Из подряда вон: как киберпреступники эксплуатируют доверие компаний-партнеров

Роман Рожков Редакция Forbes

80% компаний применяют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении сотрудников, работающих дистанционно. Менее 10% оценивают уровень информбезопасности поставщика, причем оценка часто носит лишь формальный характер. Кроме того, 38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы, и сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства. Такие выводы содержатся в исследовании «Инфосистем Джет» рисков «атак на цепочку поставок», которые становятся все более распространенными и популярными среди злоумышленников. Впрочем, эксперты считают, что ситуация на самом деле гораздо мрачнее

«Носит формальный характер»

Риск эксплуатации доверия сегодня входит в топ-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более, говорится в исследовании «Инфосистем Джет». Речь идет об атаках через подрядчиков (supply chain attack), когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров и поставщиков. Такие атаки называют «эксплуатацией доверия» и «атаками на цепочку поставок».

Для отчета, с которым ознакомился Forbes, эксперты «Инфосистем Джет» опросили около 100 компаний и использовали аналитику не только на базе опроса, но и на основе собственной статистики с 2019 года (более 1500 проектов). Так, по данным исследования, 80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и для удаленных работников компании, и лишь 20% компаний определяются с защитой исходя из специфики взаимодействия и профиля риска поставщика.

Кроме того, как следует из отчета, менее 10% оценивают уровень информационной безопасности (ИБ) поставщика услуг. При этом оценка проводится в основном с использованием опросных листов «и часто носит формальный характер, не влияя на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании».

Еще один примечательный вывод экспертов: 38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.

Материал по теме

«Чаще всего в компаниях ИБ строится по модели Castle and Moat («крепость и ров», также известна как «защита периметра»), когда после входа в систему пользователь может свободно перемещаться и получать доступ к информации без дополнительной проверки, — говорит начальник отдела развития консалтинга по информационной безопасности (ИБ) «Инфосистем Джет» Александр Морковчин. — Фокус на защите периметра относительно эффективен против внешнего злоумышленника, однако после успешного взлома подрядчика в такой инфраструктуре атакующий имеет полный карт-бланш».

Никто не застрахован

Серьезные риски, связанные с непрерывностью бизнеса, действительно касаются подрядчиков, поставщиков, партнеров — любых лиц, имеющих доступ к активам организации, рассуждает аналитик исследовательской группы Positive Technologies Екатерина Семыкина. «В 2022 году в результате проведения работ по внутреннему тестированию на проникновение мы выяснили, что от атак со стороны внутреннего нарушителя, имеющего возможность подключения к локальной сети, не защищена ни одна из организаций, участвовавших в исследовании, — говорит она. — При этом для реализации недопустимого для бизнеса события в среднем требовалось 10 дней, а в половине организаций (57%) атаку смог бы провести даже низкоквалифицированный злоумышленник, использующий общедоступные эксплойты и обладающий базовыми знаниями о проведении атак на информационные системы».

Атаки через цепочку поставок (supply chain attack) остаются в 2023 году одним из основных рисков для корпораций, финансовых и IT-компаний, считают в F.A.C.C.T. (экс-Group-IB). «Компрометация учетных записей на уровне поставщика услуг открывает возможность для нескольких векторов атак, включая делегирование административных привилегий (DAP), — продолжают там. — Хакеры могут использовать этот доступ для проведения последующих атак через доверенные каналы, такие как внешние VPN или уникальные решения для провайдеров и заказчиков, обеспечивающие доступ к сети. В одном из кейсов атакующие обращались к четырем различным поставщикам для достижения успеха».

Материал по теме

Однако, по данным специалистов МТС RED, все гораздо мрачнее, чем описывают коллеги из «Инфосистем Джет». «По нашему опыту, реальная ситуация хуже, — утверждает технический руководитель направления анализа защищенности центра инноваций Future Crew компании МТС RED Алексей Кузнецов. — Проверка подрядчика службой безопасности обычно означает проверку юридической чистоты и отсутствия конфликта интересов. Очень небольшое количество компаний оценивает уровень защищенности и зрелости ИБ в компании-подрядчике. Зрелость процессов проверяют единицы, и это происходит в основном тогда, когда инцидент уже случился». Часто и этот процесс, по его словам, носит неформальный характер, так как право проведения аудита организации должно фиксироваться в договоре с подрядчиками, а это делается «не более чем в 5% случаев».

По словам Семыкиной, исследуя актуальные киберугрозы, в Positive Technologies регулярно сталкиваются с инцидентами, связанными с успешными атаками на организации, когда злоумышленникам удавалось скомпрометировать цепочку поставок или доверенные каналы связи. «В 2022 году такой метод использовался в 4% успешных атак на организации и был наиболее популярен в сфере торговли (8% от числа атак на отрасль), телекоммуникационных (7%) и IT-компаниях (5%), а также госучреждениях (5%), — перечисляет аналитик. — Ранее мы прогнозировали продолжение такого типа атак, и в I квартале 2023 года доля атак, в которых злоумышленникам удавалось скомпрометировать цепочку поставок или доверенные каналы связи, выросла до 7%». По данным компании, две трети успешных атак, начавшихся с компрометации доверенной стороны, привели к утечкам конфиденциальной информации, а каждые четыре из десяти случаев — к нарушению основной деятельности организации, заключает Екатерина Семыкина.

Материал по теме

Одной из главных целей, по прогнозам F.A.C.C.T., могут стать локальные компании в сфере кибербезопасности, также может увеличиться число атак на разработчиков программного обеспечения и интеграторов в рамках атак на цепочки поставок. «Защититься от подобных угроз можно несколькими способами, главный из которых — внедрение передовых технологий раннего предупреждения и предотвращения сложных целевых кибератак, защиты почтовых сервисов, аудита сетевой инфраструктуры и выявление уязвимостей в защите, а также повышением цифровой грамотности сотрудников и их навыков обнаружения потенциальных угроз», — резюмируют в F.A.C.C.T.

Простои, потери, ущерб

Публичные инциденты, случившиеся в 2022–2023 годах, еще раз доказывают растущее влияние атак «эксплуатации доверия» на бизнес. В числе их последствий — простои систем, денежные потери, ущерб для репутации. Эксперты напоминают лишь о некоторых громких атаках:

· Январь-2022. Атака на крупного поставщика услуг аутентификации Okta с целью использовать их доступ к клиентским инфраструктурам. Okta подтвердила инцидент и сообщила, что атака затронула более 350 организаций-клиентов.

· Апрель-2022. Злоумышленники атаковали почтовый маркетинговый сервис MailChimp и получили доступ к внутренней службе поддержки клиентов и инструментам управления учетными записями. Преступникам стала доступна информация в том числе и о пользователях одного из клиентов сервиса — компании Trezor. Далее они использовали список пользователей для атаки на пользователей Trezor, в результате были скомпрометированы данные криптокошельков, а активы пользователей — украдены.

· Сентябрь-2022. Злоумышленники проникли в инфраструктуру чат-провайдера Comm100 и подменили их установщик, внедрив в него вредоносный код. Они получили доступ к данным клиентов компании, которые использовали зараженную версию ПО Comm100. Количество потенциальных клиентов, которые могли скачать вредоносное ПО, — более 15 000 организаций.

· Октябрь-2022. Государственная железная дорога в Дании была остановлена на несколько часов из-за кибератаки на стороннего поставщика IT-услуг — компанию Supeo. Supeo предоставляет решение, которое машинисты используют для доступа к критически важной информации — данным о работах на путях и об ограничениях скорости. Во время атаки поставщик отключил свои серверы, что вызвало сбои в работе приложения, и машинисты были вынуждены останавливать составы.

· Февраль-2023. Американская телекоммуникационная компания UScellular сообщила, что утечка данных у стороннего поставщика привела к утечке персональных данных более 50 000 клиентов.

· Март-2023. Атака на разработчика VoIP-решений 3CX. Десктопный клиент 3CXDesktopApp был скомпрометирован и использовался для распространения вредоносного ПО среди клиентов компании. Потенциальное количество атакованных — более 600 000 компаний по всему миру, включая American Express, Coca-Cola, BMW, Toyota, IKEA и др.

· Апрель-2023. Российский разработчик VPN-решений и средств криптозащиты информации «ИнфоТеКС», утечка архива c 60 912 учетными записями пользователей по вине подрядчика, ответственного за разработку нового сайта.