Угрозы на аутсорсе – как хакеры обходят самые продвинутые системы защиты

С ростом оснащенности российских компаний средствами информационной защиты хакеры ищут «обходные пути», незаметно внедряясь в цепочки поставок бизнеса и предприятий. По данным исследований российских специалистов, 42% всех кибератак в 2024 году произошли через инсайдеров. Это подрядчики, а также действующие или бывшие сотрудники, которые могут нанести серьезный ущерб ИТ-инфраструктуре.

О том, как именно хакеры атакуют подрядчиков, и на что нужно обратить внимание при заключении контракта на аутсорс, рассказал руководитель технического центра «АйТи Бастион» Владимир Алтухов.

Почему хакеры все меньше атакуют компании напрямую

Повсеместная удаленка внесла свои корректировки не только в рабочий график, но и в защитные меры организаций. Гиганты рынка и государство при переходе на систему домашнего офиса грамотно укомплектовались средствами информационной защиты.

У малого и среднего бизнеса (далее МСБ) ситуация же сложилась не так просто. Во-первых, хакеры все чаще стали рассматривать МСБ как слабое звено: больших бюджетов под внедрение серьезного ИБ-контура может быть и нет, но деньги на выкуп хакерам в обороте компании всегда найдутся. А во-вторых, атаки на цепочки поставок позволяют злоумышленникам работать «по-крупному». Через одну небольшую компанию-подрядчика в среднем можно выйти на 10 больших игроков, которых он обслуживает. Внедрившись в инфраструктуру поставщика, как минимум можно найти данные, которые монетизируются на черном рынке: от клиентских баз до коммерческих тайн. А через привилегированные учетные записи можно получить полноценный доступ и управление информационными системами заказчиков, не тратя время на долгие поиски уязвимостей в почти идеально защищенных системах энтерпрайза.

Как атакуют подрядчиков

Инструменты хакеров и осведомленность пользователей сделали серьезный шаг вперед, но самым популярным способом атаки остается компрометация учетных записей. Многие компании до сих пор работают без многофакторной аутентификации, и при таком подходе для входа в систему достаточно лишь знать логин и пароль. Чтобы добыть их, применяются сотни техник социальной инженерии, подкуп, кража физических носителей конфиденциальной информации и т.д. 

Нужно понимать, что далеко не все злоумышленники начинают исполнять вредоносный код, сразу попадая в систему жертвы. В тренде сейчас шпионские программы, которые могут годами собирать информацию о деятельности компании – чтобы однажды, например, провести успешный взлом сразу всех ее крупных клиентов. Отсутствие систем мониторинга безопасности в компаниях, берущих подряды, превращает их практически в идеальные полигоны для эксплуатации уязвимостей.

Классический пример – атака на американского разработчика промышленного ПО SolarWinds, когда злоумышленники получили доступ к системе сборки приложения и добавили закладку в одну из библиотек (.dll файл), который с автоматическим обновлением продукта SolarWinds Orion «улетел» ко всем заказчикам компании. После загрузки закладка подключалась к серверу и получала задачи для выполнения на зараженных компьютерах. Среди конечных жертв оказались крупнейшие мировые корпорации и государственные структуры США

Как оценить ненадежность подрядчика перед заключением договора

Каких-либо законодательных требований к подрядчикам у регуляторов на данный момент нет. По закону ответственность за все инциденты ложится на заказчика, поэтому систему безопасности потенциального контрагента необходимо изучить до начала сотрудничества. Малый и средний бизнес в силу разных причин не может быть укомплектован передовыми системами ИБ разных классов, но придерживаться базовых принципов кибергигиены и конфиденциальности – обязательный пункт. Также стоит обратить внимание на наличие лицензии на предоставляемые услуги – это будет еще одним обнадеживающим фактором. А для полного понимания картины поищите тех, у кого уже есть опыт сотрудничества с вашим поставщиком, и узнайте, все ли проходило гладко во время сотрудничества.

Но даже действия «доверенных подрядчиков», в чьей надежности нет сомнений, критически важно контролировать. Под учетной записью исполнителя может быть кто угодно, и доверие «по умолчанию» когда-нибудь может сыграть злую шутку. У многих контроль ассоциируется с ограничениями, но для специалистов по информационной безопасности – это способ понимать, что происходит в инфраструктуре.

Как обеспечить контроль доступа для поставщиков услуг

Контроль доступа — это не просто мера предосторожности, но и важная часть общей стратегии киберзащиты. Наша PAM-платформа (англ. Privileged Access Management) СКДПУ НТ помогает реализовать такую стратегию на практике. Система позволяет отслеживать все действия привилегированных пользователей в рамках ИТ-инфраструктуры и всегда иметь четкую картину происходящего. 

Подобный функционал есть у многих решений данного класса, но мы пошли дальше – СКДПУ НТ не просто «наблюдает» за привилегированными пользователями, но и анализирует каждое действие, что позволяет с максимальной точностью прогнозировать возникновения инцидентов. Для этого мы используем алгоритмы, которые анализируют поведение каждого сотрудника, и могут выявлять нехарактерные признаки: например, если учетная запись будет авторизована поздно ночью из другой страны, или от аккаунта администратора исходит подозрительный интерес к ресурсам, с которыми он никогда не был связан. Система распознает аномальную активность, автоматически прерывает сессию и уведомляет сотрудников службы безопасности компании для дальнейшего расследования.

Коммерческая польза от контроля доступа

Но давайте честно, работа с подрядчиками — это всегда немного лотерея. Отдал задачу на аутсорс, заплатил, а результат не устраивает. У пользователей СКДПУ НТ есть техническая возможность проверить, оплачены ли реальные услуги или только обещания. 

История начинается, как тысячи аналогичных – ИТ-подрядчик приходит к заказчику и просит доплатить за проект, который, по его словам, оказался гораздо объемнее, чем предполагалось. Но прежде, чем подписать чек на допрасходы, эффективность исполнителя проверяют подсистемой СКДПУ НТ «Мониторинг и аналитика». По итогу наши пользователи получают отчет примерно следующего содержания: больше половины срока, отведенного на проект, хост подрядчика практически не проявлял активности, а с приближением дедлайна число сессий кратно возросло. Подобный отчет по действиям в инфраструктуре обычно служит весомым аргументом, чтобы подрядчик все-таки закончил работы без каких-либо дополнительных расходов для компании.

Реклама.18+.Рекламодатель ООО «АйТи Бастион». ИНН 7717789462,ОГРН 1147746810056

Данные о правообладателе фото и видеоматериалов взяты с сайта «Телеспутник», подробнее в Правилах сервиса
Анализ
×