Каждая атака на цепочку поставок ПО в финансовом секторе обходится в среднем в 3,6 млн рублей ущерба

По данным компании «Ростелеком», с начала года примерно 60% компаний финансового сектора столкнулись с атаками на цепочки поставок (supply chain attack). Только одно такое ЧП приносит в среднем ущерб в сумме 3,6 млн рублей. Оцениваются прямые финансовые издержки. Потенциальные репутационные потери и штрафные санкции в расчет не берутся.

Злоумышленники, как правило, доступ к целевой системе получают не напрямую, а через внедрение в продукт или компонент, который использует организация. А значит, проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла ПО и вызываться любыми причинами – от преднамернной вставки вредоносного кода работником на этапе разработки до компрометацией стороннего поставщика при использовании готовых решений или сервисов.

Как правило, подобные кибератаки используются для получения доступа к конфиденциальной информации о клиентах. Именно поэтому банковский сектор – наиболее интересный «объект» для злоумышленников, а кредитные и дебетовые карты клиентов сразу же становятся уязвимы для мошенничества с целью кражи денежных средств. Эти же атаки могут привести к сбоям в производственном процессе и нанести репутационный и экономический ущерб компании. Чаще всего «достается» нефтяной промышленности, крупному ритейлу и сфере информационных технологий.

«Простая» атака – намеренная опечатка. Когда создается репозиторий с повторением оригинального функционала, но с включением уязвимого кода. Есть и более сложный тип атаки – подмена внутренней библиотеки через запутывание системы сборки.

«Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет  дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open sourceкомпонент без глубокого анализа кода каждого артефакта», — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener «Солар».

«Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) имеет центр экспертизы по безопасной разработке для бизнеса любого размера и уровня зрелости, а также многолетний опыт в области построения процессов безопасной разработки и внедрения инструментов анализа защищенности ПО в цикл DevOps. Собственное комплексное решение Solar appScreener обеспечивает полноценный контроль безопасности приложений из одного интерфейса без внедрения разрозненных сторонних инструментов для анализа кода с использованием ключевых методов анализа — SAST, DAST и SCA.

Для снижения рисков проникновения злоумышленников к данным важно организовать защиту всех типов учетных записей и ограничить доступ третьих лиц к информации, которая им не нужна для выполнения рабочих процессов. Здесь помогают решения класса PAM, (Privileged Access Management), контролирующие доступ привилегированных пользователей. К примеру, решение Solar SafeInspect управляет привилегированными учетными записями и сессиями в современных информационных системах — как классических, так и облачных.

Усилить уровень безопасности цикла DevOps поможет анализ зрелости процессов информационной безопасности партнеров, а также разработка плана реагирования на случай возникновения атаки на цепочку поставок.