Троянский конь киберпреступников: взломать через подрядчика

Согласно исследованию ИБ-рынка от центра экспертизы и дистрибуции цифровых технологий Axoft, всего 27% представителей малого бизнеса уделяют внимание обучению сотрудников работе с ИБ-продуктами. А тем временем атаки через цепочку поставок — практически открытое окно для злоумышленников. Даже если крупная организация защищает свой периметр, но ее контрагент пренебрегает мерами безопасности, то появляется шанс взломать большой бизнес через маленькую компанию. Можно ли избежать подобных историй и как сделать так, чтобы контур взаимодействия между компаниями окончательно не размылся? Разбираем вместе с экспертами ИТ-отрасли в проекте «Алло, Axoft!».

Почему подрядчики — такой лакомый кусок? Через них атаковать не слишком дорого и не очень сложно — легко заскочить как через некое доверенное лицо. Цифры от «Информзащиты» говорят, что чаще всего подобные атаки фиксируются в промышленности (41%), ретейле (32%), энергетике (15%) и высокотехнологичных компаниях (12%). Здесь подрядчики и поставщики нередко имеют прямой доступ к критически важным системам, что делает их удобной целью, среди факторов роста атак — активная цифровизация бизнеса, использование продуктов на базе открытого кода и новые BB-инструменты.

«При этом, нашим данным, крупный бизнес все же более ответственно подходит к обучению своих сотрудников в области security awareness, проводя ежемесячные и ежеквартальные семинары (32%), а также различные инструктажи (71,4%). Тем не менее, 57% респондентов из промышленного сектора признались, что не проводят никаких мероприятий, связанных с security awareness. А вот государственные и бюджетные организации (31%), а также финансовый сектор (38%) на регулярной основе проводят обучение сотрудников. И для 40% респондентов из госсектора этот момент критически важен», — подчеркивает Константин Симаков, руководитель направления аналитики компании Axoft.

Таким образом, непреложный закон кибербезопасности гласит: атакуют самого слабого, поэтому если тебя настиг в лесу медведь — беги быстрее других, а если тебя атакуют киберпреступники — стань самым защищенным среди наименее защищенных. Однако экосистемы поставок становятся все сложнее, а это значит, что в цепочку вовлекается все больше подрядчиков, сервисов и каналов, через которые можно проникнуть в инфраструктуру. Взломав одного поставщика, злоумышленники получают доступ сразу к множеству крупных клиентов.

Эксперты предполагают, что снизить риски может регламент взаимодействия с контрагентами, который чаще всего отсутствует даже в тех компаниях, где безопасность на высоком уровне и действуют «регламенты регламентов по ИБ». Такой документ будет формировать кодекс этичного поставщика и указывать не только на финансовую благонадежность, но и на проводимые аудиты на соответствие безопасности — с какой регулярностью и какого характера. Кроме того, бизнес сегодня уже смотрит не только на сам продукт, но и насколько он безопасен. Поэтому распространяются практики безопасной разработки и использование метода статического анализа безопасности приложений (SAST). Тем не менее, надо помнить, что даже наличие соответствующего сертификата не говорит о том, что код действительно безопасен, но снижает вероятность того, что такой код написан «криво».

«Когда речь идет о контролировании подрядчиков и их работе в контуре заказчика, в первую очередь, что приходит в голову — PAM-система. C помощью нее мы можем следить за тем, какие работы или процедуры выполняет подрядчик, можем ограничивать его область действий. Также в некоторых решениях есть возможность детектирования аномалий — в системе создается «портрет» пользователя на основании его поведения при взаимодействии с целевыми ресурсами. Аномалией может считаться как какое-то конкретное действие, так и цепочка отдельных легитимных действий, которые в совокупности могут быть инцидентом безопасности. Еще стоит отметить довольно интересную вещь в PAM-системах — это возможность сегментирования сети. Даже если злоумышленник уже получил определенные права доступа, сегментация сети существенно затруднит ему дальнейшее проникновение и взаимодействие с ресурсами системы», комментирует Алексей Забиронин, руководитель направления отдела общей ИБ компании Axoft.

Заместитель директора по развитию бизнеса компании АйТи Бастион Константин Родин считает, что зрелость заказчика должна быть ступенчатой, и компания, которая реально заботится о своей безопасности, должна пройти логичный путь развития:

«PAM-система не серебряная пуля, как и любое отдельное решение ИБ. Главное понимать, зачем защита выстраивается. У меня есть положительный пример, когда внешние подрядчики подключались в контур, где была система выстроенных шлюзов, и на компьютере у исполнителя проводился комплаенс безопасности. Как результат, интегрированное решение NGFW+PAM делало выбор — к какому шлюзу его подключить и какие права выдать. От понимания проблемы заказчик легко пришел к надежному и удобному решению сложного вопроса — как безопасно организовать подключение контрагентов к контуру компании».

При этом, когда компании стремятся обезопасить верхний уровень системы безопасности, то часто забывают про какие-то более низкоуровневые и самые простые способы: фишинг и социальную инженерию, которые более эффективны и чаще всего требуют меньше денег для взлома. Некоторые заказчики полагают, что достаточно установки антивируса или NGFW, и обосновать затраты на другие средства защиты им порой сложно. Однако попытки злоумышленников проникнуть через «задний двор» в виде поставщиков заставляют задуматься и о том, как лучше в целом обезопасить периметр, и о превентивных мерах, которые минимизируют потери при кибератаках.

«Для снижения рисков при атаках на цепочки поставок можно застраховать ответственность перед третьими лицами, обеспечив финансовые компенсации в случае взлома. Параллельно необходимо системно работать над безопасностью контрагентов. В регламентах при этом крайне важно отражать специфику бизнеса: ключевые бизнес-процессы и что вы реально защищаете. Поэтому первым шагом является определение критичности информационных систем, а затем — сегментация прав доступа к ним», — объясняет Алексей Горелкин, генеральный директор Phishman.

Эксперты также сходятся во мнении, что обоснование приобретения средств безопасности — вопрос не только конкретного продукта, но и киберкультуры. Когда сотрудник с высоким уровнем привилегий знает, как работает PAM-система, которая даже его работу может обозначить как «нетипичное поведение» и расследовать сложные цепочки действий, то он поневоле задумается о рисках. А если такой информацией обладает и топ-менеджер, принимающий решение о покупке, то он точно будет знать, для каких целей необходимо приобрести те или иные системы.