Как киберпреступники могут инициировать атаку через партнера по цепочке поставок

По самой своей природе цепочка поставок требует сотрудничества между людьми и организациями. Хотя это может помочь в достижении общей цели и стимулировать рост, это также может создать множество проблем.

Благодаря этим симбиотическим отношениям компании бессознательно раскрывают чувствительные аспекты своего бизнеса. Однако эта недооцененная слабость открыла для киберпреступников возможность закрепиться в своих целевых организациях.

Подчеркивая распространенность таких атак, исследование Opus and Ponemon Institute показывает, что не менее 59% организаций пострадали от кибератак через сторонние компании. Еще более тревожным является тот факт, что только 16% организаций, участвовавших в исследовании, заявили, что эффективно снижают риски кибербезопасности со стороны третьих лиц.

Само собой разумеется, что первым шагом к защите вашей компании от таких рисков является их выявление. Ниже приведены примеры из реальной жизни, с помощью которых злоумышленники могут инициировать атаку через партнера по цепочке поставок.

Практически каждая организация использует внешнее оборудование и программное обеспечение. Мало кто хочет создавать технологии с нуля. Скорее, бум в области открытого исходного кода привел к массовой волне аутсорсинга почти во всех аспектах бизнес-операций.

Несмотря на удобство, такая возможность сопряжена со значительным риском. Печально известное нарушение Equifax в 2018 году произошло из-за ошибки в программном обеспечении, отвечающем за работу онлайн-баз данных. Equifax также обвинил его в злонамеренной ссылке для загрузки на своем сайте, которая была предоставлена ​​другим поставщиком.

В результате этих слабых мест в своей цепочке поставок преступники получили в руки личные данные не менее 143 миллионов человек.

Многие компании используют системы отопления, вентиляции и кондиционирования воздуха (HVAC), которые подключены к Интернету, но не имеют надлежащих мер безопасности. Это дает хакерам потенциальный доступ к корпоративным системам, как это было в случае с массивным взломом Target 2014 года.

Хакеры получили доступ к учетным данным, принадлежащим компании, предоставляющей систему HVAC Target. Затем они вошли в систему и вошли в ее платежные системы, похитив информацию, принадлежащую примерно 70 миллионам человек. Он включал имена, физические адреса, адреса электронной почты и номера телефонов, а также другие конфиденциальные данные.

Другая форма риска исходит от поставщиков облачных услуг, которые хранят конфиденциальные данные компаний. Безусловно, такие организации вкладывают значительные средства в безопасность своих систем; от этого зависит их репутация.

Но, как и любые другие организационные системы, они также склонны к компромиссу. Так было в случае печально известного взлома Paradise Papers в 2018 году. В сеть просочилось около 13,4 миллиона конфиденциальных файлов, раскрывающих конфиденциальные финансовые операции глобальных корпораций и сверхбогатых людей со всего мира. По крайней мере половина этих файлов, около 6,8 миллиона, поступила от Appleby, офшорного поставщика юридических услуг.

Похожая атака произошла летом 2018 года, когда Deep Root Analytics утекла личные данные около 200 миллионов избирателей. Deep Root - это маркетинговая фирма, которую используют как республиканская, так и демократическая партии. Нарушение произошло в результате того, что компания случайно разместила данные на общедоступном сервере.

Хотя это относительно небольшая компания, в которой работает всего около 50 сотрудников, аналогичные инциденты имели место и в более крупных организациях. В случае взлома Verizon компания Nice Systems разместила 6 миллионов клиентских записей на общедоступном сервере хранения Amazon S3. Записи состояли из журналов вызовов службы поддержки за шесть месяцев. Они включали личную информацию и информацию об аккаунте. В Ницце работает более 3500 сотрудников.

Компания Deloitte, в которой работает более 250 000 сотрудников, столкнулась с подобной утечкой данных. В сентябре 2018 года хакеры получили доступ к конфиденциальным планам и электронной почте некоторых крупных клиентов компании. В данном случае лазейкой был слабый контроль доступа к одной из административных учетных записей.

Для крупного бизнеса безопасность может быть внутренне водонепроницаемой. Однако это может быть неверно даже для ИТ-систем поставщиков. Похоже, именно это и произошло прошлой осенью в Domino’s Pizza в Австралии. Согласно сообщениям того времени, инцидент произошел из-за слабой системы кибербезопасности бывшего поставщика. В результате в систему произошла утечка имен клиентов и адресов электронной почты. Нарушение обнаружилось только тогда, когда затронутые клиенты начали получать персонализированные спам-письма. Хотя Domino's настаивал на том, что злонамеренного взлома личных данных не было и что его системы не виноваты, ущерб уже был нанесен.

Еще одна лазейка, которую могут использовать киберпреступники, - это датчики Интернета вещей (IoT). Многие операторы бизнеса опасаются угроз компьютерной, телефонной и сетевой безопасности. Но они часто упускают из виду устройства Интернета вещей, которые могут позволить злоумышленникам перепрыгнуть через корпоративные системы.

У этих устройств есть датчики, которые подключают их к Интернету для связи. Они распространены в цепочках поставок, поскольку, помимо прочего, могут помочь в прогнозировании отказов оборудования и управлении запасами. Несмотря на свою функциональную ценность, они являются популярным вектором атак, который может дать злоумышленникам доступ к конфиденциальным данным и облегчить саботаж и атаки ботнетов.

В качестве примера такой атаки использовался ботнет, известный как Mirai, для компрометации Dyn, компании, которая, в частности, предоставляет услуги доменных имен Reddit, Netflix и Github. Mirai - это ботнет для Интернета вещей, предназначенный для проведения распределенных атак типа «отказ в обслуживании» (DDOS).

Приведенные выше примеры подтверждают тот факт, что злоумышленники могут использовать слабое звено в вашей цепочке поставок, чтобы получить доступ к системам. К сожалению, вы не можете напрямую контролировать меры безопасности, которые реализуют ваши партнеры по цепочке поставок. Но, в конце концов, клиентов не волнует, как вас скомпрометировали. Они просто хотят знать, что их данные в безопасности. А это возлагает ответственность за обеспечение надежной безопасности на ваши руки.

Необходимо проявлять должную осмотрительность при оценке сторонних систем безопасности и их политик конфиденциальности. Как мы видели, большие и маленькие организации могут стать жертвами этой тактики. Независимо от размера ваших партнеров, важно оценить их приверженность безопасности.

Сделайте своей главной целью определить, в чем заключаются ваши слабые места, и уделите первоочередное внимание устранению всех лазеек.

Оливия Скотт, менеджер по маркетингу VPNpro.com.