Киберфестиваль Positive Hack Days прошел в конце мая в московском парке Горького. На площадке мероприятия состоялись круглые столы, научно-популярные лекции, бизнес-треки и кибербитва Standoff, где специалисты по информационной безопасности испытали защищенность виртуального государства.

Атаки на цепочку поставок и доверие к сервисам и технологиям в новом мире стали темой одного из круглых столов фестиваля. Представители российских технологических компаний обсудили опасность таких кибератак, возможные последствия и способы защиты. 

Зачем атакуют поставщиков?

Понятие «атаки на цепочку поставок» объяснил директор экспертного центра безопасности Positive Technologies Алексей Новиков. Он разделил их на два вида: первая – когда злоумышленники взламывают компанию и используют ее ресурсы и доверенные взаимоотношения для получения доступа к данным другой компании.

– Грубо говоря, есть большой холдинг, у этого холдинга есть подрядчик, и они друг с другом связаны VPN-туннелями. [Злоумышленники] взламывают маленькую компанию, которая обычно менее защищена, и через этот VPN-туннель попадают в большую госкорпорацию, – сказал Новиков.

Второй вид более технически сложный, он называется Supply chain attack – когда атакуют непосредственно производителя какого-либо программного обеспечения и внедряют вредоносный код в их софт, а дальше атака осуществляется с использованием софта этой компании. 

Директор по информационной безопасности Ozon Кирилл Мякишев добавил, что большинство крупных компаний используют в разработке открытое программное обеспечение. Спикер предложил называть безопасность цепочки поставок безопасностью поставляемого извне кода, когда используются публичные библиотеки. Дополнил комментарий Мякишева директор по кибербезопасности Rambler&Co Евгений Руденко, который пояснил, что изначально атакой на цепочку поставок называли внедрение кода в открытые библиотеки, но со временем термин расширился и теперь в это понятие включают также атаки на интеграторов, подрядчиков и разработчиков ПО.

Вице-президент, директор информационной безопасности компании VK Алексей Волков решил объяснить значение термина на примере – покупая смартфон, люди не думают о том, что гаджет может быть взломан. 

– Вы можете взломать его сами того не желая – зайти на сомнительный интернет-ресурс и скачать вредоносную программу. Если у вас нет защиты, то ваш смартфон окажется под управлением злоумышленников. Но смартфон может быть взломан гораздо раньше. Он собирается из электронных схем, которые тоже изготавливаются на предприятиях. На другом предприятии эти электронные схемы собираются в платы, и эти предприятия доставляют его вам из страны-производителя в страну-получателя. Дальше он поступает в магазин, и вы его забираете. Это называется цепочкой поставок. На каждом из этих этапов злодеи могут получить доступ к смартфону либо к его компонентам. В мире бывали случаи, когда люди покупали технику, которая уже предварительно содержит в себе руткиты, вредоносные программы, которые заранее дают злоумышленникам воспользоваться вашей техникой, хотя вы еще даже ничего не сделали, – пояснил Волков.

Почему атаки происходят?

Говоря о самых опасных уязвимостях, директор по информационной безопасности СДЭК Павел Куликов считает таковыми атаки на IТ-подрядчиков, то есть компании, которые оказывают технические услуги. Он заметил, что злоумышленники быстро поняли, что, получив доступ к одной такой IТ-компании, можно завладеть доступом в большое количество других и получить данные о том, как устроена информационная безопасность в тех организациях, которые они обслуживают.

– Плохая история, которая очень часто случается: подрядчик выиграл конкурс, происходит подписание договора, в этом договоре написано, что подрядчик должен выполнять требования безопасности, и дальше все считают, что с информационной безопасностью все хорошо. На самом же деле нет, и атаки на подрядчиков очень актуальны, – сказал эксперт.

По словам Куликова, этот тезис подтверждают кейсы 2021 года, когда доступ в крупные компании хакеры получали именно через подрядчика. 

Руденко согласился, что компании, которые зачастую получают доступ в инфраструктуру или внедряют наши решения у себя, плохо выстраивают процессы обеспечения информационной безопасности, и их компрометация более вероятна, чем использование уязвимостей в аппаратной прошивке. Эту мысль подтвердил и Волков – по словам вице-президента по информационной безопасности VK, публично известно больше историй, когда компанию взламывают через менее защищенного подрядчика.

– Историй, когда внедряют программную закладку, в публичном пространстве гораздо меньше. Но мы не знаем рейтинг атак на цепочку поставок, потому что они технически сложные, дорогостоящие. И люди, которые их организуют, организуют их не для того, чтобы быстро реализовать добытое преимущество. Они делают это целенаправленно, заблаговременно и для того, чтобы получить гораздо более серьезную выгоду, чем просто обозначить свое присутствие и нанести гигантский моментальный вред, – рассуждал Волков. 

За всеми не уследишь

Алексей Новиков перечислил сложности, которые мешают компаниям проследить за обеспечением кибербезопасности своих подрядчиков. Во-первых, у некоторых компаний слишком много, чтобы уследить за всеми. Во-вторых, когда у одной крупной организации большое количество контрагентов, у хакеров больше выбора по сложности атаки. В-третьих, в некоторых отраслях специалистов по ИБ попросту нет. Эксперт Positive Technologies напомнил, что в 2021 году случалось огромное количество подмены контента в российских СМИ. К примеру, хакеры меняли текст бегущей строки у одного из телеканалов. Это произошло из-за того, что злоумышленники взломали систему безопасности подрядчика-провайдера услуг.

– Особенность была в том, что злоумышленник хорошо знал, как устроен бизнес-процесс, как устроена бизнес-цепочка и название конкретного подрядчика, через которого можно было сделать подмену этого контента, – рассказал Новиков. 

Мякишев подробнее остановился на специфике электронной коммерции и логистических компаний на примере Ozon. У компании большое количество маленьких партнеров, которые открывают пункты выдачи заказов. 

– Для того, чтобы мы могли выдавать заказы покупателям, им нужны пусть не большие, но все-таки доступы в наши системы. К сожалению, это маленькая компания, которая иногда состоит из одного человека, являющегося индивидуальным предпринимателем, а также следящего за стойкой выдачи заказов, он же занимается информационной безопасностью. Атака или взлом, фишинг, социальная инженерия, направленные на этого человека, по факту приводят к тому, что злоумышленник получает доступ пусть к небольшому, но к такому количеству данных, которые приватны. В связи с тем, что таких партнеров много, происходит размытие периметра. Мы понимаем, что нужно защищать не только больших контрагентов, которые включены в нашу сеть, но и этих маленьких партнеров, которые по факту становятся целью злоумышленников, – сказал спикер, добавив, что Ozon повышает осведомленность партнеров, проводя тренинги, курсы и раздавая информационные листки.

Принцип нулевого доверия

Рассуждая о концепции нулевого доверия (zero trust) Алексей Волков подчеркнул, что задача безопасников – выстроить процесс внутреннего контроля компаний таким образом, чтобы относиться с недоверием к каждому участнику цепочки и выполнять одинаковый контроль всех звеньев. 

– Zero trust должна появиться как некая концепция, которая позволит найти баланс между требованиями безопасности и интересами бизнеса. Ни в одну, ни в другую сторону не должно быть перегибов, –  заявил Волков.

Алексей Новиков в свою очередь добавил, что Positive Technologies предъявляет жесткие требования к своим подрядчикам в части контроля и мониторинга событий, которые происходят на их машинах, подключенных к системе. 

Учитывая всплеск инцидентов за последний год, эксперт прогнозирует дальнейший рост атак на цепочки поставок.

– Если у злоумышленников целями по-прежнему будут оставаться компании, которые тратят значительные бюджеты и усилия на защиту самих себя, то чаще всего в них будут попадать через подрядчиков, – поделился своим мнением Новиков. 

Кирилл Мякишев и Алексей Волков согласились с тем, что атак станет больше, а Евгений Руденко добавил, что количество интеграций разных сервисов растет, а вместе с тем растет уязвимость.

– Количество атак будет увеличиваться на тех людей, с которыми вы работаете, и не важно, подрядчики это разработчики или интеграторы. Мы все больше друг с другом связаны, технологий все больше, они проникают во все сферы, увеличивается экосистемность. Без глобального регулирования этого мы скоро упремся в потолок, – предостерег директор по кибербезопасности Rambler&Co.

Компании разработали стандарты требования безопасности, а периметр уязвимостей расширился

Представители компаний также рассказали, какие усовершенствования произошли в сфере информационной безопасности за прошедший год. По мнению Волкова, самым важным изменением стало то, что такие крупные экосистемные компании, как Сбер, Яндекс, VK, разработали внутренние стандарты, которые определяют требования к участникам их экосистем. И все это – в отсутствие государственного регулирования. Это позволяет компаниям иметь некоторую гарантию соответствия их поставщиков требованиям надежности, безопасности и обеспечит максимум взаимодействия, чтобы расследовать любые инциденты. 

– Эти стандарты, насколько мне известно, достаточно хорошо восприняты Минцифрой, и на различных рабочих заседаниях эти стандарты – имеется в виду оценка зрелости экосистемных компаний – положительно восприняты. Мне кажется, пройдет еще год-два и у нас появится задел, чтобы иметь то государственное регулирование, о котором говорил Алексей, – сказал вице-президент VK, сославшись на высказывание коллеги из Rambler&Co.

Волков также добавил, что за последние два года выросла коллаборация между специалистами по информационной безопасности и руководством компаний.

Изменилось понимание периметра – такое заметил Мякишев. 

– Когда мы говорим об угрозах, мы всегда имеем в виду ландшафт по периметру, то, где мы эти угрозы видим и как пытаемся их выявить, где есть уязвимости и как ими управлять. В последнее время понимание того, каков периметр нашей компании, меняется. Оно становится шире, и наш периметр вырастает в тех местах, где у нас появляются партнеры, он становится шире, и периметр партнера становится нашим периметром тоже, – поделился наблюдением представитель Ozon.

Риск-ориентированный подход

В разговоре с журналистом KazanFirst Мякишев заявил, что текущие угрозы безопасности компаний имеют гибридный характер и находятся на стыке кибербезопасности и фрода (мошеннические операции в сфере информационной безопасности. – Ред.), а одним из ключевых инструментов становится социальная инженерия. Эксперт подчеркнул, что под ее воздействие могут попасть как обычные клиенты, которые натолкнулись на мошенника на маркетплейсе, так и сотрудники и партнеры, обладающие доступом к инфраструктуре компании. Получив к ним доступ разными способами – обманом, вредоносным ПО или из-за банальной невнимательности, — преступники могут совершать злонамеренные действия, выводя из строя сервисы компании или получая несанкционированный доступ к данным.  

– Наши команды информационной безопасности и Антифрода постоянно изучают новые публичные случаи, совершенствуют собственные системы и вводят новые меры и системы защиты, чтобы обезопасить площадку от подобных угроз. При выстраивании информационной безопасности Ozon мы используем риск-ориентированный подход. Чтобы обеспечить сохранность данных и устойчивость IT-инфраструктуры, мы разрабатываем сервисы с учетом требований по ИБ, а также учитываем периметр, где злоумышленники могут получить доступ в наши системы, – заявил собеседник.

Специалисты по информационной безопасности учитывают риски у подрядчиков, чьи сотрудники обладают доступом в системы Ozon, — такие пункты дополнительно учитываются при заключении договора.

KazanFirst также запросил комментарий у «Деловых линий». Генеральный директор ООО «ЕвроТрансЭкспедиция» Кирилл Рассадкин заявил, что количество атак на инфраструктуру компаний не участилось. Если организация имеет хорошо разработанную стратегию безопасности и использует современные технологии, то удается отразить большинство атак. 

— Компании могут сталкиваться с атаками на цепочки поставок, и мониторинг серверов и персональных компьютеров является одним из способов защиты от таких атак. Нюансы могут быть различными, например, недостаточная осведомленность сотрудников о правилах безопасности, уязвимости в системах, недостаточная защита от внешних атак, — перечислил собеседник.

Для того, чтобы снизить вероятность атак, Рассадкин считает необходимым внедрение политики безопасности и ее контроль. Например, новых сотрудников необходимо знакомить с политиками безопасности и регламентами компании в процессе их адаптации. Компании обязательно должны разработать регламент реагирования на инциденты и регулярно его обновлять, чтобы можно было быстро и эффективно реагировать на возможные угрозы. Также важным этапом в процессе защиты компании является тестирование систем на безопасность, и оно должно проводиться регулярно.

Читайте также: Число кибератак на татарстанские цифровые ресурсы увеличилось в 10 раз