Доверительные отношения: как предотвратить атаки на цепочку поставок

Старая пословица «Цепь крепка лишь настолько, насколько крепко ее самое слабое звено» имеет прямое отношение к кибербезопасности предприятий. У любого современного бизнеса — десятки и сотни поставщиков и подрядчиков, которые в свою очередь пользуются услугами и товарами других поставщиков и подрядчиков. Если по этой цепочке перемещается не сырье, а технологичные ИТ-продукты, то гарантировать их безопасность становится очень сложно. Этим пользуются злоумышленники, которые компрометируют одно из звеньев цепочки, чтобы добраться до ее начала, то есть до своей главной цели. Для бизнес-лидеров и руководителей ИБ и ИТ очень важно понимать риски, связанные с атаками на цепочку поставок, чтобы эффективно управлять этими рисками.

Что такое атака на цепочку поставок?

Атака на цепочку поставок происходит, когда злоумышленник проникает в системы организации, скомпрометировав доверенного стороннего поставщика ПО или сервис-провайдера. Возможные разновидности атаки:

• известное ПО, разрабатываемое поставщиком и используемое целевой организацией или множеством компаний, модифицируется, чтобы выполнять задачи атакующего. После установки очередного обновления в нем оказывается недекларированная функциональность, которая позволяет скомпрометировать организацию. Широко известные примеры такой атаки: компрометация ПО SolarWinds Orion и 3CX Phone. В этом году стало известно о попытке самой масштабной атаки такого типа, к счастью неудачной, — XZ Utils;
• злоумышленники находят корпоративные учетные записи, используемые сервис-провайдером для работы в системах организации, и применяют их для проникновения в компанию и выполнения атаки. Например, через аккаунт, выданный поставщику кондиционеров, был взломан гигант американской торговли Target;
• злоумышленник компрометирует облачного провайдера или эксплуатирует особенности инфраструктуры облачного провайдера, чтобы получить доступ к данным организации. Самый громкий кейс этого года — компрометация более полутора сотен клиентов облачного сервиса Snowflake, которая привела к утечке данных сотен миллионов пользователей Ticketmaster, банка Santander, AT&T и других. Другая атака с резонансными и масштабными последствиями — взлом провайдера сервисов аутентификации Okta;
• атакующий эксплуатирует делегированные подрядчику полномочия в облачных системах, например в Office 365, чтобы получить контроль за документами и перепиской организации;
• злоумышленник компрометирует специализированные устройства, принадлежащие подрядчику или администрируемые им, но подключенные к сети организации. Пример — умные системы офисного кондиционирования или системы видеонаблюдения. Системы автоматизации здания стали опорной площадкой кибератаки на телеком-провайдеров в Пакистане;
• злоумышленник модифицирует закупаемое организацией ИТ-оборудование, либо заражая предустановленное ПО, либо внося скрытую функциональность в прошивку устройства. Несмотря на трудоемкость таких атак, они случались на практике: доказаны случаи заражения Android-устройств, широко обсуждались заражения серверов на уровне чипов.

Все разновидности этой техники в матрице MITRE ATT&CK имеют общее название Trusted Relationship (T1199).

Выгоды атак на цепочку поставок для преступников

Атаки на цепочку поставок имеют для злоумышленника несколько преимуществ. Во-первых, компрометация поставщика создает уникальный по скрытности и эффективности канал доступа, как доказали атаки на ПО SolarWinds Orion, широко используемое в крупных американских корпорациях, и компрометация облачных систем Microsoft, которая привела к утечке e-mail из нескольких министерств США. Такой вариант атаки особенно любят охотники за чужой информацией. Во-вторых, успешная компрометация одного популярного приложения или сервиса открывает им доступ к взлому сразу десятков, сотен или тысяч организаций. Эта особенность на руку тем, кто мотивирован финансовой выгодой, например банды операторов ransomware. Одним из наиболее резонансных взломов этого типа стала атака ИТ-поставщика Kaseya группировкой REvil.

Тактическим преимуществом атак, эксплуатирующих доверенные отношения, являются практические последствия этого доверия: приложения и IP-адреса скомпрометированного поставщика, скорее всего, находятся в списках разрешенных (allowlists), действия, совершаемые с учетных записей, выданных поставщику, реже классифицируются как подозрительные центром мониторинга и так далее.

Особо отметим случаи, которые формально не являются атакой на цепочку поставок, — атаку на важных технологических провайдеров конкретной индустрии. Примеров только в 2024 году было несколько, самым ярким является кибератака на Change Healthcare, крупнейшую компанию, ответственную за обработку финансовых и страховых документов в медицинской индустрии США. Клиентов Change Healthcare не взламывали, но, пока атакованная компания месяц восстанавливала свои системы, оказание медпомощи в США было частично парализовано, а недавно выяснилось, что жертвами утечки конфиденциальных медицинских данных стали 100 млн человек. В данном случае массовые проблемы у клиентов являются фактором давления на атакованную компанию, побуждающим ее выплатить выкуп.

Ущерб от атак на цепочку поставок

Компрометация подрядчиков обычно означает целевой характер атаки, высокую мотивацию и навыки атакующего. Как правило, атакующие рассчитывают получить либо крупный выкуп, либо ценную информацию — в любом из случаев для жертвы неизбежны долгосрочные негативные последствия.

В их числе: прямые расходы на расследование инцидента и устранение его последствий, штрафы и расходы на работу с регуляторными органами, репутационный ущерб, возможная компенсация ущерба клиентам. Операционные сбои, вызванные такими атаками, также могут привести к значительным потерям производительности и проблемам с непрерывностью бизнеса.

Возвращаясь к уже приведенным примерам: допустившему крупную утечку данных Ticketmaster грозит несколько многомиллиардных исков, за расшифровку данных жертв атаки на Kaseya преступники потребовали $70 млн, а оценки ущерба от атаки на SolarWinds варьируются от $12 млн для каждой атакованной компании до $100 млрд суммарно.

Какие команды и департаменты должны предотвращать атаки на цепочку поставок

Хотя все вышесказанное подталкивает к мысли, что проблема атак на цепочку поставок целиком находится в ведении ИБ, на практике минимизация этих рисков требует скоординированных усилий нескольких команд внутри организации. Ключевые департаменты, которые должны быть вовлечены в эту работу:

• ИБ: отвечают за внедрение и мониторинг соблюдения мер безопасности, проведение оценки уязвимостей и реагирование на инциденты;
• ИТ: обеспечивают удовлетворяющие требованиям ИБ процедуры и меры при организации доступа подрядчиков в инфраструктуру организации, применяют доступные инструменты мониторинга для контроля соблюдения этих мер, недопущения появления теневых или заброшенных аккаунтов и ИТ-сервисов;
• закупки и управление поставщиками: совместно с ИБ и другими департаментами должны внести критерии доверия и соблюдения принятых корпорацией мер ИБ в опросники по выбору поставщиков. Также отдел закупок должен постоянно контролировать, что оценка и выбор поставщиков ведутся в соответствии с этими критериями, и обеспечивать работоспособность мер, призванных контролировать соответствие поставщика стандартам безопасности в течение всего срока контракта;
• юридические департаменты и управление рисками: обеспечивают соблюдение регуляторных требований и управление договорными обязательствами, связанными с кибербезопасностью;
• совет директоров: должен способствовать формированию культуры безопасности в организации и выделять ресурсы для реализации вышеперечисленных мер.

Меры по минимизации риска атак на цепочку поставок

Организации должны принимать комплексные меры по снижению рисков, связанных с атаками на цепочку поставок:

• тщательно оценивать поставщиков. Важно оценить уровень безопасности потенциальных поставщиков перед началом сотрудничества. Это включает в себя запрос их политик в области кибербезопасности, информацию о прошлых инцидентах и соответствии отраслевым стандартам ИБ. Для программных продуктов и облачных сервисов уместен также сбор данных об уязвимостях и пентестах, а иногда и проведение динамического анализа безопасности (DAST);
• внедрять контрактные требования по безопасности. Необходимо включать в контракты с поставщиками конкретные требования по ИБ, такие как регулярные аудиты безопасности, соблюдение ИБ-политик вашей организации, релевантных для поставщика, и протоколы уведомления об инцидентах;
• принимать технологические меры предотвращения. Риск серьезного ущерба при компрометации поставщика значительно снижается, если в организации приняты такие практики ИБ, как принцип наименьших привилегий, Zero Trust, и выстроено зрелое управление учетными записями;
• организовывать мониторинг. Мы рекомендуем использовать решения XDR или MDR для мониторинга инфраструктуры в реальном времени и обнаружения аномалий в программном обеспечении и сетевом трафике;
• разработать план реагирования на инциденты. Важно создать вариант плана реагирования, предусматривающего атаки на цепочку поставок. План должен обеспечивать быстрое выявление и локализацию нарушений, например отключение поставщика от систем компании;
• наладить сотрудничество с поставщиками по вопросам безопасности. Важно тесно работать с поставщиками для улучшения их мер безопасности — такое партнерство укрепляет взаимное доверие и делает общим приоритетом взаимную защиту.

Глубокая технологическая интеграция по всей цепочке поставок дает компаниям уникальные конкурентные преимущества, но одновременно создает системные риски. Их понимание критически важно для бизнес-лидеров — атаки на доверенные отношения и цепочки поставок представляют собой растущую угрозу, которая регулярно реализуется на практике и несет существенный ущерб. Только применяя превентивные меры в масштабе всей организации и стратегически подходя к партнерству с поставщиками и подрядчиками, компании могут значительно снизить эти риски и обеспечить бизнесу необходимую устойчивость.