Почему в 2025 году угроза стала критической?
Вы только что получили уведомление о критическом обновлении корпоративного ПО. Установка занимает пару минут, но через час ваши серверы начинают вести себя странно: данные утекают, а брандмауэры молчат. Оказывается, обновление содержало скрытый бэкдор — вас атаковали через цепочку поставок ПО.
Это не гипотетический сценарий. По данным CyberProof, в 2025 году атаки на цепочки поставок выросли на 68% по сравнению с 2024 годом. Вредоносные обновления стали излюбленным инструментом хакеров: они используют доверие к вендорам, чтобы заражать тысячи компаний одним взломом.
Почему это работает?
- Обновления редко проверяют — если подпись верна, код считается безопасным.
- Антивирусы бессильны — вредоносный код маскируется под легитимные процессы.
- Масштаб поражения огромен — один взлом вендора = тысячи зараженных систем.
Примеры:
- Атака на Polyfill.io — через обновление JavaScript-библиотеки хакеры заразили 380 000 сайтов, включая корпоративные ресурсы.
- Компрометация облачных интеграций Snowflake — через уязвимости в обновлениях злоумышленники похитили данные клиентов Ticketmaster и AT&T.
- XZ Utils — злоумышленник годами встраивал бэкдор в популярную утилиту Linux, которая попала в дистрибутивы.
Финансовые последствия:
Глобальные убытки от атак на цепочки поставок к 2025 году достигли $138 млрд — в 3 раза больше, чем в 2023 .
Как атакуют через обновления в 2025 году?
1. Внедрение вредоносного кода в библиотеки
- Хакеры атакуют популярные open-source-библиотеки, которые используют разработчики. Например:
- Подмена зависимостей — злоумышленники загружают в репозитории (npm, PyPI) вредоносные пакеты с именами, похожими на легальные.
- Атака на maintainers — как в случае с XZ Utils, где злоумышленник годами втирался в доверие к разработчикам, чтобы внедрить бэкдор.
Почему это опасно?
Даже если ваша компания не использует напрямую скомпрометированную библиотеку, она может попасть в ваш стек через косвенные зависимости.
2. Взлом серверов обновлений вендоров
Хакеры проникают в инфраструктуру разработчиков ПО и:
- Подменяют дистрибутивы обновлений (как в SolarWinds).
- Крадут сертификаты подписи, чтобы вредонос выглядел легальным.
3. Атаки на облачные CI/CD-цепочки
В 2025 году участились атаки на системы автоматической сборки ПО (GitLab, Jenkins):
- Через уязвимости в контейнерах Docker.
- Через компрометацию токенов доступа к репозиториям.
Как защититься? 5 ключевых стратегий на 2025 год
1. Аппаратная защита ключей (HSM, TPM)
Проблема: Цифровые подписи можно украсть, если ключи хранятся на обычном сервере.
Решение:
- HSM (Hardware Security Module) — физические устройства.
- TPM 2.0 — чипы в серверах и ПК, проверяющие целостность системы перед загрузкой.
Плюсы:
✔ Ключи невозможно извлечь программно.
✔ Защита от инсайдерских угроз.
2. Контроль целостности обновлений
- Проверка цифровых подписей (не только наличия, но и актуальности сертификатов).
- Анализ SBOM (Software Bill of Materials) — полный список компонентов ПО, включая зависимости.
- Запуск обновлений в песочнице перед установкой в продакшен.
Как работает запуск обновлений в песочнице?
Изоляция среды
Песочница создает виртуальную копию ОС, где запускается обновление. Все изменения (установка файлов, модификация реестра и т.д.) остаются внутри этой среды и удаляются после ее закрытия.
Пример:
Windows Sandbox (встроена в Windows 10 Pro/Enterprise и Windows 11).
Контроль поведения
Система отслеживает действия обновления: попытки доступа к сети, изменение системных файлов, запуск подозрительных процессов. Например, если обновление пытается подключиться к незнакомому серверу, это фиксируется как угроза.
Автоматическая очистка
После завершения теста песочница удаляет все следы обновления, включая временные файлы и настройки. Это исключает риск "заражения" основной системы.
3. Zero Trust для цепочек поставок
- Сегментация сети — изоляция систем, получающих обновления.
- Многофакторная аутентификация (MFA) для доступа к репозиториям.
4. Мониторинг аномалий в реальном времени
- SIEM-системы для отслеживания подозрительной активности после обновлений.
- EDR/XDR — обнаружение вредоносного поведения процессов (например, неожиданные сетевые подключения).
5. Российские решения для защиты цепочек поставок
В условиях санкций многие компании переходят на отечественные продукты:
- PT Application Inspector (Positive Technologies) — анализ уязвимостей в коде и зависимостях.
- Kaspersky Security для облаков — защита CI/CD-цепочек.
- Cicada8 Dependency Firewall — блокировка вредоносных компонентов до их попадания в инфраструктуру.
Что делать уже сегодня?
- Аудит текущих процессов обновлений — кто, как и когда их проверяет?
- Внедрить SBOM — знать все компоненты вашего ПО.
- Перейти на аппаратное хранение ключей (HSM/TPM).
- Тестировать обновления в изолированной среде.
- Рассмотреть российские решения, если используете уязвимые зарубежные продукты.
В Sympace мы понимаем, что безопасность — это не разовая настройка, а комплексный процесс. Наша команда помогает бизнесу внедрять надежные решения от ведущих вендоров, минимизируя риски и обеспечивая бесперебойную работу ИТ-инфраструктуры.
Sympace — ваш партнер в безопасных ИТ-закупках. Без нервов, с заботой о вашей безопасности.