В ходе анализа ряда произошедших за последнее время киберинцидентов в национальном сегменте сети Интернет специалистами национального центра реагирования на компьютерные инциденты (CERT.BY) зафиксирована тенденция к увеличению количества атак, направленных на поставщика IT-услуг.
Атаки на поставщика набирают популярность в связи с тем, что в значительной части коммерческих или государственных организаций проектирование, разработка, обслуживание и сопровождение той или иной информационной системы осуществляются путем аутсорсинга, то есть сторонней организацией.
Между заказчиком и поставщиком IT-услуг чаще всего договорные отношения детально не проработаны. Также сказывается человеческий фактор и отсутствие узкоспециализированных знаний, что в последующем приводит к ситуации, когда все действия поставщика IT-услуг в информационной инфраструктуре государственных органов или организаций по умолчанию и недосмотру последних считаются санкционированными.
Встречающиеся варианты «доверительных» отношений:
- Поставщик предоставляет заказчику список IP-адресов, которые находятся в его распоряжении, а заказчик разрешает удаленное подключение к своей инфраструктуре.
- При отсутствии списка IP-адресов, принадлежащих поставщику, настраивается VPN-соединение.
- Заказчик предоставляет поставщику закрытый выделенный канал.
Перечисленные варианты не являются мерами защиты от несанкционированного доступа к инфраструктуре заказчика. Так, при успешной компрометации поставщика IT-услуг третья сторона может использовать различное вредоносное программное обеспечение. Например, установка прокси-сервера на зараженной машине поставщика услуг позволит злоумышленнику проводить деструктивную деятельность в информационной системе заказчика от имени поставщика услуг. При этом настройки средств защиты информационных систем посчитают такие действия легитимными.
Из анализа произошедших киберинцидентов можно выделить общие допускаемые ошибки:
- заказчик предоставляет поставщику полные права доступа к информационной системе;
- между заказчиком и поставщиком отсутствует процедура согласования проведения регламентных работ и технической поддержки;
- отсутствует сегментация сети.
Допускаемые вышеперечисленные ошибки намного облегчают замаскированным злоумышленникам задачу по несанкционированному доступу или проведению атаки.
Компрометация одного поставщика услуг увеличивает количество скомпрометированных информационных систем, так как злоумышленники потенциально получают доступ ко всем его клиентам.
Некоторые рекомендации в целях защиты от атак на поставщика
Заказчику:
- максимально ограничивать и контролировать права доступа к информационной системе;
не допускать беспарольной авторизации, так как при удаленном подключении
к информационной системе вместо пароля будет использоваться связка ключей, состоящая из приватного и открытого ключей;- открывать поставщику услуг доступ к информационной системе только после согласования перечня выполняемых работ и периода времени, необходимого для их реализации;
- после каждого удаленного подключения поставщика проводить смену паролей;
- при необходимости развернуть поставщику тестовую инфраструктуру.
Поставщику услуг:
- своевременно обновлять свою инфраструктуру;
- использовать в своей инфраструктуре системы мониторинга, в которых особое внимание уделять устройствам разработчиков;
- в случае выявления несанкционированных действий оповещать клиентов о случившемся, так как своевременное обнаружение позволяет снизить уровень ущерба и последствий компрометации информационных систем заказчиков.