Как не стать плацдармом для атак на цепочку поставок

Как не стать плацдармом для атак на цепочку поставок

Среди представителей различных отраслей, где нет четких нормативных требований, часто встречается позиция: «Мы никому не интересны, чтобы нас взламывать». К сожалению, данный подход делает небольшие компании уязвимыми для киберпреступлений и повышает риск их использования в качестве стартовой площадки для скоординированных атак на более крупные компании.

Компрометация цепочки поставок уже является одним из ключевых путей проникновения в инфраструктуру целевой организации. Инцидент с CrowdStrike в 2024 году показал, что даже крупнейшие мировые корпорации в области кибербезопасности могут быть уязвимы к подобным атакам.

С чего начать небольшим компаниям?

1) Обеспечить процесс инвентаризации и непрерывный мониторинг поверхности атаки.

При анализе защищенности инфраструктуры нередко обнаруживаются уязвимости, позволяющие осуществить несанкционированный доступ через неконтролируемые сегменты сети, которые требуют значительных ресурсов для устранения недостатков со стороны ИТ-инфраструктуры, что приводит к понижению их приоритета со стороны владельца.

2) Использовать более строгие политики безопасности.

Крупные организации, в которых отсутствуют четко определенные нормативные требования, в отличие от малого и среднего предпринимательства (МСП), проявляют осторожность при внедрении строгих политик безопасности. Как правило, существуют исключения из общих правил: например, учетную запись генерального директора не допускается блокировать, сервер бухгалтерии не может быть изолирован, а также существует страх перед активацией расширенного логирования в бизнес-системах. Зачастую согласования и изменения могут затянуться на месяцы или годы либо отложены в долгий ящик.

3) Уделить больше внимания настройке расширенных параметров аудита.

Отсутствие больших бюджетов заставляет небольшие компании быть более прагматичными и активнее использовать штатные средства и типовые решения. В данных условиях логирование систем и сбор событий с последующей аналитикой представляют собой доступную альтернативу корпоративным решениям. Однако без должного опыта это может занять очень много времени.  В то время как мы, используя свою экспертизу, предоставляем готовые решения этих задач под ключ.

Например, мы помогаем компаниям усилить цепочку поставок, в которых участвуют МСП, выстроив оперативные каналы коммуникации, обмена знаниями исистемныепроцессыконтроля.

Как защититься крупным компаниям

На основании накопленного опыта в области предотвращения атак на цепочки поставокнашей компанией были разработаны комплексные методы контроля подрядчиков и оперативного выявления инцидентов, связанных с данной категорией угроз.

В результате внедрения нашего Security Operations Center (SOC) разрабатываются методики, которые охватывают все ключевые аспекты взаимодействия между подрядчиками, включая:

1) Выявление «слабого звена»

Нет необходимости контролировать всех подрядчиков одинаково. Первым делом необходимо провести инвентаризацию своих связей и выявить подрядчиков, у которых низкий уровень безопасности, но при этом существует доступ к вашим системам. Наши эксперты консультируют заказчиков по способам оценки в соответствии с собственными методиками.

2) Организация мониторинга недостатков

Недостатки могут выявляться в первую очередь через новые инциденты, в которых присутствуют системы или пользователи подрядчика. Помимо этого, необходимо уделить внимание проактивному поиску угроз (Threat Hunting) для выявления следов компрометации систем и пользователей подрядчика в границах вашей инфраструктуры.

3) Обеспечение контроля устранения недостатков подрядчиками

Процесс устранения недостатков требует системного подхода. Зачастую этого сложно добиться от подрядчика, однако здесь могут помочь четкие границы и сценарии взаимодействия:

• Включение в договор с подрядной организацией пунктов об обязательных требованиях ИБ и ответственности за их невыполнение.
• Установление четких сроков на исправление критических недостатков, которые могут повлиять на ваши системы или привести к утечке данных, а также описание критериев, по которым можно определить критичность и степень влияния.
• Регулярные контрольные проверки для подтверждения устранения недостатков.

Как МСП подготовиться к реагированию на угрозы

На сегодняшний день рынок систем ИБ позволяет выбрать продукт не только для больших компаний, но и для МСП. Внедрение Security information and event management (SIEM) является одним из первых шагов. При внедрении SIEM ключевым фактором является правильная подготовка логов и внимательная настройка аудита на конечных хостах.

В наших проектах мы стремимся оптимизировать поток событий для снижения затрат на лицензию SIEM путем точечной доработки состава событий. Избыточный поток данных может быстро исчерпать лимиты лицензии SIEM, а без контроля качества данных даже базовые правила корреляции могут работать некорректно.

При этом важно понимать, что стандартные правила корреляции «из коробки» — это лишь фундамент, требующий обязательной адаптации под специфику вашей инфраструктуры. Поэтому мы рекомендуем сначала детально изучить структуру событий конкретного источника и проверить, насколько поля в правилах корреляции совпадают с фактическими данными. На этом же этапе будет не лишним убедиться, что подключенный аудит работает корректно и события поступают, чтобы не ждать алертов, которые никогда не придут.

Особенности реагирования на инциденты в МСП

Когда дело доходит до реагирования на инциденты, МСП часто совершают ошибку, пытаясь самостоятельно построить миниатюрную копию корпоративного SOC. Однако для решения задач реагирования на инциденты не нужно копировать подходы больших компаний с большими бюджетами. Важнее правильно распределить роли и отчетливо понимать, что возможно сделать самостоятельно, а для каких процессов лучше использовать аутсорсинг или гибридную модель.

Часто высказывается мнение, что создание собственного центра мониторинга и реагирования на инциденты информационной безопасности (SOC) сопряжено с повышенными затратами на этапе внедрения, но позволяет оптимизировать расходы в долгосрочной перспективе.

Однако необходимо учитывать, что методы и техники, используемые киберпреступниками, постоянно эволюционируют. В связи с этим поддержание высокого уровня квалификации подразделения SOC требует постоянной практики расследования сложных инцидентов, недостижимо не только в реалиях МСП, но и некоторых крупных компаний.

Наши подходы адаптируются под конкретные потребности бизнеса, учитывая его особенности, и помогают развивать собственные компетенции заказчика в области кибербезопасности.

Однакоесли у вас уже есть своя SIEM, которая работает, не обязательно от нее отказываться. Наш опыт показывает, что адаптация и доработка существующей инфраструктуры силами внешнего эксперта часто дают лучший результат, чем попытка переделать все с нуля. Тем самым сохраняется контроль над хранением данных, но используется опыт профессионального центра мониторинга.

Гибридная модель подразумевает передачу на провайдера услуг только некоторого функционала.

На основании нашего опыта гибридной схемы взаимодействия мы предлагаем различные подходы, которые учитывают все особенности заказчика, например, передачу функций, требующих экспертизы. На стороне заказчика при этом остается функция гибкого управления процессами.

Как мы можем помочь заказчику

• Мониторинг 24/7.
• Глубокая экспертиза и расследование.
• Поиск недостатков в конфигурациях.
• Проактивный поиск угроз (Threat Hunting).
• Разработка индивидуальных правил корреляции.
• Подключение нетиповых источников.
• Помощь в выстраивании индивидуальных процессов реагирования.

В конечном итоге гибридная модель или полный аутсорсинг — это оптимальное решение для МСП, которое позволяет небольшим компаниям получить доступ к квалифицированной экспертизе за прогнозируемую стоимость.

Это не только снижает нагрузку на внутренних специалистов, но и дает четкий сигнал крупным заказчикам: их подрядчик — не слабое звено, а зрелый партнер, способный гарантировать безопасность.

Реклама. ООО «СОЛИДСОФТ», ИНН: 7714944046, Erid: 2VfnxwsxYgS