Атака на цепочку поставок

Это незавершённая статья. Вы можете помочь проекту, исправив и дополнив её.

Атака на цепочку поставок — вид конкурентной атаки, направленной на цепочку поставок, используемую атакуемой стороной.

Атаки на цепочку поставок признаны нарушить тем или иным способом цепочку поставок у атакуемой стороны.

В зависимости от цели и способа проведения атаки такое нарушение может быть направлено или на прямое прекращение производства атакуемого субъекта, или на внедрение в производимый им продукт тех или иных вредоносных компонентов.

В силу общности характера подобных атак можно говорить о том, что атака на цепочку поставок возможна и в отношении информационной производственной системы, и в отношении материальной производственной системы, а также на непроизводственные системы через вклинивание в их материальное обеспечение на этапе производства. Примером последнего типа атаки является израильская операция по предоставлению и последующему подрыву коммуникационных устройств организации «Хезболла».

Атаки на информационные производственные системы[править | править код]

Большая часть современных атак на цепочку поставок информационных производственных систем опирается на вредоносные изменения^[1], вносимые в код внешних библиотек и программных пакетов, которые используются в пайплайне разработки программного продукта. Поскольку в современной разработки в абсолютном большинстве случаев используется подгрузка этих библиотек из Интернет, а число их велико и прямого контакта с их мейнтейнерами у разработчиков атакуемого продукта нет, атакуемые разработчики теряют обозримость происходящего, чем и пользуются злоумышленники.

Слопсквотинг[править | править код]

• Слопсквотинг — специфический вид атаки на цепочку поставок, подразумевающий создание (как правило вредоносных) пакетов и библиотек, с именами, нагалюциннированными LLM^[2].

Атаки на материальные производственные системы[править | править код]