Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность атаки на цепочку поставок программного обеспечения

Злоумышленники могут манипулировать (изменять) программное обеспечение до его получения конечным потребителем.
Компрометация программного обеспечения в цепочке поставок может происходить несколькими способами, включая манипулирование исходным кодом приложения, манипулирование механизмом обновления / распространения этого программного обеспечения или замену скомпилированных выпусков модифицированной версией.

Так же могут быть скомпрометированы (изменены) зависимости программного обеспечения и средства разработки.
Например, популярные проекты с открытым исходным кодом, которые используются в качестве зависимостей во многих приложениях могут быть использованы для добавления вредоносного кода.

Каталоги угроз

Техники ATT@CK:
T1195.001 Supply Chain Compromise: Compromise Software Dependencies and Development Tools
Adversaries may manipulate software dependencies and development tools prior to receipt by a final consumer for the purpose of d...
T1195.002 Supply Chain Compromise: Compromise Software Supply Chain
Adversaries may manipulate application software prior to receipt by a final consumer for the purpose of data or system compromis...

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности атаки на цепочку поставок программного обеспечения в программном обеспечении
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность атаки на цепочку поставок программного обеспечения Программное обеспечение