Любая компания пользуется услугами подрядчиков, чтобы сэкономить ресурсы, время и делегировать работу. Это удобно, но вместе с преимуществами создает риски информационной безопасности — возникает вероятность атак через доверительные отношения.
Злоумышленники сначала атакуют одного из доверенных партнеров или подрядчиков компании, а затем используют эту уязвимость для проникновения в сеть. Внутренняя инфраструктура компании, как правило, менее защищена, что облегчает дальнейшее развитие атаки.
Денис Пащенко
Заместитель директора департамента информационной безопасности STEP LOGIC
Атаки через доверительные отношения — частный случай атак на канал поставок, когда изначально она проводится на третье лицо (поставщика услуг), а далее, используя его скомпрометированную инфраструктуру и/или данные, на конечную цель — организацию, которой оказываются услуги. Классическая схема такой атаки — это взлом подрядчиков с использованием любого способа: эксплуатация уязвимостей ПО, социальная инженерия, вредоносное ПО, подбор данных авторизации, а далее — получение данных авторизации, используемых подрядчиком для доступа в рамках оказываемых услуг. Это может быть сделано с использованием того же вредоносного ПО, анализа трафика внутри ЛВС подрядчика и т.д. Далее злоумышленник уже использует полученные данные для доступа в целевую инфраструктуру.
В этой статье мы рассмотрим основные характеристики атак через доверительные отношения, их методы и последствия. Мы также предложим технические решения и меры, которые помогут компаниям защититься от таких атак и минимизировать их последствия.
Атаки через доверительные отношения (trusted relationships attack) — это тип кибератаки, когда злоумышленники сначала атакуют инфраструктуру одной компании, которая имеет легитимный доступ к ресурсам целевой компании, а затем используют эту уязвимость для проникновения в инфраструктуру жертвы. Первым звеном в этой цепочке могут стать дочерние компании или компании-подрядчики.
Камиль Садыков
Ведущий аналитик информационной безопасности Innostage SOC CyberART
Через доверительные отношения главным образом развиваются Supply Chain Attacks — атаки через цепочку поставщиков. Мы видим все больше примеров, как злоумышленники атакуют менее защищенных поставщиков или партнеров с прицелом на их более защищенных заказчиков. Цели таких злоумышленников могут быть различны, в последнее время наблюдаем рост атак, связанных с хактивизмом.
Во втором типе атак — Spear Phishing, или фишинг через доверенные контакты — используются скомпрометированные или поддельные учетные записи сотрудников или партнеров, чтобы отправить письма с вредоносным содержимым или ссылками на пользователей организации.
Также стоит отметить Third-Party Account Compromise — компрометацию учетных записей партнеров (как правило, купленных на теневых форумах) и API-based Attacks — атаки через API и интеграции, когда хакеры используют уязвимости или недостатки в безопасности системы посредника, использующего API организации, чтобы атаковать ее.
Атаками через доверительные отношения обычно занимаются APT-группировки. Их цель — крупные коммерческие компании и госорганизации, конфиденциальными данными которых они пытаются завладеть. Например, Positive Technologies сообщала о том, что новая APT-группировка ChamelGang атаковала ТЭК и авиационную промышленность РФ ради информации.
По словам руководителя отдела исследования угроз ИБ Positive Technologies Дениса Кувшинова, промышленные предприятия не всегда способны сами выявить ATP-атаку и могут несколько лет считать себя в безопасности. Но на практике киберпреступники могут проникнуть в инфраструктуру промышленного предприятия и получить над ней контроль. Но зачастую атаки развиваются достаточно быстро. Так, для получения доступа в инфраструктуру целевого предприятия ТЭК группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. И спустя всего две недели киберпреступники проникли в сеть головной компании и оставались незамеченными в течение трех месяцев.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»
Вообще, сам класс атак «Атака через доверительные отношения» вошел в тройку самых популярных в 2023 году. Дело в том, что в современном мире компании редко что-то делают самостоятельно от и до. Обычно привлекаются подрядчики, в случае с ИТ — всевозможные системные интеграторы. И вот тут начинаются проблемы, когда никто не контролирует, насколько у подрядчика хорошо решаются вопросы информационной безопасности. Если злоумышленники получат доступ к подрядчику, то есть все шансы добраться и до конечного заказчика. Это может быть что угодно — от вирусной атаки до прямого доступа к инфраструктуре.
Еще один пример высокопрофессиональных кибер преступников, которые используют атаки через доверительные отношения — группировка Shedding Zmiy, о которой сообщили эксперты центра исследования киберугроз Solar 4RAYS. Выяснилось, что Shedding Zmiy шпионила за российскими организациями как минимум с 2022 года. Ее жертвами стали госсектор, промышленность, телеком и другие отрасли российской экономики. В ГК «Солар» рассказали, что Shedding Zmiy применяет публично доступное ВПО и уникальное, а для загрузки вирусов иногда использует скомпрометированные легитимные серверы.
Помимо кражи конфиденциальных данных, результатом атаки киберпреступников может стать нанесение непоправимого урона организации и нарушение ее работы. Так, в работе железнодорожной сети Дании в 2022 произошел крупный сбой. Поезда по всей стране встали из-за хакерской атаки на среду тестирования ПО IT-субподрядчика датского железнодорожного оператора DSB.
В аналитическом отчете о кибератаках, расследованных «Лабораторией
Касперского», атаки через доверительные отношения названы одним из трендов 2023 года. Популярность этого вектора объясняется тем, что киберпреступники с его помощью могут провести масштабную атаку. При этом потребуется приложить значительно меньше усилий, чем при атаке на каждую жертву по отдельности.
Для обнаружения атаки через доверительные отношения требуется достаточно высокий уровень зрелости компаний. Даже высокая квалификация ИБ-сотрудников не гарантирует быстрого обнаружения киберпреступников в инфраструктуре, так как действия хакера маскируются под действия сотрудников подрядной или дочерней организации и выглядят легитимно. Согласно отчету «Лаборатории Касперского» половина таких атак была обнаружена только после обнаружения утечки данных, а четверть пострадавших обратились после того, как их данные были зашифрованы.
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
Чаще всего злоумышленники стремятся скомпрометировать IT-инфраструктуру небольших подрядчиков, чтобы получить доступ к инфраструктуре их заказчиков. Зачастую в рамках жизненного цикла атаки злоумышленники получают легитимный аутентификационный материал, что позволяет им, например, осуществлять VPN-подключения во внешние IT-инфраструктуры. При этом для жертвы такие действия будут выглядеть абсолютно легитимными, как будто их действительно совершает подрядчик.
Во время атаки через доверительные отношения киберпреступники используют различные широко используемые способы. Среди них:
Семен Рогачев
Руководитель отдела реагирования на инциденты компании «Бастион»
По нашему опыту, чаще всего через доверительные отношения производятся атаки, связанные со шпионажем и с использованием программ-вымогателей. При этом в некоторых случаях атакующие сначала занимаются шпионажем, а потом передают цель другим атакующим, которые запускают программу-вымогатель и т.д.
Зачастую компании-подрядчики или дочерние организации оказываются менее защищены, чем крупная головная организация и становятся для киберпреступников «дверью» в целевую инфраструктуру.
Любое подключение к инфраструктуре организации несет в себе потенциальные риски. При этом компания может предоставлять доступ в свои системы по-разному: от выдачи логинов и паролей до выделения ряда систем для проведения работ. Даже если в организации-заказчике используются средства для защиты информации, они не могут гарантировать безопасность компании-подрядчика. Например, сотрудники поставщика услуг могут не соблюдать правила цифровой гигиены и хранить логины и пароли для доступа к целевой сети в небезопасном месте.
Вячеслав Новоселов
Генеральный директор SkyDNS
DNS защита и фильтрация неправомерных/зараженных ресурсов как первый уровень защиты от человеческого фактора
Разграничение прав доступа: четкое разграничение ролей и прав доступа сотрудников к критически важной информации минимизирует риск утечек данных
Внедрение многофакторной аутентификации (MFA)
Использование решений по обнаружению угроз, таких как EDR (Endpoint Detection and Response) и SIEM (Security Information and Event Management)
Ну и, конечно же, всегда актуально обучать сотрудников цифровой грамотности, вовремя обновлять антивирусные программы и проводить регулярные аудиты безопасности корпоративной сети в качестве превентивных мер.
Эти технические решения помогут значительно повысить уровень безопасности сети и данных, защищая от атак через доверительные отношения и других киберугроз.
Александр Гаврилов
Начальник отдела внедрения инфраструктурных средств защиты информации Cloud Networks
Если говорить о детектировании атак через доверительные отношения, наиболее эффективными решениями здесь являются решения класса PAM, EDR, NTA и SIEM. PAM позволяет организовать доступ к целевому ресурсу, учитывать и контролировать действия и распределение рабочего времени; при этом пароль от целевого ресурса будет неизвестен для поставщика услуг (подрядчика). EDR нужен для проактивной защиты на уровне хоста путем непрерывного мониторинга, выявления и предотвращения подозрительной активности на целевых ресурсах. NTA — для выявления атак на уровне сети, обнаружения легитимных и нелегитимных инструментов, а также для расследования инцидентов. Все события, получаемые из решений данного класса, должны агрегироваться и анализироваться в SIEM-системах, а при возникновении нелегитимной активности формироваться в инцидент и оповещать офицера безопасности. Стоит также сказать, что все это актуально при условии, что нет явных пробелов по защите с помощью NGFW и антивирусных решений.
Помимо использования технических средств, для защиты от атак через доверительные отношения эксперты дают следующие рекомендации:
Эти меры помогут компаниям лучше подготовиться к возможным атакам через доверительные отношения и минимизировать их последствия.
Александр Блезнеков
Руководитель направления по развитию стратегии информационной безопасности «Телеком биржа»
Нет волшебной таблетки и определенного средства защиты, которое вас защитит. Здесь важен процесс. Изучите, что необходимо поставщику для оказания услуги и постройте безопасность вокруг этого процесса и введите соответствующие контроли.
Не нужно забывать, что большой процент атак становиться возможным благодаря человеческому фактору, поэтому необходимо проводить регулярные обучения сотрудников. Рассказывать о способах атак, напоминать об угрозах, о необходимости соблюдать правила цифровой гигиены и проводить проверку знаний.
Никита Леокумович
Руководитель управления цифровой криминалистики и киберразведки Angara Security
Основной класс решений — это человек. Грамотное планирование защиты инфраструктуры, а также организация пристального мониторинга событий, лежит в первую очередь на человеке.
Какого-то одного технического решения для минимизации подобного рода атак не существует, да и в принципе не может существовать. Необходимо комбинировать различные решения, такие как NGFW, IAM, CASB, EDR на конечных хостах, да даже DLP внесет большой вклад в выявление такого типа атак. Все эти средства защиты генерируют события ИБ, которые для удобства можно аккумулировать, обрабатывать и анализировать в одном месте с помощью SIEM систем.
Аутсорсинговых взаимодействий становится все больше, а контроль защищенности подрядчиков при этом никак не регламентируется законом и на практике вряд ли возможен. Чтобы получить доступ к данным компании, злоумышленники могут атаковать одного из подрядчиков или партнеров.
В таких условиях понимание и предотвращение атак через доверительные отношения является критически важным для обеспечения безопасности данных и инфраструктуры в условиях растущих киберугроз.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться