Найти в Дзене
InsightHub
98 подписчиков

Эффективная защита supply chain ИБ: подробная инструкция 2025

1
4 мин
Однажды нам в офис пришёл заказчик — солидная промышленная компания с оборотом в миллиарды. Его ИТ-директор сел напротив, посмотрел на меня и сказал: «Нашу цепочку поставок уже дважды взламывали. Тихо. Через подрядчиков. Третьего раза не переживём». В тот момент я поняла: supply chain ИБ — уже не «дело безопасности», это вопрос выживания бизнеса. Атаки становятся изощрённее, задерживаются на ранних стадиях, маскируются под легитимные процессы. Настоящие разведчики. И если вы не контролируете цепочку поставок, то, по сути, вы не контролируете свой софт. Именно поэтому сегодня — больше про действия, чем про концепции. Если коротко, supply chain ИБ — это всё, чем определяется безопасность вашей программы от идеи до запуска. Написание кода. Подрядчики. Зависимости. Протестированные сборки. Всё. Любая уязвимость среди этих кусочков — это открытая дверь. Кто-то может подменить компонент, скомпрометировать CI/CD или внедрить бэкдор через библиотеку. Именно это случилось, например, с SolarWind
Оглавление
эффективная-защита-supply-chain-иб-подробная-инструкция-2025 Виктория Гамзаева
эффективная-защита-supply-chain-иб-подробная-инструкция-2025 Виктория Гамзаева

Однажды нам в офис пришёл заказчик — солидная промышленная компания с оборотом в миллиарды. Его ИТ-директор сел напротив, посмотрел на меня и сказал: «Нашу цепочку поставок уже дважды взламывали. Тихо. Через подрядчиков. Третьего раза не переживём».

В тот момент я поняла: supply chain ИБ — уже не «дело безопасности», это вопрос выживания бизнеса.

Атаки становятся изощрённее, задерживаются на ранних стадиях, маскируются под легитимные процессы. Настоящие разведчики. И если вы не контролируете цепочку поставок, то, по сути, вы не контролируете свой софт. Именно поэтому сегодня — больше про действия, чем про концепции.

Что такое supply chain ИБ

Если коротко, supply chain ИБ — это всё, чем определяется безопасность вашей программы от идеи до запуска. Написание кода. Подрядчики. Зависимости. Протестированные сборки. Всё.

Любая уязвимость среди этих кусочков — это открытая дверь. Кто-то может подменить компонент, скомпрометировать CI/CD или внедрить бэкдор через библиотеку. Именно это случилось, например, с SolarWinds. А Log4j? Легендарная уязвимость, которая приходила через миллионы безобидных Java-сборок.

Факт: до 70% известных уязвимостей приходят от сторонних компонентов. А частота атак на цепочки поставок за последние два года выросла вдвое. Намёк понятен.

Аудит подрядчиков как ключевой элемент защиты

Я не раз видела, как IT-департамент удивлялся: «А чего у нас подрядчик запускает свое ПО без сканирования?». Ну вот потому и надо аудировать подрядчиков.

Что проверяем:

  • соответствие стандартам, например, ISO/IEC 27036;
  • их процессы разработки, контроля версий, безопасность тестирования;
  • готовность реагировать на инциденты.

Один генеральный заказчик рассказывал: «После первого аудита мы поменяли двух подрядчиков. Они даже не знали, что такое SBOM». Бывает.

А ещё включаем пункты в договоры. Под ответственность. Под санкции. Под регулярные ревизии. Пока это не стандарт на каждом тендере — стоит сделать своим преимуществом.

Использование SBOM в процессе защиты цепочки поставок

SBOM (Software Bill of Materials) — как рентген для вашего продукта. Кто сделал? Откуда? Какие компоненты внутри?

Я однажды наблюдала, как команда искала, где в коде их CRM-решения спрятались уязвимости. Оказалось — библиотека на третьем уровне вложенности. Никто про неё даже не знал. SBOM решает эту проблему.

Он:

  • показывает весь состав продукта и все зависимости — даже глубоко спрятанные;
  • позволяет быстро находить уязвимые библиотеки;
  • интегрируется в CI/CD и системы управления уязвимостями.

В одной из наших команд SBOM помог сократить время обнаружения уязвимостей на 40%. Это не цифра — это конкретные риски, которые не стали атаками.

На госуровне SBOM уже становится обязательным. И это хорошо.

CI/CD-сканирование для обеспечения безопасности

Я люблю CI/CD. За скорость. За гибкость. Но одновременно — это прекрасный инструмент попадания вредоносного кода в продакшн.

Поэтому используется CI/CD-сканирование. Что это:

  • автоматическая проверка кода, зависимостей, артефактов на каждом этапе;
  • блокировка уязвимых сборок до деплоя;
  • уведомления и отчёты для команд DevOps и безопасности.

В одной телеком-компании после внедрения таких сканирований сократили количество критичных уязвимостей в проде на 60%. За год. Без героизма.

Из инструментов удобны Snyk, SonarQube, Trivy и российские ScanCode или Dr.Web. Выбор — под конкретную архитектуру и команду.

SLSA-уровни: что это и зачем они вам

SLSA (Supply Chain Levels for Software Artifacts) — звучит как формальность. Но это один из самых структурных подходов к защите цепочки.

Каждый уровень описывает — что и как должно быть защищено. От “сами в репозитории коммитим” до полной валидации артефактов, доказательств происхождения и автоматизации сборок.

В моей практике мы с техдиректором ставили себе игру: на какой SLSA-уровень выходит наш проект? Сначала был Level 1. Сейчас в команде часто держим 2 и движемся к 3.

В России крупные корпорации уже включают SLSA-подходы в цифровую трансформацию. Это повышает доверие и просто бережёт нервы.

Заключение

Вся эта история — не про моду. Она про устойчивость вашего бизнеса. Про ваши данные. И про доверие клиентов. А ещё про то, что вы лично можете сделать.

Хорошая цепочка поставок в ИБ состоит из:

  • регулярного аудита подрядчиков;
  • разумно внедрённого SBOM;
  • CI/CD-сканирования «по умолчанию»;
  • и прагматичных шагов к уровню SLSA хотя бы 2.

Я всегда говорю: «Безопасность — это не когда всё защищено. Безопасность — это когда вы точно знаете, что и как контролируете».

Проверьте свою цепочку поставок. Спросите: а всё ли в ней под вашим контролем?

Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал сюда

Календарь мероприятий — здесь

Похожие статьи

📷
📷

Безопасность и правопорядок
95,2 тыс интересуются