Атаки через подрядчиков стремительно стали одним из самых опасных векторов взлома: легитимный доступ, слабые процессы и ошибки конфигурации создают для злоумышленников удобные точки входа. Мы расширяем периметр, доверяя внешним исполнителям, но не всегда успеваем выстроить контроль за ними.
Авторы:
Артем Назаретян, руководитель BI.ZONE PAM
Антон Киселев, руководитель департамента развития сервисов информационной безопасности iTPROTECT
– Начнем с общей картины: как обстоят дела с атаками через подрядчиков?
Артем Назаретян: Для атакующих ситуация благоприятна. Подрядчики – удобная точка входа: у них много клиентов, а также часто есть привилегированные учетные записи. По данным BI.ZONE DFIR [1], в 2025 г. с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 г. этот показатель составлял 15%. Взломав подрядчика, злоумышленник получает доступ к нескольким целям сразу, в том числе к правам администратора на серверах и сервисах заказчиков. Это позволяет нанести серьезный ущерб. По нашим оценкам, каждый шестой критический инцидент прошлого года связан с атаками через подрядчиков. По другим оценкам – четверть всех взломов связана с легитимными учетными записями и службами удаленного доступа, в том числе подрядчиков.
– Почему атакуют через подрядчиков, а не напрямую?
Антон Киселев: Потому что крупные заказчики обычно хорошо защищены и попасть к ним напрямую сложнее. Проще скомпрометировать небольшого подрядчика, получить его креды и затем через них уже попытаться реализовать атаку на инфраструктуру целевой организации
– Какие примеры из практики вы можете привести?
Артем Назаретян: У наших коллег из команды BI.ZONE DFIR был такой кейс: ИТ-подрядчик использовал PAM-систему, которая была неправильно сконфигурирована, что стало спусковым крючком к последующему инциденту. Атакующие получили доступ к серверу, на котором работал PAM, извлекли ключи, пароли и логины, а затем подключились с джамп-серверов к клиентам. SOC одного из клиентов задетектировал нелегитимную активность. В ходе расследования выяснилось, что атака пришла с адресов подрядчика через легитимный VPN. При корректной конфигурации PAM действия злоумышленников были бы остановлены значительно раньше – инструмент дал бы тот уровень контроля и прозрачности, ради которого его внедряют. После расследования инцидента нам удалось предотвратить более серьезные последствия. Согласно порталу киберразведки BI.ZONE Threat Intelligence, в настоящее время атаки через подрядчиков осуществляют десять кибергруппировок, нацеленных на Россию [2].
– Как защититься от таких атак, если полностью отказаться от подрядчиков невозможно?
Антон Киселев: Нельзя полностью уйти от подрядчиков – дефицит кадров и загрузка внутренних подразделений подталкивает к тому, чтобы их привлекать. Но нужно снижать риски системно: проводить предварительную проверку (комплаенс) подрядчика, а также прописывать в договорах риски и обязанности на случай ЧП. Еще нельзя перекладывать полностью ответственность за инфраструктуру на третьих лиц. Основные практические меры такие:
- минимизировать и гранулировать привилегии;
- использовать базовые средства защиты: правильно настроенный антивирус, многофакторную аутентификацию;
- организовать мониторинг событий в инфраструктуре: не просто устанавливать средства защиты, но и уметь анализировать их сигналы и реагировать на них.
- оценивать зрелость подрядчика с точки зрения ИБ;
- отслеживать события внешнего мира с точки зрения компрометации подрядчиков и заранее формировать план "а что если?".
- прописать в договорах обязанности подрядчиков с точки зрения кибербезопасности: например, подключаться к критическим системам только через PAM, логировать все действия, предоставлять логи в рамках расследования инцидента.
– Какие стратегические подходы могут дополнительно повысить защиту? В частности, как помогают Zero Trust и ZTNA? Что они дают в контексте защиты от атак через подрядчиков?
Артем Назаретян: Zero Trust – это не конкретный набор продуктов, а именно стратегия: по умолчанию никому не доверяем (ни пользователю, ни устройству, ни соединению) и проводим дополнительные проверки при каждом запросе доступа. В архитектуре Zero Trust вводятся слои: пользователи, устройства, ресурсы, данные. На каждый ставятся специализированные контроли: непрерывная аутентификация, аудит, анализ контекста и автоматическое реагирование, чтобы снизить влияние человеческого фактора. ZTNA (Zero Trust Network Access) реализует эту концепцию на уровне сетевого доступа: вместо классического Remote Access VPN – умная прокси- или шлюзовая архитектура с многофакторной аутентификацией, Posture-проверками устройств, учетом пользовательского контекста и управлением доступом на уровне идентичностей.
– Какие вы предложите практические шаги по внедрению Zero Trust в типовой инфраструктуре?
Артем Назаретян: Рекомендую внедрять поэтапно. Так не придется переделывать Legacy единовременно, что дорого и долго. Первый шаг – сделать максимально гранулированный доступ к сети. Например, применять Identity Firewall, чтобы управлять доступом не по IP, а по группам из Active Directory или по ролям Identity-провайдера. Второй шаг – ввести динамические политики, основанные на контексте, чтобы запускалась проверка состояния станции при подключении (обновление ОС, местоположение, время подключения и пр.). Наконец – провести интеграцию с SOC и средствами аналитики. Будет происходить выгрузка сессий, объема трафика, системных логов для анализа аномалий.
– Как ZTNA сочетается с PAM и в чем выгода их совместного использования?
Антон Киселев: ZTNA и PAM дополняют друг друга в вопросе контроля действий подрядчиков, подключающихся к внутренним ресурсам. Сначала проводится проверка точки подключения и устройства (ZTNA). Затем – аутентификация и управление доступом на сетевом шлюзе. Далее вступает PAM-система, которая управляет привилегированными сессиями и хранит секреты. PAM-агенты усиливают мониторинг и реагирование на целевых ресурсах. Вместе эти решения выстраивают единую линию для контроля действий подрядчиков на целевых ресурсах и позволяют учитывать, с каких рабочих мест и в каком контексте подключаются пользователи. Это именно тот подход, который мы как интегратор стараемся реализовать в своих проектах.
– Какие архитектурные требования к PAM вы бы выделили?
Артем Назаретян: PAM обязательно разрывает цепочку прямого доступа к целевым системам: пользователь не должен знать учетные данные целевого ресурса. PAM регулярно ротирует пароли, предоставляет привилегии гранулярно. Внедрение PAM-системы требует продумывать отказоустойчивость: этому помогает кластеризация компонентов, их резервирование, а при необходимости максимально высокой доступности – и георезервирование, а также практики безопасной разработки (ревью кода, регулярные пентесты). Нельзя полагаться только на PAM-систему: она должна работать в комплексе с сетевыми контролями, мониторингом и организационными мерами.
– Как защититься от обхода PAM: что делать, если администратор пытается подключаться вне PAM?
Артем Назаретян: Есть два основных подхода. Первый – блокировать доступ на уровне сети, чтобы администратор не мог напрямую достучаться до контролируемых систем и был вынужден идти через PAM. Второй – проводить регулярную ротацию паролей и организовать хранение секретов внутри PAM, чтобы оператор не знал паролей от целевых систем. На практике лучше сочетать методы и контролировать обход через интеграцию с SIEM. Если система фиксирует подключение с нестандартного адреса, она создает событие кибербезопасности и инициирует реакцию (смену пароля, блокировку учетной записи и т. п.).
– Какие организационные практики по управлению PAM вы считаете обязательными?
Артем Назаретян: Должно быть разделение ролей при администрировании PAM: системный администратор, который отвечает за поддержку и обновление решения, и офицер безопасности, который занимается управлением доступами и просмотром событий кибербезопасности. Эти роли нельзя поручать одному человеку, нужно минимум двое специалистов. Как ранее сказал Антон, важно в договорах с подрядчиками определить порядок действий при инцидентах.
Антон Киселев: Добавлю: главная задача – сделать работу атакующего максимально дорогой, сложной и заметной в инфраструктуре. Чем больше эшелонов и проверок создает компания, тем больше времени и ресурсов нужно атакующему. При этом растет вероятность того, что он переключится на более легкую цель. В то же время не менее важно, чтобы такие проверки не создавали лишних помех самим ИТ-специалистам и сохранялась эффективность.
– Что еще важно учитывать при взаимодействии с подрядчиками?
Антон Киселев: Часто проблемы связаны даже не с техническими аспектами, а с коммуникацией и договоренностями. Например, исполнителю выдали доступ, но конкретный человек там сменился. Или происходит инцидент, дежурный контакт молчит, а к кому еще обратиться – заранее не прописали. Это все важно обсудить на старте, вместе с технологическими окнами, локацией подключения подрядчиков, регулярностью проверки конфигурации и пр.
– Подытожьте, пожалуйста, какие ключевые практики слушатель может внедрить в ближайшее время.
Артем Назаретян: Лучше начать с гранулированного сетевого доступа (Identity Firewall), ввести пост-комплаенс проверки рабочего места, интегрировать ZTNA с Identity Provider и SOC, внедрить PAM с разделением ролей и ротацией секретов, обеспечить отказоустойчивость PAM и прописать обязательства по взаимодействию с подрядчиками в договорах.
Антон Киселев: И главное – не перекладывать ответственность. Проводите внутренние проверки, повышайте компетенции сотрудников в вопросах кибербезопасности, а также требуйте от подрядчиков прозрачности и выполнения договорных процедур. В конечном счете ответственность за безопасность остается на стороне заказчика.
Редакция благодарит компанию BI.ZONE за помощь в подготовке материала