«Ниже радаров»: как атаки через подрядчиков угрожают кибербезопасности
В 2024 году впервые стал заметен новый тренд: атаки через подрядчиков стали происходить в три раза чаще, чем годом ранее. Эксперты ведущих российских компаний сферы кибербезопасности, таких как RED Security, «Солар» и F6, сходятся во мнении, что атаки через подрядчиков перешли из категории «уникальных кейсов» в группу наиболее серьезных вызовов для кибербезопасности. Почему так вышло и как нужно действовать, чтобы защититься?
Под атаками через подрядчиков часто понимаются кибератаки, в ходе которых злоумышленник компрометирует третью сторону (поставщика, подрядчика, вендора), чтобы получить несанкционированный доступ к конечной цели — заказчику. Международная компания MITRE, занимающаяся исследованием киберугроз, разделяет угрозы через третьих лиц на два типа: атаки через доверительные отношения (trusted relationship attacks) и через цепочку поставок (supply chain attacks).
В первом сценарии злоумышленники взламывают подрядчика или партнера компании, чтобы затем получить доступ к ее системам. Например, компрометация IT-аутсорсера может открыть хакерам путь к инфраструктуре и данным его заказчиков.
Атаки через цепочку поставок представляют собой взлом разработчика ПО, которое используется в компании-жертве, и внедрение в него вредоносного кода. Ставший уже классическим пример такой атаки — взлом SolarWinds в 2020 году, когда хакеры внедрили вредоносное обновление в ПО Orion, заразив тысячи организаций. Этот кейс прогремел по всему миру, но тогда — всего четыре-пять лет назад — это все еще был исключительный случай. Однако с тех пор этот вектор, как и атаки через доверительные отношения, продолжал развиваться и набирать популярность у хакеров. Совсем недавний пример — обнаружение в марте 2024 года бэкдора («закладки» с вредоносной функциональностью) в коде популярной утилиты xz Utils.
Сегодня, по нашим данным, атаки через доверительные отношения и цепочку поставок в совокупности занимают уже шестое место по частоте применения злоумышленниками.
Дело в том, что механизм таких атак достаточно прост, но эффективен. Злоумышленники всегда ищут слабое звено, и им часто оказываются подрядчики с низким уровнем защиты. После взлома хакеры используют легитимные каналы связи между подрядчиком и основной целью. При этом киберпреступники избавлены от необходимости атаковать целевых жертв напрямую и сталкиваться с серьезной эшелонированной защитой, которая существует, например, в большинстве организаций финансового сектора.
Кроме того, такой метод атаки часто позволяет хакерам оставаться незамеченными столько, сколько это будет нужно.
«Эксперты RED Security SOC отмечают, что, получив доступ в инфраструктуру целевой жертвы через подрядчика, злоумышленники стараются максимально маскировать свою активность под обычные действия IT-аутсорсера».
И главное, один скомпрометированный подрядчик может стать стартовой точкой для атак на десятки или даже сотни организаций. Как следствие, взлом подрядчиков перестает быть инструментом сугубо для проведения таргетированных атак, когда хакеры сначала проводят разведку, выясняя, с каким подрядчиком сотрудничает целевая жертва. На смену этому приходит подход, при котором злоумышленники атакуют подрядчика, даже не ориентируясь на конкретного заказчика его услуг, — просто ради возможности широко развить атаку на всех его клиентов.
В России о случаях компрометации подрядчиков централизованно сообщает НКЦКИ (Национальный координационный центр по компьютерным инцидентам). С начала года на сайте ГосСОПКА появились уже два сообщения на эту тему.
Вероятно, хотя бы отчасти решить проблему мог бы список требований по кибербезопасности, применяемый в ходе закупочных процедур. Федеральная служба по техническому и экспортному контролю России разработала такие требования к подрядчикам в формате методических рекомендаций для субъектов КИИ в 2022 году. Однако в конце 2023 — начале 2024 года представители регулятора говорили о том, что необходимо дополнительно зафиксировать эти требования в законодательстве и ведомственных нормативно-правовых актах.
Но пока меры остаются рекомендательными, заказчики могут самостоятельно в рамках отдельных контрактов фиксировать определенные требования и условия, например, такие как обязательное уведомление об инцидентах, финансовая ответственность за ущерб в результате компрометации, а также доступ к логам информационных систем подрядчика и отчетам по безопасности или даже право на проведение аудитов и пентестов подрядчика. Все это не гарантирует стопроцентной защиты, но, по крайней мере, снижает риски и позволяет уменьшить негативные последствия в случае успешной кибератаки на подрядчиков.
Как уже говорилось выше, атаки через подрядчиков и атаки через доверительные отношения очень сложно обнаружить. Они ведутся «ниже радаров» средств защиты, поэтому единственный работающий инструмент их выявления — это контроль любых действий подрядчиков в инфраструктуре и поиск аномалий в них. Этот подход не раз помогал специалистам RED Security SOC на ранней стадии обнаружить и заблокировать активность злоумышленников.
«Чтобы выявлять аномалии, сначала необходимо построить и формализовать описание стандартного поведенческого профиля подрядчиков. Сейчас специалисты центров мониторинга — внутренних или внешних — создают такие профили действий подрядчиков совместно с заказчиком. Для решения этой задачи может использоваться и искусственный интеллект. Это одна из тех ниш в сфере кибербезопасности, где его применение может дать достаточно быстрый результат».
Кроме того, очень важно с самого начала работы с подрядчиком, имеющим сетевой доступ в инфраструктуру компании-заказчика, применять некоторые превентивные меры защиты:
● Во-первых, выдавать минимально достаточные права на перемещение по инфраструктуре и доступ к системам, а также регулярно проводить аудиты внешних доступов.
● Во-вторых, внедрить жесткую парольную политику и многофакторную аутентификацию. В идеале доступ подрядчиков в инфраструктуру вашей компании должен происходить только через систему контроля доступа привилегированных пользователей, где все их действия будут фиксироваться.
Атаки через подрядчиков — это не временный тренд, а новая реальность. Эксперты как RED Security, так и других компаний, работающих в сфере защиты от киберугроз, акцентируют внимание на том, что в 2025 году доля таких атак в общем числе киберинцидентов в России будет расти, если бизнес не начнет активно инвестировать в защиту цепочек поставок. Для страны это означает необходимость уже сейчас пересмотреть подход к выбору партнеров и выстраиванию экосистемы безопасности.
Доверие в цифровую эпоху — это не только конкурентное преимущество, но и потенциальная уязвимость. И если вы не знаете, насколько защищен ваш подрядчик, возможно, вы — следующая цель. Вопрос не в том, произойдет ли атака, а в том, готовы ли вы к ней.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Что такое атаки через подрядчиков?
Под атаками через подрядчиков часто понимаются кибератаки, в ходе которых злоумышленник компрометирует третью сторону (поставщика, подрядчика, вендора), чтобы получить несанкционированный доступ к конечной цели — заказчику. Международная компания MITRE, занимающаяся исследованием киберугроз, разделяет угрозы через третьих лиц на два типа: атаки через доверительные отношения (trusted relationship attacks) и через цепочку поставок (supply chain attacks).
В первом сценарии злоумышленники взламывают подрядчика или партнера компании, чтобы затем получить доступ к ее системам. Например, компрометация IT-аутсорсера может открыть хакерам путь к инфраструктуре и данным его заказчиков.
Атаки через цепочку поставок представляют собой взлом разработчика ПО, которое используется в компании-жертве, и внедрение в него вредоносного кода. Ставший уже классическим пример такой атаки — взлом SolarWinds в 2020 году, когда хакеры внедрили вредоносное обновление в ПО Orion, заразив тысячи организаций. Этот кейс прогремел по всему миру, но тогда — всего четыре-пять лет назад — это все еще был исключительный случай. Однако с тех пор этот вектор, как и атаки через доверительные отношения, продолжал развиваться и набирать популярность у хакеров. Совсем недавний пример — обнаружение в марте 2024 года бэкдора («закладки» с вредоносной функциональностью) в коде популярной утилиты xz Utils.
Сегодня, по нашим данным, атаки через доверительные отношения и цепочку поставок в совокупности занимают уже шестое место по частоте применения злоумышленниками.
Почему атаки через подрядчиков так популярны?
Дело в том, что механизм таких атак достаточно прост, но эффективен. Злоумышленники всегда ищут слабое звено, и им часто оказываются подрядчики с низким уровнем защиты. После взлома хакеры используют легитимные каналы связи между подрядчиком и основной целью. При этом киберпреступники избавлены от необходимости атаковать целевых жертв напрямую и сталкиваться с серьезной эшелонированной защитой, которая существует, например, в большинстве организаций финансового сектора.
Кроме того, такой метод атаки часто позволяет хакерам оставаться незамеченными столько, сколько это будет нужно.
«Эксперты RED Security SOC отмечают, что, получив доступ в инфраструктуру целевой жертвы через подрядчика, злоумышленники стараются максимально маскировать свою активность под обычные действия IT-аутсорсера».
И главное, один скомпрометированный подрядчик может стать стартовой точкой для атак на десятки или даже сотни организаций. Как следствие, взлом подрядчиков перестает быть инструментом сугубо для проведения таргетированных атак, когда хакеры сначала проводят разведку, выясняя, с каким подрядчиком сотрудничает целевая жертва. На смену этому приходит подход, при котором злоумышленники атакуют подрядчика, даже не ориентируясь на конкретного заказчика его услуг, — просто ради возможности широко развить атаку на всех его клиентов.
Ситуация в России
В России о случаях компрометации подрядчиков централизованно сообщает НКЦКИ (Национальный координационный центр по компьютерным инцидентам). С начала года на сайте ГосСОПКА появились уже два сообщения на эту тему.
Вероятно, хотя бы отчасти решить проблему мог бы список требований по кибербезопасности, применяемый в ходе закупочных процедур. Федеральная служба по техническому и экспортному контролю России разработала такие требования к подрядчикам в формате методических рекомендаций для субъектов КИИ в 2022 году. Однако в конце 2023 — начале 2024 года представители регулятора говорили о том, что необходимо дополнительно зафиксировать эти требования в законодательстве и ведомственных нормативно-правовых актах.
Но пока меры остаются рекомендательными, заказчики могут самостоятельно в рамках отдельных контрактов фиксировать определенные требования и условия, например, такие как обязательное уведомление об инцидентах, финансовая ответственность за ущерб в результате компрометации, а также доступ к логам информационных систем подрядчика и отчетам по безопасности или даже право на проведение аудитов и пентестов подрядчика. Все это не гарантирует стопроцентной защиты, но, по крайней мере, снижает риски и позволяет уменьшить негативные последствия в случае успешной кибератаки на подрядчиков.
Как защититься?
Как уже говорилось выше, атаки через подрядчиков и атаки через доверительные отношения очень сложно обнаружить. Они ведутся «ниже радаров» средств защиты, поэтому единственный работающий инструмент их выявления — это контроль любых действий подрядчиков в инфраструктуре и поиск аномалий в них. Этот подход не раз помогал специалистам RED Security SOC на ранней стадии обнаружить и заблокировать активность злоумышленников.
«Чтобы выявлять аномалии, сначала необходимо построить и формализовать описание стандартного поведенческого профиля подрядчиков. Сейчас специалисты центров мониторинга — внутренних или внешних — создают такие профили действий подрядчиков совместно с заказчиком. Для решения этой задачи может использоваться и искусственный интеллект. Это одна из тех ниш в сфере кибербезопасности, где его применение может дать достаточно быстрый результат».
Кроме того, очень важно с самого начала работы с подрядчиком, имеющим сетевой доступ в инфраструктуру компании-заказчика, применять некоторые превентивные меры защиты:
● Во-первых, выдавать минимально достаточные права на перемещение по инфраструктуре и доступ к системам, а также регулярно проводить аудиты внешних доступов.
● Во-вторых, внедрить жесткую парольную политику и многофакторную аутентификацию. В идеале доступ подрядчиков в инфраструктуру вашей компании должен происходить только через систему контроля доступа привилегированных пользователей, где все их действия будут фиксироваться.
Прогнозы экспертов
Атаки через подрядчиков — это не временный тренд, а новая реальность. Эксперты как RED Security, так и других компаний, работающих в сфере защиты от киберугроз, акцентируют внимание на том, что в 2025 году доля таких атак в общем числе киберинцидентов в России будет расти, если бизнес не начнет активно инвестировать в защиту цепочек поставок. Для страны это означает необходимость уже сейчас пересмотреть подход к выбору партнеров и выстраиванию экосистемы безопасности.
Доверие в цифровую эпоху — это не только конкурентное преимущество, но и потенциальная уязвимость. И если вы не знаете, насколько защищен ваш подрядчик, возможно, вы — следующая цель. Вопрос не в том, произойдет ли атака, а в том, готовы ли вы к ней.
