"Ростелеком": одна атака на цепочку поставок ПО в финансовом секторе стоит компаниям 3,6 млн рублей

Компания "Ростелеком" провела исследование и выяснила, что с начала года около 60% компаний в финансовом секторе столкнулись с атаками на цепочку поставок программного обеспечения (ПО). Средний ущерб от одной такой атаки составил 3,6 млн рублей, включая прямые финансовые потери, но не учитывая репутационные убытки и возможные штрафы.

Атаки на цепочку поставок ПО отличаются тем, что злоумышленники получают доступ к целевой системе не напрямую, а через внедрение в продукт или компонент, используемый организацией. Это может происходить на любом этапе жизненного цикла программного обеспечения, вызванного разными причинами, от вредоносного кода в процессе разработки до компрометации стороннего поставщика при использовании готовых решений.

Основной целью атак является получение доступа к конфиденциальной информации о клиентах, делая финансовый сектор особенно привлекательным для злоумышленников. После взлома инфраструктуры банков, кредитные и дебетовые карты клиентов становятся уязвимыми, что может привести к мошенничеству и краже денег.

"Солар" — дочерняя компания "Ростелекома" —  представила решение "Solar appScreener", включающее в себя анализ состава ПО на уязвимости и анализ безопасности цепочки поставок. Эксперт по безопасности ПО, Антон Прокофьев, отмечает, что эти инструменты помогают оценить риски использования открытых компонентов без глубокого анализа кода:

"Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open source компонент без глубокого анализа кода каждого артефакта". 

Для снижения рисков, связанных с цепочками поставок, эксперты рекомендуют использование комбинированных средств защиты, таких как безопасная разработка, управление доступом и сетевая безопасность. Решения PAM (Privileged Access Management) и NGFW (Next-Generation Firewall) также рекомендуются для эффективного контроля доступа и защиты периметра сети.
Например, решение Solar SafeInspect управляет привилегированными учетными записями и сессиями в современных информационных системах — как классических, так и облачных.

Защитить периметр сети, проверяя входящий трафик для предотвращения несанкционированного доступа и сетевых атак из внешней сети, а также аутентификации внутренних и внешних пользователей, помогают решения класса NGFW. Так, решение Solar NGFW обеспечивает комплексную сетевую безопасность, решает задачи управления доступом в сеть, отслеживания выполнения внутренних регламентов в организации, а также собирает данные о сетевой активности сотрудников.

Усилить уровень безопасности цикла DevOps поможет анализ зрелости процессов информационной безопасности партнеров, а также разработка плана реагирования на случай возникновения атаки на цепочку поставок.