Innostage подготовила план защиты от атак через поставщиков
Эксперты Центра противодействия киберугрозам Innostage SOC CyberART дают рекомендации, как защитить инфраструктуру бизнеса, подрядчик которого атакован хакерами
Российские ИТ-компании по-прежнему пользуются повышенным вниманием хакеров. Недавно они совершили атаку на одного из крупнейших производителей ПО — поставщика для многих российских заказчиков. В этой связи компания Innostage сформировала перечень мер для предотвращения возможных атак через скомпрометированного подрядчика.
ИТ-инфраструктура одного из крупнейших разработчиков корпоративного ПО предположительно подверглась активной атаке в период с 29 сентября по 2 октября. Инцидент нейтрализован, компрометации подверглись несколько серверов внутренних систем компании с некритичной информацией. Стенды разработки, продукты компании, тестовые стенды заказчиков и доступы в сети заказчиков не были скомпрометированы и находятся в безопасности.
Чтобы защитить инфраструктуру своего бизнеса, в случае достоверно известной атаки на подрядчика или поставщика, эксперты Центра противодействия киберугрозам Innostage SOC CyberART рекомендуют выполнить ряд последовательных шагов.
«В первую очередь следует приостановить предоставление удаленного доступа из инфраструктуры скомпрометированного поставщика. Если это невозможно, следует ввести многофакторную идентификацию, контроль привилегированного доступа и установить минимальные привилегии и сетевые доступы. Не менее важно произвести обновление аутентификационных данных», — отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Кроме того, эксперты компании рекомендуют проинформировать пользователей о мерах защиты от фишинга, провести аудит интеграций решений атакованного подрядчика с ИТ-инфраструктурой компании и получить список сервисных аккаунтов или токенов, используемых для этих интеграций.
Среди других важных мер — подтверждение наличия у всех сервисных аккаунтов или токенов минимально необходимых привилегий, аннуляция избыточных и внеплановая смена аутентификационных данных.
Что касается доменной Windows-инфраструктуры, то необходимо выполнить обновление аутентификационных данных привилегированных аккаунтов и анализ варианта их размещения в доменной группе «Protected Users» для отключения возможности использования некриптостойких алгоритмов шифрования и аутентификации по NTLM.
В качестве действенной профилактической меры компаниям рекомендуется проводить регулярный ИБ-аудит своих подрядчиков, партнеров, дочерних и зависимых обществ. В частности, сама Innostage, будучи поставщиком ИТ-услуг для крупного заказчика из банковской сферы, сейчас проходит такую проверку в формате пентеста (тестирования на проникновение). В дополнение к программе открытых кибериспытаний, где Innostage участвует с мая 2024 года, и проверке тремя титулованными командами-призерами кибербитв Standoff, это дает всестороннее комплексное тестирование киберустойчивости и подтверждает надежность компании как системного интегратора, поставщика ИТ-услуг и решений.