Эксперты рынка заявили, что ключевыми угрозами кибербезопасности российских организаций являются партнёры и сотрудники. Об этом накануне сообщило издание «Коммерсант».
Согласно статистике, за прошедший 2023 год отечественные организации существенно увеличили уровень закупок продуктов и услуг в сфере кибербезопасности. По информации профильных компаний, значительный рост наблюдается в секторе продаж комплексных продуктов для защиты от целевых кибератак через службы дистанционного доступа, ИТ-инфраструктуру подрядчиков и вредоносные email-сервисы. По данным аналитиков, спрос на подобные ИБ-продукты возрос примерно на 25%.
В то же время, спрос на средства защиты электронной почты увеличился на 80%, а на продукты защиты корпоративного периметра, к примеру, на те же сканеры уязвимостей, — на 120%.
В компании МТС Red также отмечают, что в 2023 году наблюдается рост интереса к базовым сервисам, которые обеспечивают киберустойчивость. Это, к примеру, продукты по мониторингу и реагированию на ИБ-инциденты, а также продукты для защиты от DDoS-атак. По аналитическим оценкам, спрос на такие решения в прошедшем году составил 50%.
В компании подчёркивают, что на долю кибератак на бизнес-партнёров и цепочки поставок программного обеспечения приходится около 30% от всех инцидентов кибербезопасности.
Андрей Заикин, Директор по развитию бизнеса в «К2 Кибербезопасность», указал на то, что речь в этой ситуации идёт о взломе информационных систем целевых организаций через программное обеспечение сторонних разработчиков или через подрядчиков, имеющих легитимный доступ. По словам эксперта, это требует от российских организаций введения ограничений на предоставление доступа к их ИТ-системам по принципу «только минимально необходимые права» в отношении своих же сотрудников и/или партнёров.
Алексей Хмельницкий, генеральный директор компании RooX, специализирующейся на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора:
“Компаниям следует уделять больше внимания аутентификации сотрудников и пользователей в целом. Это глобальная проблема. В июньском отчете об утечках данных Verizon Data Breach на кражу учетных данных приходится половина успешных проникновений. Но нужно соблюдать баланс между безопасностью и удобством разных категорий пользователей. Недостаточно удобная и продуманная аутентификация в систему может привести к её обходу самими сотрудниками, когда не помогут никакие запреты”.
Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft:
“Каждый из нас слышал поговорку: «Где тонко, там и рвется». И понятно, что механизм или процесс, находящийся в запущенном и неотлаженном состоянии, является причиной проблемы. В условиях трансформации и перехода к цифровой экономике, постоянного обмена данными между участниками процессов в режиме онлайн вопрос доверия является крайне важным, ведь уровень внедрения систем и решений информационной безопасности неравномерен. Поэтому правило «доверяй, но проверяй» должно являться базовым принципом при обмене данными как между партнерами, так и собственными сотрудниками.
Каждая информационная система или ее пользователь должны находиться в режиме постоянного мониторинга и проверки на предмет уязвимости и компрометации. Политика наименьших привилегий, микросегментация периметра и доступа к системам, да и в целом принцип нулевого доверия в модели безопасности в наше время является жизненной необходимостью”.
Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART:
“В практике Innostage CyberART тоже нередки случаи, когда причиной компьютерных инцидентов были именно атаки через цепочки поставок ПО, услуг, сервисов подрядными организациями и использование уязвимостей самих ИТ-продуктов, а также инфраструктур этих компаний. Мы сталкивались с тем, что защита сетевого периметра, инфраструктуры компании находится на достаточно хорошем уровне, а реализация атак была организована через “слабое звено” – бизнес-партнёра, у которого обеспечение информационной безопасности находится лишь на базовом уровне. Например, через взлом подрядчика были попытки шифрования и кражи конфиденциальных данных заказчика.
Чтобы обезопасить себя, компаниям следует предоставлять только минимально необходимые права доступа для подрядной организации, использовать дополнительные jump-сервера (так называемые “раздевалки”), либо решения класса PAM (Privileged Access Management), с обязательным мониторингом недопустимых событий аналитиками ИБ с применением решений класса SIEM.
Также обязательным должен быть процесс управления уязвимостями с использованием сканеров защищённости и решений класса VM. В случае использования заказной разработки необходимо выбирать подрядчиков, работающих в соответствии с ГОСТ Р 56939-2016 “Защита информации. Разработка безопасного программного обеспечения” и иными дополняющим ГОСТ требованиями (DevSecOps, SSDLC), а также использующих решения класса SAST, DAST, IAST, RASP. Как временное решение для закрытия актуальных уязвимостей программного обеспечения на периметре (веб-приложения) рекомендуется использовать решения класса WAF, с помощью которого можно подготовить патч с митигирующими действиями”.
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT:
“Освоить техники обмана и манипуляций и применять их с помощью интернет-переписок мессенджеров и т.д. на большом количестве целей зачастую гораздо менее трудоёмко , чем выполнять серьёзную техническую атаку на IT-сервисы компании, т.к. сотрудники, а именно живые люди, физически не могут проверить каждый параметр в переписке, например, удостовериться, что адрес отправителя в письме с большим количеством адресатов настоящий. Многие пользователи имеют рабочие привычки, повышающие удобство (в случае с электронной почтой, например, использование опции “Ответить всем”, особенно если сохранена стилистика сообщения и история прошлых сообщений), на которые рассчитано множество атак. Подобные нюансы работы нужно учитывать.
При расследовании реального киберинцидента существует много параметров, прямо или косвенно указывающих на источник атаки. По этим косвенным признакам можно отследить активность легитимного пользователя во время компрометации и с большой степенью точности определить существовал ли злой умысел с его стороны, или внешние злоумышленники использовали доступ сотрудника в своих целях. Например, в классических BEC-атаках (Business Email Compromise) всегда существует чёткая последовательность действий злоумышленника от момента компрометации до, например, подмены переписки, содержащей платёжные данные. В случае, при котором сотрудник действует сам, являясь внутренним злоумышленником, многих звеньев в этой цепи атаки просто не будет, что также помогает при расследовании.
Простого ответа на вопрос, как противодействовать таким угрозам, к сожалению нет. Существуют хорошо составленные программы обучения для сотрудников, которые помогают им внимательнее относиться к вопросам информационной безопасности. Для получения эффекта от обучения подобного рода необходимо провести организаторскую работу, а именно выстроить процесс обучения. В любом случае, полностью отказаться от инструментальных и технических средств защиты нельзя, как бы сотрудники ни были подкованы в вопроса ИБ, все эти меры должны работать в комплексе для максимального эффекта”.
Владимир Емышев, директор по развитию «МСофт»:
Очевидно, что слабым звеном любого процесса является человеческий фактор. В том числе, в обеспечении ИБ. В классической парадигме внутренних угроз ИБ в центре всегда сотрудник, будь то инсайдер, совершающий злонамеренные действия по личным мотивам, или легитимный пользователь, через которого злоумышленники пытаются получить доступ в сетевой периметр к ценным информационным активам, используя технологии OSINT, фишинга, социальной инженерии. Риск всегда был и будет высок как в России, так и в мире. Российские организации это осознают и прилагают немалые усилия для его минимизации.
Однако существует не менее актуальная угроза, которой долгое время не уделялось достаточно внимания. Речь о риске эксплуатации доверия, или атаке через цепочку поставщиков. Согласно отчетам аналитических компаний, риск эксплуатации доверия входит в ТОП-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, превысил 300%. Впечатляет, не правда ли?
Последние несколько лет большие зрелые компании в России делали огромные вложения в построение собственных систем защиты: укрепляли «рубежи», выстраивали процессы. Причем вполне успешно. И вроде бы CISO может спать спокойно, но нет. Эти большие зрелые компании по роду деятельности сотрудничают с разнокалиберными партнерами. Поверьте, ни один CISO не может быть на 100% уверен в том, что клиент его организации или даже поставщик программных продуктов ратует за ИБ так же, как он сам. А если деловые партнеры не уделяют достаточно внимания безопасности, они сами начинают нести угрозу: злоумышленнику нет нужды взламывать «главный вход», когда он может незаметно «просочиться» в большую зрелую компанию через «заднюю дверь». Достаточно взаимодействия этой компании с незащищенным партнером в цифровом пространстве.
Двойная угроза – партнерство с разработчиком программного обеспечения. Тут появляется дополнительный вектор: в продукт может быть внедрен вредоносный код, который под прикрытием легитимного софта попадет в ИТ-периметры заказчиков.
Вероятность реализации этой угрозы высока по следующим причинам:
- Информационные системы небольших организаций имеют низкий уровень защищённости. Очень часто процесс управления уязвимостями носит формальный характер, уязвимости не приоритизируются относительно критических бизнес-процессов, в том числе при взаимодействии с партнерами.
- Компании внедряют небезопасные компоненты из публичных репозиториев и используют ПО с открытым кодом. При использовании такого ПО вопросы о том, какая команда написала конкретный кусок кода, какие цели она преследовала, какими инструментами проверялся код – зачастую не задаются, а зря. Так же злоумышленники атакуют репозитории легитимных разработчиков, так называемый repojacking, и внедряют туда вредоносный код, который затем доставляется в компании заказчиков ПО.
- Оценка безопасности инфраструктуры поставщика носит формальный характер. Очень часто при установлении партнерских отношений с контрагентом и предоставлении доступа в инфраструктуру мы ограничиваемся подписанием NDA, реже отправляем опросный лист по безопасности из какого- нибудь мудрёного стандарта для успокоения совести и практически никогда не проверяем реальное состояние защищенности у контрагента.
Что делать?
- Использовать корпоративное ПО, при разработке которого применяются принципы SDLC, осуществляется проверка на уязвимости сторонних компонентов, проводится фазинг-тестирование.
- Разработать методику и внедрить процессы проверки уровня защищенности контрагента при заключении партнерских взаимоотношений, использовать специализированные системы для контроля и управления доступом к сети.
- Для реализации отдельных критичных бизнес-процессов использовать инструменты, которые смогут обеспечить применение корпоративных политик безопасности и распространить их действие на контрагентов в рамках коллаборации”.
Оригинал публикации на сайте CISOCLUB: "Ключевыми угрозами кибербезопасности российских организаций являются партнёры и сотрудники".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.