Эксперт AppSec Solutions: Как контролировать кибербезопасность, работая с подрядчиками

Директор продукта AppSec.Track компании AppSec Solutions Константин Крючков выступил на конференции «Территория безопасности» с докладом об уязвимостях в цепочках поставок и слабых местах в работе с компаниями-подрядчиками, которые приводят к компроментации данных.

- Покупая у какого-то поставщика программный продукт, даже если это просто необходимая нам для разработки библиотека, мы видим этот продукт как законченное решение, которое на самом деле состоит из большого количества зависимостей, безопасность каждой из которых неочевидна. Мы наблюдаем увеличение количества атак на Supply Chain. Сложность в том, что хакеры становятся все изобретательнее, атаки могут быть целевыми, когда злоумышленники по нескольку лет к ним готовятся, регистрируют какие-то домены, выглядящие правдоподобными, изучают инфраструктуру, чтобы меньше подозрений вызывать у всех служб безопасности. Показательным примером является атака на SolarWinds, компания-подрядчика, работающая с Microsoft и многими другими компаниями. Через внешние поставки от подрядчиков и те зависимости, которые подрядчики используют, система может быть скомпрометирована. Главная опасность в том, что за одну атаку может быть скомпрометировано множество различных компаний которые используют один и тот же продукт. Подрядчики как минимум должны следовать практике создания своего рода реестров Open Source-компонентов, которые они используют, а клиентам, закупающим ПО, стоит требовать наличие такого файла вот у подрядчика, и потом ставить его на мониторинг, - рассказал Константин Крючков, директор продукта AppSec.Track компании AppSec. Solutions.

Чаще всего, рассказал эксперт, хакеры взламывают веб-приложения, так как они находятся на внешнем периметре, ним работает пользователь и до него сравнительно легко «добраться». На втором месте по количеству атак – фишинговые письма по email, которые используют в мошеннических схемах и партнерские программы. Константин Крючков привел в качестве примера результаты исследования компании Verizon, подтверждающие этот тезис.

Эксперты AppSec.Track регулярно анализируют ПО с open sourse компонентами и часто приходят к неутешительным выводам. В частности, она проанализировали библиотеки с открытым кодом написанные на разных языках программирования и выяснили, что самой уязвимой оказалась экосистема PyPI (язык Python). Каждая третья из популярных библиотек (34% -прим.авт) содержала уязвимость в какой-либо из своих версий. Уязвимости, обнаруженные исследованием, позволяют злоумышленникам осуществлять перехват данных при выполнении HTTP-запросов, ослабить криптографическую защиту и выполнять произвольный код. Для сравнения, известных Open Source компонентов в языке Java в 25 раз больше, чем в Python, но самые популярные пакеты оказались менее уязвимы — только в 18% случаев. Например, уязвимости в Spring Framework позволяют злоумышленникам обходить аутентификацию, выполнять SQL-инъекции или получать доступ к конфиденциальной информации. Уязвимость Log4Shell до сих пор остаётся одной из самых значимых угроз для приложений, так как позволяет злоумышленнику отправить специальным образом сформированный запрос, который приведет к выполнению вредоносного кода на стороне приложения.