Атаки на компанию, ведущиеся через поставщиков и подрядчиков, становятся все масштабнее. Как управлять этим риском?
Старая пословица «Цепь крепка лишь настолько, насколько крепко ее самое слабое звено» имеет прямое отношение к кибербезопасности предприятий.
У любого современного бизнеса — десятки и сотни поставщиков и подрядчиков, которые в свою очередь пользуются услугами и товарами других поставщиков и подрядчиков. Если по этой цепочке перемещается не сырье, а технологичные ИТ-продукты, то гарантировать их безопасность становится очень сложно. Этим пользуются злоумышленники, которые компрометируют одно из звеньев цепочки, чтобы добраться до ее начала, то есть до своей главной цели.
Для бизнес-лидеров и руководителей ИБ и ИТ очень важно понимать риски, связанные с атаками на цепочку поставок, чтобы эффективно управлять этими рисками.
Возможные разновидности атаки:
Во-первых, компрометация поставщика создает уникальный по скрытности и эффективности канал доступа, как доказали атаки на ПО SolarWinds Orion, широко используемое в крупных американских корпорациях, и компрометация облачных систем Microsoft, которая привела к утечке e-mail из нескольких министерств США. Такой вариант атаки особенно любят охотники за чужой информацией.
Во-вторых, успешная компрометация одного популярного приложения или сервиса открывает им доступ к взлому сразу десятков, сотен или тысяч организаций. Эта особенность на руку тем, кто мотивирован финансовой выгодой, например банды операторов ransomware. Одним из наиболее резонансных взломов этого типа стала атака ИТ-поставщика Kaseya группировкой REvil.
Тактическим преимуществом атак, эксплуатирующих доверенные отношения, являются практические последствия этого доверия: приложения и IP-адреса скомпрометированного поставщика, скорее всего, находятся в списках разрешенных (allowlists), действия, совершаемые с учетных записей, выданных поставщику, реже классифицируются как подозрительные центром мониторинга и так далее.
Особо отметим случаи, которые формально не являются атакой на цепочку поставок, — атаку на важных технологических провайдеров конкретной индустрии. Примеров только в 2024 году было несколько, самым ярким является кибератака на Change Healthcare, крупнейшую компанию, ответственную за обработку финансовых и страховых документов в медицинской индустрии США.
Клиентов Change Healthcare не взламывали, но, пока атакованная компания месяц восстанавливала свои системы, оказание медпомощи в США было частично парализовано, а недавно выяснилось, что жертвами утечки конфиденциальных медицинских данных стали 100 млн человек. В данном случае массовые проблемы у клиентов являются фактором давления на атакованную компанию, побуждающим ее выплатить выкуп.
В их числе: прямые расходы на расследование инцидента и устранение его последствий, штрафы и расходы на работу с регуляторными органами, репутационный ущерб, возможная компенсация ущерба клиентам. Операционные сбои, вызванные такими атаками, также могут привести к значительным потерям производительности и проблемам с непрерывностью бизнеса.
Возвращаясь к уже приведенным примерам: допустившему крупную утечку данных Ticketmaster грозит несколько многомиллиардных исков, за расшифровку данных жертв атаки на Kaseya преступники потребовали $70 млн, а оценки ущерба от атаки на SolarWinds варьируются от $12 млн для каждой атакованной компании до $100 млрд суммарно.
Ключевые департаменты, которые должны быть вовлечены в эту работу:
Только применяя превентивные меры в масштабе всей организации и стратегически подходя к партнерству с поставщиками и подрядчиками, компании могут значительно снизить эти риски и обеспечить бизнесу необходимую устойчивость.
Старая пословица «Цепь крепка лишь настолько, насколько крепко ее самое слабое звено» имеет прямое отношение к кибербезопасности предприятий.
У любого современного бизнеса — десятки и сотни поставщиков и подрядчиков, которые в свою очередь пользуются услугами и товарами других поставщиков и подрядчиков. Если по этой цепочке перемещается не сырье, а технологичные ИТ-продукты, то гарантировать их безопасность становится очень сложно. Этим пользуются злоумышленники, которые компрометируют одно из звеньев цепочки, чтобы добраться до ее начала, то есть до своей главной цели.
Для бизнес-лидеров и руководителей ИБ и ИТ очень важно понимать риски, связанные с атаками на цепочку поставок, чтобы эффективно управлять этими рисками.
Что такое атака на цепочку поставок?
Атака на цепочку поставок происходит, когда злоумышленник проникает в системы организации, скомпрометировав доверенного стороннего поставщика ПО или сервис-провайдера.Возможные разновидности атаки:
- известное ПО, разрабатываемое поставщиком и используемое целевой организацией или множеством компаний, модифицируется, чтобы выполнять задачи атакующего. После установки очередного обновления в нем оказывается недекларированная функциональность, которая позволяет скомпрометировать организацию. Широко известные примеры такой атаки: компрометация ПО и . В этом году стало известно о попытке самой масштабной атаки такого типа, к счастью неудачной, — ;
- злоумышленники находят корпоративные учетные записи, используемые сервис-провайдером для работы в системах организации, и применяют их для проникновения в компанию и выполнения атаки. Например, через аккаунт, выданный поставщику кондиционеров, был взломан гигант американской торговли Target;
- злоумышленник компрометирует облачного провайдера или эксплуатирует особенности инфраструктуры облачного провайдера, чтобы получить доступ к данным организации. Самый громкий кейс этого года — компрометация более полутора сотен клиентов облачного сервиса Snowflake, которая привела к утечке данных сотен миллионов пользователей Ticketmaster, банка Santander, AT&T и других. Другая атака с резонансными и масштабными последствиями — взлом провайдера сервисов аутентификации Okta;
- атакующий эксплуатирует делегированные подрядчику полномочия в облачных системах, например в Office 365, чтобы получить контроль за документами и перепиской организации;
- злоумышленник компрометирует специализированные устройства, принадлежащие подрядчику или администрируемые им, но подключенные к сети организации. Пример — умные системы офисного кондиционирования или системы видеонаблюдения. Системы автоматизации здания стали опорной площадкой кибератаки на телеком-провайдеров в Пакистане;
- злоумышленник модифицирует закупаемое организацией ИТ-оборудование, либо заражая предустановленное ПО, либо внося скрытую функциональность в прошивку устройства. Несмотря на трудоемкость таких атак, они случались на практике: доказаны случаи заражения Android-устройств, широко обсуждались заражения серверов на уровне чипов.
Выгоды атак на цепочку поставок для преступников
Атаки на цепочку поставок имеют для злоумышленника несколько преимуществ.Во-первых, компрометация поставщика создает уникальный по скрытности и эффективности канал доступа, как доказали атаки на ПО SolarWinds Orion, широко используемое в крупных американских корпорациях, и компрометация облачных систем Microsoft, которая привела к утечке e-mail из нескольких министерств США. Такой вариант атаки особенно любят охотники за чужой информацией.
Во-вторых, успешная компрометация одного популярного приложения или сервиса открывает им доступ к взлому сразу десятков, сотен или тысяч организаций. Эта особенность на руку тем, кто мотивирован финансовой выгодой, например банды операторов ransomware. Одним из наиболее резонансных взломов этого типа стала атака ИТ-поставщика Kaseya группировкой REvil.
Тактическим преимуществом атак, эксплуатирующих доверенные отношения, являются практические последствия этого доверия: приложения и IP-адреса скомпрометированного поставщика, скорее всего, находятся в списках разрешенных (allowlists), действия, совершаемые с учетных записей, выданных поставщику, реже классифицируются как подозрительные центром мониторинга и так далее.
Особо отметим случаи, которые формально не являются атакой на цепочку поставок, — атаку на важных технологических провайдеров конкретной индустрии. Примеров только в 2024 году было несколько, самым ярким является кибератака на Change Healthcare, крупнейшую компанию, ответственную за обработку финансовых и страховых документов в медицинской индустрии США.
Клиентов Change Healthcare не взламывали, но, пока атакованная компания месяц восстанавливала свои системы, оказание медпомощи в США было частично парализовано, а недавно выяснилось, что жертвами утечки конфиденциальных медицинских данных стали 100 млн человек. В данном случае массовые проблемы у клиентов являются фактором давления на атакованную компанию, побуждающим ее выплатить выкуп.
Ущерб от атак на цепочку поставок
Компрометация подрядчиков обычно означает целевой характер атаки, высокую мотивацию и навыки атакующего. Как правило, атакующие рассчитывают получить либо крупный выкуп, либо ценную информацию — в любом из случаев для жертвы неизбежны долгосрочные негативные последствия.В их числе: прямые расходы на расследование инцидента и устранение его последствий, штрафы и расходы на работу с регуляторными органами, репутационный ущерб, возможная компенсация ущерба клиентам. Операционные сбои, вызванные такими атаками, также могут привести к значительным потерям производительности и проблемам с непрерывностью бизнеса.
Возвращаясь к уже приведенным примерам: допустившему крупную утечку данных Ticketmaster грозит несколько многомиллиардных исков, за расшифровку данных жертв атаки на Kaseya преступники потребовали $70 млн, а оценки ущерба от атаки на SolarWinds варьируются от $12 млн для каждой атакованной компании до $100 млрд суммарно.
Какие команды и департаменты должны предотвращать атаки на цепочку поставок
Хотя все вышесказанное подталкивает к мысли, что проблема атак на цепочку поставок целиком находится в ведении ИБ, на практике минимизация этих рисков требует скоординированных усилий нескольких команд внутри организации.Ключевые департаменты, которые должны быть вовлечены в эту работу:
- ИБ: отвечают за внедрение и мониторинг соблюдения мер безопасности, проведение оценки уязвимостей и реагирование на инциденты;
- ИТ: обеспечивают удовлетворяющие требованиям ИБ процедуры и меры при организации доступа подрядчиков в инфраструктуру организации, применяют доступные инструменты мониторинга для контроля соблюдения этих мер, недопущения появления теневых или заброшенных аккаунтов и ИТ-сервисов;
- закупки и управление поставщиками: совместно с ИБ и другими департаментами должны внести критерии доверия и соблюдения принятых корпорацией мер ИБ в опросники по выбору поставщиков. Также отдел закупок должен постоянно контролировать, что оценка и выбор поставщиков ведутся в соответствии с этими критериями, и обеспечивать работоспособность мер, призванных контролировать соответствие поставщика стандартам безопасности в течение всего срока контракта;
- юридические департаменты и управление рисками: обеспечивают соблюдение регуляторных требований и управление договорными обязательствами, связанными с кибербезопасностью;
- совет директоров: должен способствовать формированию культуры безопасности в организации и выделять ресурсы для реализации вышеперечисленных мер.
Меры по минимизации риска атак на цепочку поставок
Организации должны принимать комплексные меры по снижению рисков, связанных с атаками на цепочку поставок:- тщательно оценивать поставщиков. Важно оценить уровень безопасности потенциальных поставщиков перед началом сотрудничества. Это включает в себя запрос их политик в области кибербезопасности, информацию о прошлых инцидентах и соответствии отраслевым стандартам ИБ. Для программных продуктов и облачных сервисов уместен также сбор данных об уязвимостях и пентестах, а иногда и проведение динамического анализа безопасности (DAST);
- внедрять контрактные требования по безопасности. Необходимо включать в контракты с поставщиками конкретные требования по ИБ, такие как регулярные аудиты безопасности, соблюдение ИБ-политик вашей организации, релевантных для поставщика, и протоколы уведомления об инцидентах;
- принимать технологические меры предотвращения. Риск серьезного ущерба при компрометации поставщика значительно снижается, если в организации приняты такие практики ИБ, как , , и выстроено зрелое ;
- организовывать мониторинг. Мы рекомендуем использовать или для мониторинга инфраструктуры в реальном времени и обнаружения аномалий в программном обеспечении и сетевом трафике;
- разработать план реагирования на инциденты. Важно создать вариант плана реагирования, предусматривающего атаки на цепочку поставок. План должен обеспечивать быстрое выявление и локализацию нарушений, например отключение поставщика от систем компании;
- наладить сотрудничество с поставщиками по вопросам безопасности. Важно тесно работать с поставщиками для улучшения их мер безопасности — такое партнерство укрепляет взаимное доверие и делает общим приоритетом взаимную защиту.
Только применяя превентивные меры в масштабе всей организации и стратегически подходя к партнерству с поставщиками и подрядчиками, компании могут значительно снизить эти риски и обеспечить бизнесу необходимую устойчивость.
