В последнее время все чаще возникает парадоксальная ситуация: подрядчики по внедрению систем информационной безопасности (ИБ) и разработчики софта сами попадают под прицел хакеров и становятся слабым звеном в цепи корпоративной безопасности. Обсудили с ИБ-архитектором компании «ИТ-Экспертиза» Алексеем Холоповым, почему атаки через подрядчиков вошли в топ-6 техник киберпреступников и как взлом доверенного партнера становится инструментом массовой атаки на его клиентов.
Многие компании, приглашая для защиты своих информационных ресурсов профильную организацию, доверяют ей на 100% и видят в ней безусловную опору и поддержку. В этом есть свой резон: ИБ-интегратор – это сонм экспертов, глубоко понимающих, КАК надо выстроить защиту информации и реализовать проект «под ключ». А их долгосрочные связи с вендорами, позволяющие рассчитывать на скидки и бонусы, делают такое сотрудничество настоящим кладезем преимуществ. Кстати, это вполне справедливо как для поставщиков в области информационной безопасности, так и для разработчиков специализированного (проприетарного) ПО и специалистов по кастомизации программного обеспечения.
К сожалению, факты говорят, что в прошлом году у киберпреступников в топ-6 самых популярных техник получения первоначального доступа к информационным ресурсам российских компаний впервые вошли атаки через подрядчиков. Число таких атак в три раза больше, чем годом раньше, и, по прогнозам аналитиков, этот тренд заметно усиливается. Зависимость российских компаний от сторонних подрядчиков только растет. А хакеры, понимая, что атаковать крупные компании с их сильной защитой сложно и дорого, переключаются на их подрядчиков и субподрядчиков.
По данным ТАСС, в I квартале этого года кибератаки на российские компании через ИТ-инфраструктуру подрядчиков выросли на 80% по сравнению с прошлым годом. И если раньше хакеры целились именно в самих подрядчиков, то теперь их используют как связующее звено для массовых атак на всех их клиентов. Парадокс в том, что уязвимыми для кибератак становятся даже те компании, которые специализируются на информационной безопасности и имеют собственные надежные средства защиты. Как пишут «Ведомости», у 55% подрядчиков как минимум один сетевой порт для доступа из интернета недостаточно защищен. В результате получается, атаки идут через тех, кому доверяли больше всего.
Причин уязвимости несколько: разработка и поддержание средств защиты требует колоссальных ресурсов, а ИБ-интеграторы, как и любой бизнес, ограничены бюджетом и штатом. Фокусируясь на создании продуктов для клиентов, они могут недооценивать необходимость применения тех же решений внутри своей организации.
До недавнего времени подрядчики интуитивно считали, что атаковать их целенаправленно не будут: много денег не возьмешь, секретных данных нет. Кроме того, в таких компаниях существует иллюзия безопасности – разработчики, ежедневно работающие с кодом, полагают, что хорошо осведомлены о потенциальных и способны их предотвратить, что приводит к пренебрежению даже базовыми мерами безопасности, таким как регулярное обновление программного обеспечения, использование надежных паролей и антивирусного обеспечения.
Не стоит забывать и о динамичности изменения современных угроз – что было надежной защитой вчера, сегодня легко обойти. ИБ-компании, будучи в курсе последних тенденций, иногда забывают о необходимости своевременного обновления собственных систем и процессов безопасности.
Довольно часто подрядчику дают доступ во внутреннюю сеть компании-заказчика для техподдержки ИТ-инфраструктуры или отладки ПО (контур разработчика). Для входа иногда используются небезопасные каналы (вплоть до бесплатного канала в кофейне), в контуре разработчика крутится «боевая» информация, а подрядчику предоставляется полный доступ на узлах, администрирование проводится при помощи утилит удалённого доступа. А у подрядчика – неконтролируемый доступ в интернет. Такая ситуация особенно опасна для субъектов критической инфраструктуры и госкомпаний.
Получается, что организация вкладывает большие средства в кибербезопасность, а ее подрядчик, призванный обеспечивать защиту, сам может стать причиной утечек. Поэтому критически важно контролировать как действия исполнителей, так и защищенность их инфраструктуры. Как это сделать – отдельная тема для размышлений.
Кибератаки на подрядчиков, в том числе ИБ-интеграторов, связаны с техническими уязвимостями, человеческим фактором и недостатком контроля за их действиями. Среди причин, влияющих на уязвимость инфраструктуры компаний-заказчиков, и которые хакеры могут использовать для атак можно назвать следующие:
- устаревшие версии программного обеспечения, используемого подрядчиком или не обновляемая «прошивка» аппаратной части его инфраструктуры
- нестандартные сценарии использования программного обеспечения и оборудования, недостаточное тестирование этих элементов инфраструктуры подрядчика
- слабые пароли, используемые для учетных записей сотрудников подрядчика
- использование сотрудниками исполнителя личных компьютеров, не имеющих достаточного уровня защиты, для работы в инфраструктуре заказчика или контуре разработчика
- несоблюдение, игнорирование или небрежное выполнение правил обеспечения безопасности информации, установленных в компании-заказчика
- отсутствие должного внимания к контролю и мониторингу состояния безопасности информации со стороны ИБ-служб подрядчика, что может привести к запоздалому реагированию или пропуску инцидентов
- определить и контролировать правила (политику) обеспечения безопасности информации не только для внутреннего использования, но и обязательную для всех подрядчиков
- иметь возможность выдавать сигнал системе обеспечения безопасности информации компании-заказчика на действия с «чужим» компьютером (блокировку доступа, перевод в особую карантинную зону)
К сожалению, при удаленном подключении сотрудников подрядчика нельзя в полной мере полагаться лишь на их добросовестность и организационные барьеры. Человеческий фактор остается ключевым риском.
Хорошо работает то, что нельзя обойти. Когда контролируешь – только тогда доверяешь. Для сотрудника, ответственного за обеспечение инфобезопасности компании-заказчика, нужен технический инструмент, позволяющий желательно в реальном времени оценивать ситуацию и принимать корректирующие меры. Оценив складывающуюся ситуацию, мы решили не ждать пока «грянет гром» – и к реализуемым компанией-заказчиком мерам защиты инфраструктуры предложили добавить свой продукт – программный комплекс информационной безопасности САКУРА.
Наша ИБ-система позволяет получать те параметры рабочих мест, которые заказчик считает ключевыми. В реальных внедрениях параметров безопасности может быть более 200. По результатам проверок ограничивается доступ к корпоративным ресурсам и уведомляются ИБ-специалисты. Кроме того, в последних версиях комплекса САКУРА реализован доступ к ресурсам компании через VPN-туннель с применением двухфакторной аутентификации пользователя на основе мобильного приложения «САКУРА 2FA».
Стандартная версия ПК ИБ САКУРА позволяет контролировать:
- время начала и окончания работы пользователя
- используемые приложения и процессы
- периоды активной работы и неактивности
- способ подключения к рабочему месту (локальный/удаленный)
- географическое местоположение рабочих мест
- выполнять «скриншоты» при наступлении подозрительного события
- уведомлять пользователя (если необходимо) о том, что его действия нарушают правила безопасности информации
- интегрироваться с любыми аналитическими инструментами для проведения дополнительного анализа.
Мы продолжаем совершенствовать наш продукт и уверены, что с каждым годом САКУРА будет служить еще более надежным щитом перед хакерскими атаками.
Алексей Холопов, архитектор информационной безопасности,
«ИТ-Экспертиза»
Будет интересно:
– Доверяй, но проверяй: как предотвратить утечку корпоративных данных– Культура комплаенса: как создать среду, где соблюдение правил становится нормой
– Реагирование на инциденты: как не провалить тест на безопасность
Самое актуальное и интересное – у нас в telegram-канале!