Изображение: recraft
Атаки на цепочку поставок программного обеспечения (Software Supply Chain Attacks) уже несколько лет подряд входят в топ-угроз для бизнеса. Вместо того, чтобы пытаться пробраться через защищенный периметр компании, злоумышленники используют слабые звенья — подрядчиков, поставщиков, обновления или администраторов с избыточными правами. Вот почему такие атаки трудно обнаружить и зачастую сложно предотвратить.
Контроль за привилегированным доступом выходит на первый план. Именно администраторы, разработчики и подрядчики чаще всего становятся невольными «проводниками» угроз. Чтобы минимизировать этот риск, бизнес внедряет ПАМ-системы (англ. PAM — Privileged Access Management), которые позволяют централизованно управлять, ограничивать и отслеживать все действия с повышенными правами. Разбираемся вместе с экспертами компании «АйТи Бастион».
Где рождаются угрозы
Современные ИТ-системы напоминают конструктор из множества разных деталей: собственные модули разработки, сторонние библиотеки, облачные сервисы, CI/CD-процессы, утилиты и API. Изменение или компрометация одного из этих элементов может обернуться проблемой для всей инфраструктуры. И она давно уже перестала быть теорией: статистика показывает, что атаки на цепочку поставок стали массовым явлением.
Так, по данным российских исследований, более 60 % компаний сталкивались с ситуациями, когда вредонос попадал в инфраструктуру через обновления или внешние компоненты. Так, около 60 % компаний финансового сектора в России в 2023 году подвергались атакам на цепочку поставок ПО, а средний ущерб от одного инцидента составил порядка 3,6 млн рублей. Около 62 % компаний в 2024 году пострадали от программ-вымогателей через цепочки поставок, когда вредоносное ПО внедрялось через скомпрометированные продукты или компоненты. А в ритейле, например, ситуация оказалась еще острее: 64 % компаний сообщали о киберинцидентах через доступ третьих сторон — поставщиков, логистических операторов и подрядчиков.
Эксперты «АйТи Бастион»: «Сегодня уже недостаточно защищать только периметр. Да и что сейчас стоит считать четким периметром компании? Угроза может прийти в самых неожиданных местах. Мы видим, что доверие к бренду или известному поставщику само по себе не гарантирует безопасности. Ключевая задача — выстраивать доверие именно к процессу поставки и каждому его участнику: от разработчика и подрядчика до инфраструктурных сервисов и администраторов, которые имеют доступ к этим системам. Только тогда можно говорить о настоящей устойчивости к атакам на цепочку поставок».
Из этого вытекает важный момент: одних технологий недостаточно. Основное в защите — конечно, прозрачность: аудит всех компонентов, проверка источников и понимание, кто, когда и зачем вносит изменения. И, как показывает практика, основная проблема чаще всего упирается не в технологии, а в человека — прежде всего администраторов и подрядчиков, обладающих повышенными правами.
Почему админ-доступ — цель номер один
Для хакеров компрометация одной учетной записи администратора ценнее, чем десятки пользовательских аккаунтов. Обладатель «ключей от всех дверей» может не только украсть данные, но и внедрить вредонос в само ядро системы, например, в процесс разработки или обновления.
И именно здесь становится очевидной главная уязвимость внутренних процессов. Проблема в том, что во многих компаниях до сих пор сохраняется практика «широких и постоянных прав», потому что «так принято» и «работает давно». Администраторам и разработчикам выдают доступ «на всякий случай», подрядчикам открывают каналы без строгого контроля, а учетные записи редко проверяются и обновляются.
Эксперты «АйТи Бастион»: «Злоумышленникам зачастую не нужно в лоб ломать инфраструктуру — это слишком шумно, дорого и рискованно. Гораздо проще подождать момента, когда кто-то из сотрудников по невнимательности, спешке или из-за рутины фактически сам откроет им дверь. Фишинг, использование слабых или повторяющихся паролей, работа без многофакторной аутентификации — все это превращается в удобные точки входа. И именно поэтому грамотный процесс управления доступом, включая привилегированный, становится сегодня одной из ключевых мер защиты».
На практике эту задачу решает внедрение ПАМ (англ. PAM — Privileged Access Management), ведь именно такая система убирает постоянные права и вводит принцип «минимальных привилегий». Доступ предоставляется только тогда, когда он действительно нужен, и только к тем ресурсам, которые необходимы для выполнения конкретной задачи.
Мониторинг и аудит: зачем нужны записи сессий
Даже если защита дала сбой и злоумышленник все-таки проник внутрь инфраструктуры, это еще не значит, что он останется незамеченным. Его действия можно отследить и зафиксировать. Один из главных инструментов ПАМ — это запись и мониторинг всех сессий с повышенными правами.
При этом важно подчеркнуть, что речь идет не только о сухих логах. Речь идет и о полноценной записи: видно, какие окна открывались, какие команды выполнялись, какие изменения вносились и пр. Такой подход работает сразу в нескольких направлениях: помогает расследовать инциденты, дисциплинирует сотрудников и подрядчиков, позволяет выявлять ошибки и обучать новых специалистов, снижает вероятность спорных ситуаций. И поверх этого, разумеется, применяются современные технологии обработки информации — поведенческая аналитика и возможности автоматического детектирования аномалий.
Эксперты «АйТи Бастион»: «Мониторинг не только повышает уровень безопасности, но и дисциплинирует сотрудников, работающих с критичными системами. Важно понимать, что это не про тотальный контроль ради галочки или формального соответствия требованиям. Это механизм, который помогает вовремя заметить подозрительную активность, предотвратить ошибки персонала, а в случае инцидента — быстро восстановить картину происходящего. Более того, записи сессий часто становятся полезным инструментом для обучения и повышения квалификации специалистов, ведь на реальных примерах легче анализировать риски и корректировать процессы».
Зная, что их действия записываются, сотрудники становятся внимательнее: снижается вероятность случайных ошибок, невнимательных кликов и рискованных действий «на автомате». Такой психологический эффект самодисциплины работает не хуже, чем формальные регламенты. Для специалистов по ИБ записи сессий — это ценнейший источник данных при расследовании инцидентов, анализе поведения пользователей и выявлении слабых мест в процессах. Более того, наличие прозрачной истории действий помогает быстрее разбирать спорные ситуации с подрядчиками и повышает общий уровень доверия внутри команды. И работает это, кстати, в обе стороны: благодаря мониторингу поставщики тоже могут доказать свою непричастность к инциденту.
Zero Trust в действии
Сегодня атаки на ИТ-инфраструктуру становятся все более разнообразными, и привычных мер защиты уже недостаточно. Бизнесу важно мыслить стратегически: не только закрывать периметр, но и строить систему контроля за самыми «привилегированными» точками входа. Именно здесь на первый план выходит внедрение ПАМ-систем, которые, по сути, становятся воплощением философии Zero Trust: никому нельзя доверять по умолчанию, даже если это штатный «проверенный и надежный» администратор.
Такие решения позволяют автоматически менять и хранить пароли и ключи, пускать в инфраструктуру только через защищенные шлюзы, разграничивать доступ по ролям и уровням доверия, подключать многофакторную аутентификацию, интегрироваться с SIEM и другими системами безопасности, в реальном времени отслеживать и блокировать подозрительные действия. В итоге бизнес получает не просто инструмент контроля, а комплексную систему, которая делает работу персонала безопаснее, а инфраструктуру — устойчивее к атакам.
Эксперты «АйТи Бастион»: «ПАМ — это не просто про контроль доступа. Это про доверие, проверенное делом, временем и… логами. Когда каждый вход зафиксирован, каждое действие можно воспроизвести и проверить, исчезает фактор «слепой веры» в администратора или подрядчика. Бизнес начинает доверять не человеку, а прозрачности процессов и доказательствам. Именно так формируется зрелая модель безопасности: не обещаниями и порой надеждой на «авось пронесет», а конкретными фактами и полной воспроизводимостью любых действий в критической инфраструктуре».
И именно централизованный подход делает ПАМ особенно эффективным. Все действия с привилегированными правами собираются «в одну точку», что позволяет быстро увидеть аномалии и реагировать на них до того, как они приведут к серьезным последствиям. Такой подход превращает мониторинг привилегированных действий из формальной процедуры в инструмент проактивной защиты инфраструктуры.
Очень сложно или почти невозможно
Атаки на цепочку поставок — вызов не только для ИТ-службы, но и для всей компании. Это вопрос прозрачности процессов, зрелости управления и культуры работы с информационными системами в целом. А контроль привилегированного доступа — фундамент надежной защиты. Без него любые другие меры остаются половинчатыми.
Именно здесь и приходят на помощь ПАМ-системы. Они позволяют минимизировать пресловутый человеческий фактор, защититься от злоупотреблений и ошибок, укрепить доверие к процессам внутри компании и со стороны партнеров. Дают возможность полностью контролировать ИТ-периметр, делая управление привилегиями более безопасным и предсказуемым.
Поэтому сейчас — это уже не дань моде, а реальный шаг, который помогает бизнесу выжить в условиях растущих угроз. Когда доверие больше не выдается автоматически, его нужно подтверждать на каждом этапе работы с инфраструктурой.
Автор: Константин Родин, заместитель директора по развитию бизнеса компании «АйТи Бастион» (г. Москва).
Оригинал публикации на сайте CISOCLUB: "Как защититься от атак на цепочку поставок ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
