Современные цифровые экосистемы включают множество участников, каждый из которых является потенциальной целью для хакерской атаки.
Цепочка поставок сама по себе может включать множество различных сторон — от поставщиков сырья, комплектующих частей, программного и аппаратного обеспечения до соисполнителей работ по проектам, ИТ-аутсорсинга, сервисного обслуживания систем и оборудования. Организационные и технические уязвимости в любом из звеньев цепочки — это потенциальная точка входа для злоумышленников, которые затем могут продвигаться вглубь корпоративной ИТ-инфраструктуры, получая доступ к ценным ИТ-активам и информации.
Вместо того, чтобы атаковать непосредственно саму организацию — конечную цель атаки (далее — «головная организация»), зачастую обладающую хорошо выстроенными процессами ИБ, злоумышленники целятся в ее менее защищенных поставщиков, подрядчиков, партнеров и т.д. Через компрометацию их систем и доверенных каналов связи они пытаются взломать защищенный периметр той компании, которая изначально была их целью. Эксперты рынка информационной безопасности сходятся во мнении, что данный вид атак будет набирать популярность, поэтому в данной статье мы хотим кратко рассмотреть вопрос, как защититься от подобных атак.
В феврале 2023 г. атака на цепочку поставок, нацеленная на делового партнера компании Applied Materials, привела к срыву поставок и, согласно некоторым оценкам, обошлась компании в 250 миллионов долларов. Компания не назвала пострадавшего партнера, но предполагается, что точкой взлома мог стать поставщик промышленного оборудования MKS Instruments, поскольку накануне, 3 февраля они объявили об атаке с использованием вируса-вымогателя и даже были вынуждены перенести свое отчетное мероприятие по итогам четвертого квартала.
Applied Materials тогда заявила, что компанией-мишенью являлся «безымянный крупный» поставщик. В то же время MKS Instruments все еще восстанавливалась после атаки, которая затронула ее подразделения Vacuum Solutions и Photonics Solutions. Сообщается, что это привело к задержкам в обработке и доставке заказов.
Также из последних громких инцидентов следует отметить ситуацию, произошедшую с поставщиком решений для бизнес-коммуникаций, а именно IP-телефонии (VoIP), 3CX. Телефонная система 3CX насчитывает более 12 миллионов ежедневных пользователей, являющихся сотрудниками компаний автомобильной, производственной, медицинской, авиационной и других отраслей промышленности.
Проблемы с 3CXDesktopApp продолжались, и спустя несколько дней отчеты ряда компаний, занимающихся обеспечением безопасности конечных устройств, подтвердили: предупреждения от антивирусного программного обеспечения не были ошибочными, 3CXDesktopApp был взломан. Еще через день генеральный директор 3CX официально объявил об этом. Анализ инцидента показал, что злоумышленникам удалось взломать конвейер сборки программного обеспечения 3CX, внеся изменения в копии стандартных файлов с открытым исходным кодом 3CX, чтобы вставить вредоносный код в готовый пакет настольных приложений 3CX. Несмотря на наличие признаков взлома, компания 3CX, к сожалению, не смогла обнаружить их до того, как выпустила программное обеспечение для своих клиентов.
Основным международным стандартом в области информационной безопасности, регламентирующим предотвращение атак на цепочки поставок, является ISO/IEC 27036 — серия международных стандартов по управлению информационной безопасностью в цепочках поставок.
Также следует отметить более верхнеуровневые международные стандарты и рекомендации по обеспечению безопасности цепочек поставок, такие как NIST SP 800-161, SCS 9001, NCSC Supply chain security guidance и другие. Эти стандарты предлагают рекомендации и руководства по обеспечению безопасности информационных систем и цепочек поставок.
В Российской Федерации на данный момент еще не разработаны отдельные нормативно-методические документы, направленные на обеспечение безопасности информации в цепочках поставок. Действуют отраслевые стандарты и рекомендации по обеспечению информационной безопасности, в которых можно встретить требования по защите цепочек поставок. Примером может служить ГОСТР 57580.4 – 2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер», в котором устанавливается требования к мерам по обеспечению операционной надежности финансовой организации при взаимодействии с поставщиками услуг.
Используя вышеуказанные стандарты, сформируем ряд общих рекомендаций и мер, актуальных для внедрения в организацию на различных уровнях:
Выделим также следующие основные риски при работе со сторонними поставщиками:
Приведем примеры вопросов потенциальным контрагентам для установления их степени надежности:
В качестве резюме хочу отметить, что кибербезопасность в цепочке поставок нельзя рассматривать только как IT-проблему. Если раньше в фокусе директоров по ИБ были задачи по обеспечению надежной системы информационной безопасности только для своей компании, теперь в ореол его внимания должны попадать и подрядчики, так как они становятся «слабым звеном», воспользовавшись которым даже самый защищенный периметр может быть взломан.
Позитивным аспектом данной ситуации является то, что такое внимание ИБ-директоров крупных компаний к поставщикам, а также их требования по безопасной разработке, управлению рисками, соответствия регуляторным и отраслевым стандартам, повысят уровень зрелости этих компаний в части управления информационной безопасностью.
В настоящей статье мы рассмотрели традиционные атаки на цепочки поставок. В следующей статье мы рассмотрим атаки на цепочки поставок программного обеспечения, а также приведем механизмы защиты, которые могут помочь обезопасить свою компанию от атак подобного рода.
Цепочка поставок сама по себе может включать множество различных сторон — от поставщиков сырья, комплектующих частей, программного и аппаратного обеспечения до соисполнителей работ по проектам, ИТ-аутсорсинга, сервисного обслуживания систем и оборудования. Организационные и технические уязвимости в любом из звеньев цепочки — это потенциальная точка входа для злоумышленников, которые затем могут продвигаться вглубь корпоративной ИТ-инфраструктуры, получая доступ к ценным ИТ-активам и информации.
Вместо того, чтобы атаковать непосредственно саму организацию — конечную цель атаки (далее — «головная организация»), зачастую обладающую хорошо выстроенными процессами ИБ, злоумышленники целятся в ее менее защищенных поставщиков, подрядчиков, партнеров и т.д. Через компрометацию их систем и доверенных каналов связи они пытаются взломать защищенный периметр той компании, которая изначально была их целью. Эксперты рынка информационной безопасности сходятся во мнении, что данный вид атак будет набирать популярность, поэтому в данной статье мы хотим кратко рассмотреть вопрос, как защититься от подобных атак.
Атаки на цепочку поставок
Примеры атак на цепочку поставок включают всевозможные фишинговые атаки на сотрудников поставщиков, атаки через уязвимости в поставляемом программном обеспечении или атаки на уязвимые веб-сервисы.В феврале 2023 г. атака на цепочку поставок, нацеленная на делового партнера компании Applied Materials, привела к срыву поставок и, согласно некоторым оценкам, обошлась компании в 250 миллионов долларов. Компания не назвала пострадавшего партнера, но предполагается, что точкой взлома мог стать поставщик промышленного оборудования MKS Instruments, поскольку накануне, 3 февраля они объявили об атаке с использованием вируса-вымогателя и даже были вынуждены перенести свое отчетное мероприятие по итогам четвертого квартала.
Applied Materials тогда заявила, что компанией-мишенью являлся «безымянный крупный» поставщик. В то же время MKS Instruments все еще восстанавливалась после атаки, которая затронула ее подразделения Vacuum Solutions и Photonics Solutions. Сообщается, что это привело к задержкам в обработке и доставке заказов.
Также из последних громких инцидентов следует отметить ситуацию, произошедшую с поставщиком решений для бизнес-коммуникаций, а именно IP-телефонии (VoIP), 3CX. Телефонная система 3CX насчитывает более 12 миллионов ежедневных пользователей, являющихся сотрудниками компаний автомобильной, производственной, медицинской, авиационной и других отраслей промышленности.
Проблемы с 3CXDesktopApp продолжались, и спустя несколько дней отчеты ряда компаний, занимающихся обеспечением безопасности конечных устройств, подтвердили: предупреждения от антивирусного программного обеспечения не были ошибочными, 3CXDesktopApp был взломан. Еще через день генеральный директор 3CX официально объявил об этом. Анализ инцидента показал, что злоумышленникам удалось взломать конвейер сборки программного обеспечения 3CX, внеся изменения в копии стандартных файлов с открытым исходным кодом 3CX, чтобы вставить вредоносный код в готовый пакет настольных приложений 3CX. Несмотря на наличие признаков взлома, компания 3CX, к сожалению, не смогла обнаружить их до того, как выпустила программное обеспечение для своих клиентов.
Механика атаки
Обратим внимание на механику проведения атаки на цепочку поставок и рассмотрим по шагам, как она может проводится. Часто это многоэтапный процесс, каждый этап которого тщательно продуман для использования уязвимостей и закрепления в целевой сети.1. Определение «слабого звена»
Злоумышленник определяет конечную целевую организацию и методами OSINT определяет ее ключевых поставщиков, продавцов или сторонних партнеров, которые могут иметь доступ к системам или конфиденциальной информации цели. Для анализа могут быть использованы данные с сайта цели – это прежде всего пресс-релизы о сотрудничестве, логотипы ключевых заказчиков и партнеров, логотипы вендоров оборудования и ПО, попавшие в объективы фото или видеокамеры и т.п.2. Внедрение в систему поставщика
Затем злоумышленник нарушает безопасность ИТ-инфраструктуры одного или нескольких из идентифицированных участников кооперации или цепочки поставок. Для этого атакующим могут использоваться различные техники и тактики: подбор аутентификационных данных, фишинг, социальная инженерия, эксплуатация уязвимостей, повышение привилегий и т.п.3. Закрепление
Оказавшись внутри сети подрядчика, злоумышленник использует свой доступ для проникновения в сеть целевой организации. Это может быть достигнуто различными методами, такими как использование украденных учетных данных, эксплуатация известных уязвимостей в программном обеспечении или оборудовании, а также компрометация обновлений программного обеспечения.4. Продвижение
Получив первоначальный доступ к сети целевой организации, злоумышленник осуществляет горизонтальное перемещение, чтобы выявить и скомпрометировать как можно больше ценных активов, например персональные данные сотрудников, информацию для проведения несанкционированных платежей, пароли / сертификаты / токены доступа, конфиденциальная информация, которую можно украсть или зашифровать, чтобы затем шантажировать организацию, и другие данные.5. Выполнение поставленных задач
Злоумышленник достигает основных целей, которые могут включать в себя кражу данных, установку программ-вымогателей, нарушение работы служб или осуществление шпионажа.6. Заметание следов
На последнем этапе злоумышленник пытается стереть все следы своего присутствия, что затрудняет обнаружение и нейтрализацию атаки организацией.Защита от атаки на цепочку поставок
Как же защититься от атаки на цепочку поставок? Рассмотрим необходимые фреймворки и шаги.Основным международным стандартом в области информационной безопасности, регламентирующим предотвращение атак на цепочки поставок, является ISO/IEC 27036 — серия международных стандартов по управлению информационной безопасностью в цепочках поставок.
Также следует отметить более верхнеуровневые международные стандарты и рекомендации по обеспечению безопасности цепочек поставок, такие как NIST SP 800-161, SCS 9001, NCSC Supply chain security guidance и другие. Эти стандарты предлагают рекомендации и руководства по обеспечению безопасности информационных систем и цепочек поставок.
В Российской Федерации на данный момент еще не разработаны отдельные нормативно-методические документы, направленные на обеспечение безопасности информации в цепочках поставок. Действуют отраслевые стандарты и рекомендации по обеспечению информационной безопасности, в которых можно встретить требования по защите цепочек поставок. Примером может служить ГОСТР 57580.4 – 2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер», в котором устанавливается требования к мерам по обеспечению операционной надежности финансовой организации при взаимодействии с поставщиками услуг.
Используя вышеуказанные стандарты, сформируем ряд общих рекомендаций и мер, актуальных для внедрения в организацию на различных уровнях:
- следует проверять подлинность приобретаемых программных компонентов, используя механизмы цифровой подписи, либо контрольные суммы в формулярах на ПО;
- инциденты, связанные с цепочками поставок, такие как несанкционированные изменения программного или аппаратного обеспечения, множественные неудачные попытки доступа к информационным системам, должны фиксироваться соответствующими механизмами аудита и быть верифицируемы;
- необходимо применять политику «минимальных привилегий» в отношении пользователей, не являющихся сотрудниками предприятия;
- должны быть обеспечены механизмы соблюдения лицензионной частоты на ПО;
- следует отладить процесс предоставления отчетов об инцидентах от команды ИБ компании-поставщика команде ИБ головной организации;
- требуется организовать процедуры технического обслуживания оборудования (АСО, серверы, СХД и т.п.) в условиях головной организации, разработав соответствующие программы и политики;
- должны быть реализованы процессы проверки безопасности как для внутренних разработчиков, так и для внешних, которым предоставляют доступ к среде разработки;
- удаленный доступ к корпоративной IT-инфраструктуре должен предоставляться сотрудникам подрядчика только при условии использования технологий: VPN, IDS/IPS, Identity Proxy, многофакторной аутентификации, использование антивирусной защиты, сканирования на известные уязвимости и др.;
- необходимо предусмотреть альтернативный канал связи с ключевыми поставщиками, разработчиками и системными интеграторами (проводной канал, радиоканал, подключение через модем и т.п.);
- предприятию следует учитывать любую информацию, относящуюся к безопасности, качеству, надежности поставщика, или предоставляемых им услуг или продуктов;
- при проектировании IT-инфраструктуры следует исходить из наихудших сценариев реализации угроз, поэтому необходимо учитывать потенциальную возможность ее взлома и компрометации. При подобном подходе архитектор пытается сфокусироваться не только на предотвращении взлома, но и на ограничении возможностей злоумышленника при получении доступа («харденинг», сегментация, усиление аутентификации, резервное копирование и т.п.);
- требования к безопасности должны быть включены в каждый контракт с контрагентом, ведь обеспечение ИБ является существенным условием заключения договора. В организации должен быть принят перечень недопустимых событий, после которых с поставщиком необходимо завершить всевозможные работы;
- необходимо наладить взаимодействие команд безопасности предприятия и контрагента для своевременного обмена актуальной информацией об угрозах и возникающих инцидентах.
Выделим также следующие основные риски при работе со сторонними поставщиками:
- Неэффективные методы обеспечения ИБ, применяемые поставщиками более «низкого уровня» (устаревшие методы и подходы, устаревший стек технологий, отсутствие бюджета на ИБ и т.д.).
- Широкий спектр уязвимостей в звеньях цепи поставок (как организационных, к примеру, недостаточный контроль доступа в серверные помещения, так и технических, к примеру, критические уязвимости в информационных системах поставщиков).
- Контрафактное оборудование, аппаратные средства, программное обеспечение со встроенным вредоносным ПО или «бэкдорами».
- Ошибки при приобретении услуг IT-поставщиков и провайдеров: двусмысленные формулировки услуг в SLA и офертах, недобросовестная тарификация, несоответствие заявленным уровням сервиса.
Приведем примеры вопросов потенциальным контрагентам для установления их степени надежности:
- документирован ли у контрагента процесс разработки программного/аппаратного обеспечения, оказания услуг?
- какие у контрагента существуют средства мониторинга за производственными процессами (контроль стабильности оказания услуг и продуктов поставщика)?
- какие меры физической безопасности применяются?
- какие средства сетевой безопасности применяются (перечислить классы решений)?
- как они защищают и хранят данные клиентов?
- какие шаги предпринимаются для защиты услуг, сервисов, продуктов от несанкционированного доступа?
- какие требования в области безопасности предъявляются к «нижестоящим» и «вышестоящим» поставщикам? Как оценивается соблюдение этих стандартов?
- как поставщик планирует, обеспечивает и контролирует безопасность на протяжении всего жизненного цикла продукта?
В качестве резюме хочу отметить, что кибербезопасность в цепочке поставок нельзя рассматривать только как IT-проблему. Если раньше в фокусе директоров по ИБ были задачи по обеспечению надежной системы информационной безопасности только для своей компании, теперь в ореол его внимания должны попадать и подрядчики, так как они становятся «слабым звеном», воспользовавшись которым даже самый защищенный периметр может быть взломан.
Позитивным аспектом данной ситуации является то, что такое внимание ИБ-директоров крупных компаний к поставщикам, а также их требования по безопасной разработке, управлению рисками, соответствия регуляторным и отраслевым стандартам, повысят уровень зрелости этих компаний в части управления информационной безопасностью.
В настоящей статье мы рассмотрели традиционные атаки на цепочки поставок. В следующей статье мы рассмотрим атаки на цепочки поставок программного обеспечения, а также приведем механизмы защиты, которые могут помочь обезопасить свою компанию от атак подобного рода.
