Найти тему
CISOCLUB - информационная безопасность
8308 подписчиков

Практическое руководство по защите от атак на цепочку поставок

10
8 мин
Оглавление

Атаки на цепочку поставок (Supply Chain Attack) в последние годы набирают популярность. Компании, которые являются целью злоумышленников, осознают значимость информационной безопасности: они управляют уязвимостями и инцидентами, проводят регулярные аудиты и тестирования на проникновения, реализуют все более совершенные меры защиты от угроз ИБ. Поэтому для нарушителей становится проще проникнуть в инфраструктуру организации через поставщиков услуг.

📷
📷

Как защитить бизнес от таких атак, рассказывает Денис Пащенко, заместитель директора департамента информационной безопасности STEP LOGIC.

Что такое атаки на цепочки поставок

Суть атаки сводится к получению несанкционированного доступа к инфраструктуре или данным организации через компрометацию сервиса или ИТ-услуг, предоставляемых третьим лицом. При этом сами поставщики услуг не являются непосредственными нарушителями, но их халатность или незащищенность может помочь злоумышленникам реализовать атаки. Примеры таких атак:

  • внедрение закладок или вредоносного кода в разрабатываемое на заказ ПО;
  • доступ к инфраструктуре после взлома подрядчиков, которые осуществляют техническую поддержку и сопровождение, посредством компрометации их данных доступа;
  • доступ к данным, обрабатываемым на хостинге, после взлома провайдера.

Почему атаки на цепочку поставок так опасны

Обычно они сочетают в себе несколько критичных факторов:

  • поставщик услуг считается легитимным пользователем, которому предоставляют доступ в инфраструктуру или к данным. Зачастую это профессиональные ИТ-услуги, поэтому таким подрядчикам доверяют и не ожидают атаки с их стороны;
  • у поставщика услуг часто бывают привилегированные права доступа: к исходному коду и среде разработки, к защищаемым данным, административный доступ к компонентам инфраструктуры;
  • отсутствие возможности управлять ИБ поставщика услуг – обычно организации отдают экспертизу в данном вопросе самому подрядчику.

Защита от атак на цепочку поставок

Компании должны уделять внимание не только внутренней ИБ, но и безопасности партнеров и поставщиков. Защита от атак на цепочку поставок может рассматриваться как классическая задача с точки зрения управления рисками ИБ. Если в организации процесс выстроен и отлажен, то сложностей с выбором мер защиты не возникнет.

Конкретные меры зависят от предоставляемых услуг – очевидно, что в случае с заказом разработки ПО они будут отличаться от кейса с провайдером облачной инфраструктуры. При этом есть и общие принципы. Традиционно решение состоит из организационных и технических мероприятий.

Организационная составляющая

Определите требования ИБ для поставщика услуг и обеспечьте контроль их выполнения. При взаимодействии с хостинг-провайдерами или разработчиками ПО, которые используют собственную среду разработки, данный подход является важным способом защиты.

  • Обозначьте существующие риски ИБ. Зафиксируйте риски в документах, регламентирующих взаимодействие организации с поставщиком услуг, а также обязанности и ответственность, связанную с ними. Не всегда такое возможно, особенно если это типовая услуга, но все же желательно проговорить данные моменты и учитывать их на этапе выбора поставщика услуг.
  • Включите в договор требования ИБ для поставщика услуг. Необходимо определить, какой минимальный уровень ИБ он должен обеспечивать. Это может быть соответствие уровням защищенности ИСПДн, классам ЗОКИИ или даже конкретный набор мер. Как раз первоочередной ориентир – это класс информации и систем, к которым предоставляется доступ.
  • Определите способ контроля защищенности. Речь прежде всего об информационных системах или компонентах поставщика услуг, которые взаимодействуют с инфраструктурой или где обрабатываются данные организации. В качестве способов могут быть определены внутренние или внешние аудиты, инструментальный анализ защищенности, тестирования на проникновения, анализ безопасности кода и т.д. Все зависит от ситуации, главное, чтобы была возможность контроля и проверки, что поставщик услуг действительно обеспечивает должный уровень ИБ и подтверждает это, предоставляя результаты аудитов.
  • Управляйте инцидентами ИБ. Определите процесс взаимодействия с партнером в случае инцидентов ИБ. Это касается как инцидентов, связанных с предоставляемыми услугами или сервисом, которые свидетельствуют о возможных атаках на цепочку поставок, так и событий на стороне поставщика, которые могут привести к атакам. Например, к массовому заражению вредоносным ПО. В идеале поставщик должен информировать о таких событиях, результатах нейтрализации и расследовании инцидентов.
  • Согласуйте матрицу коммуникаций. На ее основании оперативно взаимодействуйте по вопросам ИБ, в частности управляйте инцидентами ИБ при взаимоотношениях с поставщиком услуг.
  • Разделите меры ИБ с хостинг-провайдерами. Хостинг-провайдеры зачастую указывают соответствие требованиям 152-ФЗ, 187-ФЗ или ГОСТ 57580 в части защиты данных. При этом многие меры защиты остаются за самой организацией. Поэтому необходимо четко определить, на какой компании лежит ответственность за реализацию каких мер ИБ и в каком объеме.
  • Определите требования SLA в части оказываемых услуг. От них зависит работоспособность инфраструктуры организации. Это стандартная мера, но забывать про нее не стоит.

Вопросы ответственности за инциденты ИБ редко удается специфицировать в договорных документах, чаще они решаются в рамках законодательства. При атаках на цепочку поставок провайдер услуг не является нарушителем безопасности данных или инфраструктуры организации, поэтому обычно его не привлекают к ответственности, за исключением случаев, когда он обязан осуществлять защиту данных в соответствии с требованиями законодательства. Например, подрядчик ведет обработку ПДн по поручению либо предоставляет хостинг для государственных информационных систем или значимых объектов КИИ. Однако возможно привлечь его к ответственности за нарушение требований договора, поэтому это стоит тщательно продумывать.

Техническая составляющая

Это решения и меры, направленные непосредственно на защиту от атак на цепочку поставок.

  • Управляйте доступом. Как уже говорилось, поставщику услуг требуются расширенные привилегии, но даже в таком случае их следует ограничивать по принципу минимальной необходимости как на уровне сети, так и системного и прикладного ПО.
  • Например, администраторам прикладного ПО не обязательно иметь доступ к настройкам ОС и/или СУБД, а для разработчиков или тестировщиков должна вводиться ролевая модель в соответствии с принципами DevSecOps. Хорошим решением станет использование концепции ZTNA. Стоит также продумать и процесс управления доступом: согласование пользователей и их прав, контроль их актуальности при ротации команды подрядчика, управление аутентификаторами (кто и как выдает второй фактор или ключи шифрования), предоставление доступа на время по запросу и другие меры.
  • Обеспечьте защиту подключений. Чаще всего услуги предоставляют удаленно с использованием каналов взаимодействия, которые нужно защищать. Используйте VPN (с ГОСТовым шифрованием, если существует необходимость), межсетевое экранирование с жесткими правилами и явным указанием адресов, многофакторную аутентификацию, системы контроля действий привилегированных пользователей (PAM), jump-серверы и т.д. Помимо непосредственно защиты, обеспечьте доступность канала взаимодействия – договоритесь об использовании резервного канала в случае необходимости.
  • Защитите локальный доступ. Если поставщик услуг имеет прямое взаимодействие с инфраструктурой, то логично накладывать, как минимум, общие корпоративные требования безопасности к его устройствам и доступу: наличие актуальных обновлений безопасности, средств защиты от вредоносного ПО, использование DLP, 802.1х и т.д. При этом желательно реализовывать подключения через выделенные контролируемые точки сети с управлением сетевыми потоками.
  • Защитите компоненты передаваемых поставщику услуг. В случае сервисного обслуживания или иных ситуаций, когда оборудование и носители информации организации передаются поставщику, позаботьтесь о рисках, связанных с несанкционированным получением доступа к данным или внедрению закладок. Удалите или шифруйте данные, по возможности изымайте носители, контролируйте вскрытия и целостность оборудования.
  • Обеспечьте видимость действий поставщика услуг. Речь как о непосредственном контроле действий работников третьей стороны (нарушители могут действовать из-под них после компрометации), так и о мониторинге возможных атак с его стороны. Для этого необходимо реализовать мониторинг событий ИБ и управление инцидентами для данной зоны: уже упомянутые ранее системы NGFW, PAM, DLP, а также SIEM и SOAR для управления и корреляции событий и выявления инцидентов ИБ с правилами, создаваемыми для конкретных ситуаций. В случае разработки ПО может идти речь о контроле целостности и управлении среды разработки, программного кода.
  • Контролируйте получаемое ПО. Если говорить о поставке ПО, обновлениях или разработке на заказ, то основными мерами будут контроль целостности получаемого ПО/кода (защита каналов, а также цифровая подпись, проверка хэшей и т.д.), а также проверка его на безопасность с помощью анализаторов кода SAST, DAST, SCA.

Что еще посмотреть

  • Разумеется, это лишь наиболее распространенные и характерные меры защиты. Во всех конкретных случаях их подбирают в соответствии с типами информационного взаимодействия и рисками ИБ. Более подробно с подходом можно ознакомиться в соответствующих стандартах:
  • ГОСТ Р ИСО/МЭК 27036-1-2021 – риск-ориентированный подход к защите от атак на цепочку поставок;
  • ГОСТ Р ИСО/МЭК 27036-2-2020 – описание мер при взаимодействии с поставщиками услуг в общих случаях;
  • ISO/IEC 27036-3:2013 – описание мер при работе с поставщиками информационных и коммуникационных технологий (пока не имеет русскоязычной адаптации);
  • ГОСТ Р ИСО/МЭК 27036-4-2020 – описание мер при взаимодействии с облачными провайдерами;
  • NIST SP 800-161 – детальный фрэймворк по реализации риск-ориентированного подхода при управлении поставщиками услуг, каталог мер и методика формирования сценариев угроз и выбора соответствующих мер защиты.

Оригинал публикации на сайте CISOCLUB: "Практическое руководство по защите от атак на цепочку поставок".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Взгляните на эти темы
Безопасность и правопорядок
Общество
Найти тему
ЖКХ
История религии
Общественный транспорт
Экология
Репетиторство
Как живут в Армении
Сельское хозяйство
Происшествия
Служба в армии
Борьба и самбо
Россия глазами иностранцев
Демография
Как живут в Финляндии
Мой Алтайский Край
Преступления
Парковки
Энергетика и электросети
Моя Анапа
Общество
14,16 млн интересуются