Недавнее нарушение Цель безопасности Восточной Европы ATM вредоносных программ, а также компьютерный червь Stuxnet примеры цепочки поставок атак.
Специалисты по управлению цепочками поставок рекомендуют строгий контроль сети питания учреждения , в целях предотвращения возможного ущерба от киберпреступников.
Цепь поставок представляет собой систему мероприятий , связанные с погрузочно - , распределяющим, производством и переработкой товаров для того , чтобы переместить ресурсы от поставщика в руки конечного потребителя. Цепь поставок представляет собой сложную сеть взаимосвязанных игроков , регулируемых спросом и предложением .
Хотя цепи поставок атака представляет собой широкий термин , не универсально согласованного определения, в отношении кибер-безопасности, цепь атаки питания включает в себя физически фальсификация электроники (компьютеры, банкоматы, системы питания, сети заводских данных) в для того чтобы установить незаметные вредоносный с целью доведения вреда игроку далее вниз по сети цепи поставок.
В более общем смысле цепи атака питания не обязательно может включать в себя электронику. В 2010 году , когда грабители получили доступ к фармацевтический гигант Eli Lilly в склад снабжения, путем высверливания отверстия в крыше и загружая 80 миллиона долларов по рецепту лекарств в грузовик, они могли бы также было сказано , чтобы провести атаку цепи поставок. Тем не менее, эта статья будет обсуждать кибер - атаку на физических сетях , которые полагаются на технологию; следовательно, цепь питания атака является методом , используемым кибер-преступниками .
Рамочная Attack
Как правило, цепочки поставок атаки на информационные системы начинают с развитой постоянной угрозы , которая определяет элемент сети питания с самым слабым кибер - безопасности, чтобы воздействовать на целевую организацию. Согласно исследованию производимого Verizon предприятия, 92% инцидентов безопасности кибер - проанализированных в их обследовании отмечено среди малых фирм. Согласно Dell SecureWorks, путем ориентации небольших фирм со слабыми управления системой безопасности, очень сложные атакующие способны нанести серьезный ущерб финансовым активам организаций и интеллектуальной собственности посредством следующего процесса:
Выбор конкретной организации в качестве цели
Попытка, чтобы получить «по колено в двери» через поставщика
Используйте взломанные системы поставщика к нарушению сети передачи данных цели
Развертывание дополнительных инструментов, которые помогают выполнить цели атаки
Self-удалить вредоносные программы, чтобы скрыть следы, чтобы сохранить доступ для будущих атак
APT часто может получить доступ к конфиденциальной информации путем физического вмешательства с производством продукта. В октябре 2008 года , еврочиновники правоохранительные «раскрыл сложного мошенничество кредитной карты кольцо» , который похитил реквизиты клиента используя безвестно устройств вставленных в читатель кредитной карты , сделанных в Китае , чтобы получить доступ к учетной информации и сделать повторяла банковские переводы и интернет -покупки, на сумму около $ 100 млн убытков.
