Rambler's Top100
Статьи
Николай НОСОВ  01 февраля 2021

Взлом года, облака и безопасность цепочки поставок

Жесткие требования информационной безопасности к интеграторам и разработчикам программного обеспечения снизят риски атак через цепочку поставок. 

Успешная атака на компанию – разработчика ПО для бизнеса SolarWinds, выявленная в конце 2020 года, стала самым резонансным событием года в области информационной безопасности. Достаточно сказать, что тема взлома, бездоказательно приписываемого русским хакерам, наряду с вопросом продления договора СНВ-3 обсуждалась в ходе первого телефонного разговора нового президента США с Президентом России.

Это неудивительно – в список пострадавших от атаки попали госдеп США, министерства внутренней безопасности, финансов и энергетики США, Национальное управление ядерной безопасности страны и некоторые штаты. Хакеры в течение нескольких месяцев отслеживали электронные письма сотрудников, отправленные через Office 365 в Национальное управление по телекоммуникациям и информации Министерства торговли США. Под удар попал и ряд компаний, среди которых такие гиганты, как Microsoft и Cisco.

Список жертв продолжает пополняться – ими могут быть все пользователи платформы мониторинга и управления локальной, гибридной и облачной инфраструктурой SolarWinds Orion, получившие обновление в марте-июне 2020 года.

Первое сообщение о последствиях атаки поступило 8 декабря 2020 года. Злоумышленники с использованием украденных учетных данных зарегистрировали устройство в системе многофакторной идентификации компании FireEye. После того, как система защиты предупредила службу безопасности о появлении неизвестного устройства, специализирующаяся на кибербезопасности компания FireEye поняла, что взломана.

Расследование привело к SolarWinds. Выяснилось, что хакеры получили доступ к системе сборки SolarWinds Orion, добавили в один из файлов обновления бэкдор, причем до заключительного этапа сборки. Содержащий вредоносный код DLL-файл имел цифровую подпись и без проблем распространился среди клиентов через платформу автоматического обновления. 

После внедрения бэкдор проводил проверки, чтобы убедиться, что работает в реальной корпоративной сети, а не на компьютере аналитика. И даже проверял окружение на предмет запущенных процессов, связанных с обеспечением безопасности. Затем, по истечении случайно выбранного времени задержки, связывался с удаленным сервером, чтобы получить задание для исполнения на зараженном компьютере, оказывающемся в полном распоряжении злоумышленника.

Под атаку попало и облако Мicrosoft Azure, где хакеры получали административный доступ к Active Directory жертв.

«Чтобы выявить бэкдор типа внедренного при атаке на SolarWinds, необходимо анализировать трафик в облаке, анализировать логи и, самое главное, вести непрерывный мониторинг с помощью наложенных средств информационной безопасности или встроенных средств, если они есть. Однако далеко не все облачные провайдеры предоставляют для анализа внутренний трафик или достаточный уровень логирования. Риски атак через цепочку поставок (supply chain) с каждым годом растут. Решением может быть формулирование четких требований безопасности к интеграторам и разработчикам ПО, которые рано или поздно выдвинут крупные заказчики», – пояснил директор экспертного центра Positive Technologies Алексей Новиков.

«Одна из мер защиты от атак такого типа – формирование требований к уровню доверия разработки систем и подтверждение соответствия, например, путем сертификации процесса разработки и самого продукта. Но следует учесть, что выполнение требований неизбежно увеличит стоимость и время выпуска обновлений. Нужны работа квалифицированных специалистов по инфобезопасности, динамический анализ кода, а это долго и дорого. Необходим баланс между безопасностью и экономикой. Требования должны быть экономически обоснованы, исходя из рисков и моделей угроз, различающихся в разных отраслях», – дал комментарий нашему изданию директор экспертно-аналитического центра ГК «ИнфоВотч» Михаил Смирнов.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!