Wróć do encyklopedii
Zagrożenie krytyczne — wysoki priorytet obrony
Łańcuch dostaw
Krytyczny
ZarządCISOIT

Atak na łańcuch dostaw

Supply Chain Attack

Supply chain attack — atak przez zaufanego dostawcę oprogramowania lub usług IT. Jeden kompromis może dotknąć tysiące firm.

2 min czytaniaPrzykład: SolarWinds Orion — 18 000 organizacji skompromitowanych przez aktualizację (2020)
Udostępnij
Atak na łańcuch dostaw

MITRE ATT&CK

Kluczowe wnioski

  • Atak supply chain kompromituje zaufanego dostawcę — przez aktualizację oprogramowania atakuje tysiące firm jednocześnie
  • SolarWinds (2020) dotknął 18 000 organizacji, w tym agencje rządowe USA
  • NIS2 wymaga zarządzania ryzykiem dostawców i audytów łańcucha dostaw
  • Obrona: audyt dostawców, zero trust, segmentacja, monitoring behawioralny

Czym jest atak na łańcuch dostaw?

Atak na łańcuch dostaw (Supply Chain Attack) to technika, w której atakujący kompromituje zaufanego dostawcę oprogramowania lub usług IT, aby przez niego dotrzeć do właściwego celu. Złośliwy kod trafia do organizacji-ofiary przez oficjalną aktualizację oprogramowania, co sprawia, że jest niezwykle trudny do wykrycia.

To jeden z najniebezpieczniejszych typów ataków, ponieważ jedno udane włamanie do dostawcy może jednocześnie skompromitować tysiące lub setki tysięcy jego klientów.

Jak działa atak?

  1. Kompromitacja dostawcy — atakujący włamuje się do firmy tworzącej oprogramowanie (np. przez phishing lub podatność)
  2. Modyfikacja kodu — wstrzykuje złośliwy kod do procesu budowania oprogramowania (build pipeline)
  3. Dystrybucja — zainfekowana aktualizacja trafia do klientów jako "oficjalna" wersja
  4. Aktywacja — złośliwy kod uruchamia się w sieciach klientów, tworząc backdoory
  5. Eksploatacja — atakujący uzyskuje dostęp do wybranych celów spośród tysięcy zainfekowanych organizacji

Kogo dotyczy w Polsce?

  • Każda firma korzystająca z oprogramowania — a więc praktycznie każda
  • Firmy IT i MSP — dostawcy usług zarządzanych są częstym celem (1 MSP = dostęp do setek klientów)
  • Sektor publiczny — urzędy korzystające z oprogramowania od polskich i zagranicznych dostawców
  • Podmioty NIS2 — regulacja wymaga zarządzania ryzykiem łańcucha dostaw

Jak się chronić?

  1. Audyt dostawców — kwestionariusz bezpieczeństwa, certyfikaty ISO 27001/SOC 2
  2. Zero Trust — nie ufaj oprogramowaniu automatycznie, monitoruj zachowanie
  3. Segmentacja sieci — ogranicza dostęp oprogramowania do potrzebnego minimum
  4. Monitoring behawioralny — EDR/XDR wykrywa nietypowe zachowania po aktualizacjach
  5. Wymagania umowne — SLA bezpieczeństwa w umowach z dostawcami

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje zachowanie oprogramowania i wykrywa anomalie po aktualizacjach
  • Ocena ryzyka dostawców — audyty zgodne z wymogami NIS2
  • Microsoft Defender for Endpoint — monitoring procesów i komunikacji sieciowej
  • Zero Trust Architecture — implementacja polityk najmniejszych uprawnień

Zamów audyt bezpieczeństwa łańcucha dostaw.

Supply ChainSolarWindsThird Party RiskNIS2

Najczęściej zadawane pytania

Czym jest atak na łańcuch dostaw?
Atakujący zamiast atakować Twoją firmę bezpośrednio, kompromituje Twojego dostawcę oprogramowania lub usług IT. Złośliwy kod trafia do Twojej firmy przez zaufaną aktualizację. To jak zatruwanie źródła wody zamiast indywidualnych butelek.
Jak NIS2 reguluje bezpieczeństwo łańcucha dostaw?
NIS2 (art. 21) wymaga od podmiotów kluczowych i ważnych zarządzania ryzykiem w łańcuchu dostaw ICT. Oznacza to audyty bezpieczeństwa dostawców, wymagania umowne (SLA bezpieczeństwa) i monitoring ryzyka third-party.
Jak sprawdzić bezpieczeństwo dostawcy IT?
Żądaj certyfikatów (ISO 27001, SOC 2), przeprowadź audyt bezpieczeństwa lub kwestionariusz oceny ryzyka, sprawdź historię incydentów. NIS2 wymaga udokumentowania oceny ryzyka dostawców.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Kradzież tożsamości
Wysoki

Credential Stuffing — atak na hasła

2 min czytania

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Ataki sieciowe
Średni

Evil Twin Wi-Fi — fałszywa sieć

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań