Наш веб-сайт использует файлы cookie, чтобы предоставить вам возможность просматривать релевантную информацию. Прежде чем продолжить использование нашего веб-сайта, вы соглашаетесь и принимаете нашу политику использования файлов cookie и конфиденциальность.
Слабым звеном в кибербезопасности вашего предприятия могут быть ваши партнеры и поставщики. Вы можете сколько угодно усиливать защиту ваших ИТ-систем, но из-за атаки на внешнюю компанию хакеры могут получить доступ к вашим данным.
Именно Supply chain attack становится одной из самых опасных киберугроз, с которой приходится сталкиваться Украине с начала полномасштабной войны. Хотя этот вид атак применялся и раньше.
Что нужно знать о Supply chain attack и как защититься, рассказываем вместе с Киевстар.Бизнес в этом материале.
Supply chain attack, или атака на цепь снабжения, – это кибератака, во время которой хакеры проникают в ИТ-системы компании через внешнего партнера или поставщика.
Главная угроза в том, что компании налаживают мощную киберзащиту своих информационных систем, но в то же время им трудно контролировать всех своих партнеров и подрядчиков, которым дают доступ к своим данным. Эти предприятия могут иметь более низкий уровень киберграмотности среди сотрудников, более слабые решения по кибербезопасности и т.д. Именно этими уязвимостями хакеры и пользуются, атакуя компании-подрядчики и получая доступ к нужным им информационным системам.
Почему компании, являющиеся целью для хакеров, атакуют через подрядчиков:
● Сама целевая компания надежно защищена от внешних атак и вмешательство напрямую реализовать невозможно.
● Подрядная организация имеет более низкий уровень развития кибербезопасности, чем целевая компания.
● Целевая компания имеет подрядчиков с легитимными доступами к своим системам.
Supply chain attack стали активно применяться по всему миру последние несколько лет. В 2019 году Symantec отметила, что количество этих атак выросло на 78% по сравнению с 2018-м. А уже в 2021-м именно безопасность цепей поставок правительства и политики выдвинули на первый план в США.
Одним из показательных примеров стала масштабная Supply chain-атака на разработчика программного обеспечения SolarWinds в 2020 году. Она поразила сотни самых крупных компаний США, а также предприятия в Северной Америке, Европе и Азии. Итак, что произошло?
Группа хакеров (считают, что это была российская Cozy Bear) скомпрометировала обновление программного обеспечения Orion от SolarWinds. Этот доступ злоумышленники использовали для создания и распространения троянских обновлений среди пользователей ПО.
Оказалось, что так хакеры получили доступ к информационным системам, принадлежащим многим компаниям из списка Fortune 500 и американским правительственным департаментам, в частности, Министерству финансов и торговли США. Под удар попали десятки ведущих телекоммуникационных компаний, пять ведущих бухгалтерских фирм, все ветви вооруженных сил США, Пентагон, а также сотни университетов и колледжей по всему миру.
Вот еще несколько примеров атак на цепь снабжения:
● ASUS, 2018 год. Хакеры воспользовались функцией обновления и распространили вирус на 500 тысяч систем.
● British Airways, 2018 год. Раздел платежей на сайте British Airways содержал код, который собирал платежные данные клиентов и переправлял их на мошеннический сайт. Так злоумышленники получили информацию о примерно 500 тысячах клиентов компании.
● Mimecast, 2021 год. Во время атаки хакерам удалось скомпрометировать сертификат безопасности, подтверждающий аутентификацию служб Mimecast в сервисах Microsoft 365 Exchange. Это повлияло на 10% клиентов Mimecast.
● Colonial Pipeline – крупнейшая американская трубопроводная система. Доставляет бензин, дизтопливо и авиакеросин из Техаса в Нью-Йорк. Обеспечивает около 45% топлива для восточного побережья США. В результате зафиксированной 7 мая 2021 атаки трубопроводная система Colonial Pipeline остановилась, в США объявили региональное чрезвычайное положение. По информации в СМИ, за день до атаки с серверов компании киберпреступники похитили 100 Гб данных.
Пример Supply chain-атаки хорошо известен украинцам с 2017 года: вирус NotPetya, который шифровал файлы на жестком диске компьютера-жертвы, перезаписывал и шифровал MBR-данные, чтобы сделать невозможной загрузку операционных систем компьютеров. Злоумышленники потребовали выкуп в биткоинах, однако даже его уплата не помогала восстановлению систем. Потому была версия, что выкуп не настоящая цель атаки.
В результате запуска NotPetya состоялась массовая блокировка работы многих украинских государственных предприятий, учреждений, банков, медиа и т.п., в частности, аэропорта "Борисполь", ЧАЭС, Укртелекома, Укрпочты, Ощадбанка, Укрзализныци и других предприятий критической инфраструктуры. Также были поражены правительственные цифровые инфраструктуры, в частности, Киберполиция и Служба спецсвязи. Все эти ресурсы были атакованы за счет компрометации популярных сервисов компании MEDoc, которое произошло гораздо раньше того же года.
Из-за полномасштабного вторжения России в Украину почти каждый бизнес стал жертвой киберпреступников . В то же время сейчас именно Supply chain-кибератака является одной из самых больших угроз для компаний-критических объектов, которые сотрудничают с подрядчиками и могут быть целью хакеров. В частности, для правительственных структур, банковской сферы, производства, предприятий критической инфраструктуры.
Директор по кибербезопасности "Киевстар" Юрий Прокопенко рассказывает: "У компаний-заказчиков во время войны часто есть больше ресурсов, чтобы оставаться стабильными. В то же время компания-подрядчик маленькая. Любое изменение больше влияет на процессы в нем, в частности миграция сотрудников, военные действия, мобилизация и т.д. На практике сотрудник подрядной организации, имеющий доступ к сети заказчика, может во время сирены пойти в бомбоубежище. Из-за своего эмоционального состояния он может в это время не прервать рабочую сессию, чем сразу воспользуются злоумышленники. Хакеры выжидают такие моменты, чтобы получить легальный доступ в сеть целевого предприятия".
Разница между кибератаками в мирное время и во время войны состоит в том, что меняется цель взлома. Обычно хакеры блокируют доступ к данным и требуют выкуп. Цель атаки в военное время — получить доступ к критически важным данным, уничтожить критическую инфраструктуру и таким образом нанести непоправимый вред противнику. Именно поэтому компаниям следует выработать жесткие политики работы с третьими сторонами.
Предприятиям-заказчикам, особенно критически важным объектам, следует понимать, что периметр кибербезопасности компании не завершается только на собственной инфраструктуре. Он всегда расширяется на партнеров и подрядчиков, имеющих легитимный доступ к ИТ-системам заказчика.
Вот несколько шагов, как противодействовать Supply chain-атакам, которые рекомендует директор по кибербезопасности "Киевстар" Юрий Прокопенко, опираясь на собственный опыт:
В то же время, самим организациям-подрядчикам следует уделить больше внимания внутреннему контролю - защите рабочих точек и серверного оборудования, обучению сотрудников кибергигиены и кибербезопасности.
Комплексную защиту от кибератак украинским компаниям предлагает "Киевстар". В одном решении совмещены эффективные инструменты, разработанные Fortinet, Barracuda и Commvault – ведущими поставщиками сервисов в сфере продуктов для защиты IT-систем. Таким образом можно настроить безопасность корпоративной почты, конечных точек, корпоративной сети, внедрить анализ поведения пользователей и многое другое.
Все это, в частности, усилит общую информационную безопасность компании и снизит риски кибератак на цепь поставки до минимального уровня. Чтобы узнать больше, оставьте заявку на сайте " Киевстар".
