr 2015). "Cyber-Resilience: A Strategic Approach for Supply Chain Management". Talent First Network. ProQuest 1676101578.
  20. ^ Greenberg, Andy (2019-05-03). "A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree". Wired. ISSN 1059-1028. Retrieved 2019-07-16.
  21. ^ Cox, Joseph (2015-09-18). "Hack Brief: Malware Sneaks Into the Chinese iOS App Store". Wired. ISSN 1059-1028. Retrieved 2019-07-16.
  22. ^ "Fully Countering Trusting Trust through Diverse Double-Compiling". dwheeler.com. Retrieved 2019-07-16.
  23. ^ أ ب "Target data breach: Why UK business needs to pay attention". ComputerWeekly. Retrieved 2015-10-27.
  24. ^ Harris, Elizabeth A. (2014-02-26). "Data Breach Hurts Profit at Target". The New York Times. ISSN 0362-4331. Retrieved 2015-10-27.
  25. ^ "Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It". Bloomberg.com. 17 March 2014. Retrieved 2015-10-30.
  26. ^ Kuchler, Hannah (2014-10-20). "Hackers find suppliers are an easy way to target companies". Financial Times. ISSN 0307-1766. Retrieved 2015-10-27.
  27. ^ "Archived copy" (PDF). Archived from the original (PDF) on 6 نوفمبر 2015. Retrieved 27 أكتوبر 2015.{{cite web}}: CS1 maint: archived copy as title (link)
  28. ^ "Target Hackers Broke in Via HVAC Company — Krebs on Security". krebsonsecurity.com. Retrieved 2015-10-27.
  29. ^ "Target Offers $10 Million Settlement In Data Breach Lawsuit". NPR.org. Retrieved 2015-10-30.
  30. ^ "Confirmed: US and Israel created Stuxnet, lost control of it". Ars Technica. June 2012. Retrieved 2015-10-27.
  31. ^ "Iran was prime target of SCADA worm". Computerworld. 23 July 2010. Retrieved 2015-10-27.
  32. ^ reporter, Jonathan Fildes Technology; News, B. B. C. (23 September 2010). "Stuxnet worm 'targeted high-value Iranian assets'". BBC News. Retrieved 2015-10-27. {{cite news}}: |last2= has generic name (help)
  33. ^ Fildes, Jonathan (23 September 2010). "Stuxnet worm 'targeted high-value Iranian assets'". BBC News. Retrieved 23 September 2010.
  34. ^ "A Declaration of Cyber-War". VANITY FAIR. April 2011.
  35. ^ "Tyupkin Virus (Malware) | ATM Machine Security | Virus Definition". www.kaspersky.com. Retrieved 2015-11-04.
  36. ^ "Meet GreenDispenser: A New Breed of ATM Malware | Proofpoint". www.proofpoint.com. 22 September 2015. Retrieved 2015-10-30.
  37. ^ "New ATM Malware Captures PINs and Cash — Updated". WIRED. Retrieved 2015-10-30.
  38. ^ "Tyupkin: manipulating ATM machines with malware - Securelist". securelist.com. Retrieved 2020-05-19.
  39. ^ Polityuk, Jack Stubbs (3 July 2017). "Family firm in Ukraine says it was not responsible for cyber attack". reuters.com. Retrieved 2019-06-01.
  40. ^ "Customer data theft". britishairways.com. Retrieved 2019-06-01.
  41. ^ Christina Zhao (December 14, 2020). "Solar Winds, Probably Hacked by Russia, Serves White House, Pentagon, NASA". Newsweek. Retrieved 2020-12-14.
  42. ^ Sanger, David E.; Perlroth, Nicole; Schmitt, Eric (15 December 2020). "Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit". The New York Times.
  43. ^ Johnson, Kevin; Snider, Mike (18 Dec 2020). "Russian cyber attack against US: Worst may be yet to come, experts fear, as Trump remains mum". USA Today.
  44. ^ أ ب Department of Homeland Security (13 Dec 2020) Emergency Directive 21-01, "Mitigate SolarWinds Orion Code Compromise"
  45. ^ Rob Lever (18 Dec 2020) Massive cyberattack grows beyond US, heightening fears
  46. ^ أ ب Alex Marquardt, Brian Fung and Zachary Cohen, CNN (December 17, 2020) Microsoft identifies more than 40 organizations targeted in massive cyber breach
  47. ^ T.C. Sottek (Dec 31, 2020) Microsoft says hackers were able to see some of its source code
  48. ^ أ ب Ionut Ilascu (December 17, 2020) Nation-state hackers breached US think tank thrice in a row
  49. ^ Michael Trantas (Dec 2016) Vulnerability in Duo’s Authentication Proxy Server Software
  50. ^ أ ب ت ث Brad D Williams (6 Mar 2021) Microsoft Pushes Urgent Fixes Overnight As Threat Actors Compromise Exchange Servers Worldwide
  51. ^ Brad D Williams (29 Mar 2021) SolarWinds: ‘The Truth Is Much More Complicated’ Follow-on damage to US government by Russian op
  52. ^ أ ب The New York Times David E. Sanger (14 Jul 2021) "Ransomware group goes offline. The culprit is not yet clear." p.A6
  53. ^ أ ب ت Dan Goodin Ars Technica (2/18/2019) POST-MORTEM — Microsoft says SolarWinds hackers stole source code for 3 products
  54. ^ Brian Barrett (6 Mar 2021) China’s and Russia’s spying spree will take years to unpack
  55. ^ The_Exchange_Team Microsoft (8 March 2021) March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server 3/10/2021 released updates for: E2019 CU3. E2016 CU12, 13 and 17. E2013 CU21 and 22. 3/8/2021 released updates for: E2019 CU4, 5 and 6. E2016 CU14, 15 and 16.
  56. ^ Joseph Menn, Raphael Satter, Trevor Hunnicutt (5 Mar 2021) More than 20,000 U.S. organizations compromised through Microsoft flaw
  57. ^ Lily Hay Newman (10 March 2021) It’s Open Season for Microsoft Exchange Server Hacks
  58. ^ (9 March 2021) I can't believe I have to say this (again) ...
  59. ^ Reuters (March 2021) At least 10 hacking groups using Microsoft software flaw -researchers
  60. ^ Allana Akhar (12 Mar 2021) Google accused Microsoft of unfairly attacking the tech giant to distract from the massive Exchange hack Rival distractions
  61. ^ Dan Goodin (23 Mar 2021) Ransomware operators are piling on already hacked Exchange servers
  62. ^ Charlie Osborne (12 March 2021) Microsoft Exchange Server hacks ‘doubling’ every two hours
  63. ^ Shadowserver (28 Mar 2021) Attackers Breach 21,000 Microsoft Exchange Servers, Install Malware Implicating Brian Krebs (krebsonsecurity.com) malicious code spoofing Krebs
  64. ^ Brad D. Williams (13 Apr 2021) Revealed: Secret FBI Cyber Op To Clean Exchange Servers
  65. ^ Jill Disis and Zahid Mahmood (28 May 2021) Microsoft says SolarWinds hackers have struck again at the US and other countries
  66. ^ Lily Hay Newman (30 May 2021) The SolarWinds hackers aren’t back—they never went away
  67. ^ Dan Goodin (26 Jun 2021) SolarWinds hackers breach new victims, including a Microsoft support agent
  68. ^ Brad D Williams (2 Jul 2021) China Likely Outed Soon For Exchange Hacks
  69. ^ ERIC TUCKER (19 Jul 2021) Microsoft Exchange email hack was caused by China, US says
  70. ^ Brad D Williams (22 Jul 2021) US Playing Long Game To Pressure China On Cyber Ops: Experts
  71. ^ Christopher Bing and Chris Prentice, Joseph Menn (10 Sep 2021) Wide-Ranging SolarWinds Probe Sparks Fear in Corporate America (reuters.com)
  72. ^ Dan Goodin (6 Dec 2021) SolarWinds Hackers Have a Whole Bag of New Tricks For Mass Compromise Attacks
  73. ^ Reuters (8 May 2021) Cyber attack shuts down top U.S. fuel pipeline network
  74. ^ BBC (May 10, 2021) US Scrambles to Keep Fuel Flowing After Pipeline Cyberattack. Russian Cybercriminals Suspected
  75. ^ Dustin Volz (10 May 2021) U.S. Blames Criminal Group in Colonial Pipeline Hack Darkside
  76. ^ Associated Press (10 May 2021) US invokes emergency powers after cyberattack shuts crucial fuel pipeline
  77. ^ Brad D Williams (27 May 2021) DHS Cyber Order Signals Shift To ‘Mandatory Measures’
  78. ^ أ ب William Turton (3 July 2021) Massive Ransomware Attack May Impact Thousands of Victims°
  79. ^ AP (5 Jul 2021) World's Single-Biggest Ransomware Attack Hit 'Thousands' in 17 Countries
  80. ^ NBC news (7 July 2021) Code In Huge Ransomware Attack Written To Avoid Computers That Use Russian, Says New Report REvil. darkside is the Ransomware attacker of Colonial pipeline
  81. ^ أ ب ت (11 July 2021) NIST Delivers Two Key Publications to Enhance Software Supply Chain Security Called for by Executive Order
  82. ^ NIST (2-3 Jun 2021) Workshop and Call for Position Papers on Standards and Guidelines to Enhance Software Supply Chain Security 1400 participants, 150 position papers
  83. ^ NIST (25 Jun 2021) Definition of Critical Software Under Executive Order (EO) 14028 another NIST source: EXECUTIVE ORDER 14028, IMPROVING THE NATION'S CYBERSECURITY task 4g (26 Jun 2021) Critical Software Definition
  84. ^ "Cyberspace Policy Review" (PDF). Whitehouse.gov. Archived from the original (PDF) on 2009-05-30. Retrieved 2015-10-29.
  85. ^ "The Comprehensive National Cybersecurity Initiative". The White House. Retrieved 2015-10-29.
  86. ^ Davis, A. (2015). Building cyber-resilience into supply chains. Technology Innovation Management Review, 5(4), 19-27. Retrieved on 29-10-2015
  87. ^ Waters, D. 2011. Supply Chain Risk Management (2nd ed.). London: Kogan Page. Accessed 29-10-2015
  88. ^ "Cyber security insurance: new steps to make UK world centre - Press releases - GOV.UK". www.gov.uk. Retrieved 2015-10-30.
  89. ^ "Cyber Essentials - OFFICIAL SITE". www.cyberstreetwise.com. Retrieved 2015-10-30.
  90. ^ Hoover, J. N. (2009). Secure the cyber supply chain. InformationWeek, (1247), 45-46,48,50,52. Retrieved from 2015-10-29
  91. ^ "Threat smart: Building a cyber resilient financial institution" (PDF). FS Viewpoint. PwC. October 2014. Retrieved 4 June 2020.
  92. ^ "Advanced Cyber Security - Stop Cyber Attacks | FireEye". FireEye. Retrieved 2015-10-30.
  93. ^ "BEST PRACTICES IN CYBER SUPPLY CHAIN RISK MANAGEMENT" (PDF). Retrieved 2015-10-30.
  94. ^ "Kaspersky Lab and EY Warn Organizations to Get Prepared for Cyberthreats | Kaspersky Lab". www.kaspersky.com. Retrieved 2015-10-30.

وصلات خارجية