Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей

С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack), выяснила компания «Ростелеком». Средний ущерб от одного такого инцидента составил 3,6 млн рублей. Данная оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции.

Отличительной особенностью атак на цепочку поставок программного обеспечения является получение доступа злоумышленником к целевой системе не напрямую, а через внедрение в продукт или компонент, который используется организацией. Поэтому проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла программного обеспечения и вызываться различными причинами, начиная от злоумышленной вставки вредоносного кода сотрудником на этапе разработки, заканчивая компрометацией стороннего поставщика при использовании готовых решений или сервисов.

В большинстве случаев целью данной разновидности кибератак является получение доступа к конфиденциальной информации о клиентах, поэтому финансовый сектор представляет для злоумышленников наибольший интерес. После получения доступа к инфраструктуре банков кредитные и дебетовые карты клиентов становятся уязвимы для разных видов мошенничества с целью кражи денежных средств. Также атаки на цепочку поставок могут привести к нарушению производственного процесса и тем самым нанести ущерб репутации компании, поэтому часто затрагивают такие отрасли как нефтяная промышленность, крупный ритейл и сфера информационных технологий.

Примером наиболее «простой» атаки является намеренная опечатка. Злоумышленник создает репозиторий, повторяющий функционал оригинального, но содержащий включения уязвимого кода. Если разработчик совершит опечатку в названии библиотеки, например, jquery -> jquerry, то система сборки скачает уязвимый компонент.

Более сложным типом атаки является попытка подмены внутренней библиотеки через запутывание системы сборки. Если злоумышленник знает названия внутренних артефактов, то он может создать одноименный артефакт в публичном репозитории, добавив отметку, что это самая свежая версия. В этом случае система сборки может посчитать, что внешний артефакт более новый и использовать его при сборке.

Также стоит учесть возможные подмены артефактов через воровство «звездочек», отражающих репутацию и рейтинг проекта в сообществе разработчиков или полностью репозитория, а также создание дубликата удаленного репозитория, однако сейчас это уже менее актуально.

«Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open source компонент без глубокого анализа кода каждого артефакта», — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener «Солар».

«Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) имеет центр экспертизы по безопасной разработке для бизнеса любого размера и уровня зрелости, а также многолетний опыт в области построения процессов безопасной разработки и внедрения инструментов анализа защищенности ПО в цикл DevOps. Собственное комплексное решение Solar appScreener обеспечивает полноценный контроль безопасности приложений из одного интерфейса без внедрения разрозненных сторонних инструментов для анализа кода с использованием ключевых методов анализа — SAST, DAST и SCA.

Для снижения рисков проникновения злоумышленников к данным важно организовать защиту всех типов учетных записей и ограничить доступ третьих лиц к информации, которая им не нужна для выполнения рабочих процессов. Здесь помогают решения класса PAM, (Privileged Access Management), которые контролируют доступ привилегированных пользователей и проактивно применяют политики безопасности. Например, решение Solar SafeInspect управляет привилегированными учетными записями и сессиями в современных информационных системах — как классических, так и облачных.

Защитить периметр сети, проверяя входящий трафик для предотвращения несанкционированного доступа и сетевых атак из внешней сети, а также аутентификации внутренних и внешних пользователей, помогают решения класса NGFW. Так, решение Solar NGFW обеспечивает комплексную сетевую безопасность, решает задачи управления доступом в сеть, отслеживания выполнения внутренних регламентов в организации, а также собирает данные о сетевой активности сотрудников.

Усилить уровень безопасности цикла DevOps поможет анализ зрелости процессов информационной безопасности партнеров, а также разработка плана реагирования на случай возникновения атаки на цепочку поставок.

Реклама. ПАО Ростелеком.  https://vologda.rt.ru . LjN8KRCAJ

Новости соседних регионов по теме:

Фото Ростелеком С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack).
13:31 06.12.2023 Агентство Информационных Сообщений - Абакан
Фото пресс-службы Ростелеком По оценке регуляторов и экспертов ИБ, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак.
18:40 04.12.2023 Агентство Информационных Сообщений - Абакан
Фото: Ростелеком   ERID:2SDnje5py7E С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack).
12:48 04.12.2023 Мир Белогорья - Белгород
По оценке регуляторов и экспертов, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак.
15:00 04.12.2023 4S-Info.Ru - Новосибирск
 
По теме
Фото: социальные сети и открытые источники - Вологда-поиск Фото: социальные сети и открытые источники Наш земляк, участник Специальной военной операции из Бабаевского муниципального округа Александр получил отпуск на малую родину, чтобы сыграть свадьбу с любимой женщиной.
Вологда-поиск
Прекрасное Северное сияние могли наблюдать жители Вологодской области прямо сейчас - Вологда-поиск Северное сияние озарило небо над Вологодской областью около 20 часов 3 марта, и это факт подтверждается фото и видео материалами, опубликованными нашими земляками из разных уголков региона:
Вологда-поиск
Мощное ДТП в Вологодской области прибавило работы врачам: четверо пострадавших из-за 39-летней гонщицы на «Ланосе» - Вологда-поиск Фото: пресс-служба УМВД России по Вологодской области Сегодня в Кичменгско-Городецком округе произошло серьезное ДТП, которое, к счастью, не завершилось трагедией.
Вологда-поиск
В гостях у телеканала «Жар Птица» - Газета Новая жизнь Дорогие друзья, читатели газеты «Новая жизнь»! Спешу поделиться новостью: в феврале этого года нам со Степаном посчастливилось побывать в гостях у телеканала «Жар Птица».
Газета Новая жизнь