SolarWinds: атака цепочки поставок для руководителей
Что произошло с SolarWinds и почему этот инцидент меняет разговор о безопасности для компаний, которые не считают себя целью.
В декабре 2020 года стало известно об одной из крупнейших атак на корпоративную инфраструктуру за последние годы. Злоумышленники внедрили вредоносный код в обновление программного обеспечения SolarWinds Orion - системы мониторинга, которую использовали тысячи организаций, включая крупные американские ведомства и технологические компании.
Атака оставалась незамеченной месяцами. Это важнее, чем масштаб.
В чём отличие от обычного взлома
Большинство корпоративных инцидентов безопасности - это атака на вас. Взлом учётной записи, фишинговое письмо сотруднику, эксплуатация уязвимости в вашей инфраструктуре. Вы - цель.
В случае SolarWinds схема другая. Целью был поставщик программного обеспечения. Его инфраструктура разработки была скомпрометирована так, что легитимное обновление, которое клиенты скачивали и устанавливали сами, уже содержало вредоносный компонент.
С точки зрения вашей организации вы сделали всё правильно: получили обновление от проверенного поставщика, установили его через стандартный процесс. Защита была обойдена не потому, что вы что-то нарушили, а потому что вы доверяли цепочке.
Почему это важно для компаний, которые "не являются целью"
Типичная реакция руководителя - "нас это не касается, мы небольшие, нам незачем атаковать нас напрямую". В случае атак на цепочку поставок эта логика не работает.
Если ваш бизнес использует стандартное корпоративное программное обеспечение - ERP, CRM, системы мониторинга, бухгалтерские платформы - вы в той же цепочке. Атака на широко используемый инструмент затрагивает всех его клиентов сразу, независимо от их размера или привлекательности как цели.
Масштаб атаки на SolarWinds был направлен на государственные структуры. Но сама техника - компрометация процесса обновления программного обеспечения - применима к любому поставщику корпоративного ПО.
Что это меняет практически
До этого инцидента стандартный совет по безопасности для бизнеса звучал как "обновляйте программное обеспечение регулярно". Этот совет остаётся верным. Но теперь к нему добавляется слой: понимать, кто и как производит это программное обеспечение.
Несколько практических вопросов, которые стоит задать по ключевым поставщикам:
- Есть ли у поставщика публичная информация о процессах безопасности разработки - аудиты, сертификации, программы обнаружения уязвимостей?
- Как вы узнаете, если у поставщика произойдёт инцидент? Есть ли у него канал уведомлений?
- Какой доступ к вашей инфраструктуре имеет программное обеспечение этого поставщика? Минимален ли он?
- Можете ли вы изолировать системы этого поставщика от наиболее критичных частей вашей инфраструктуры?
Это не паранойя. Это нормальная инвентаризация рисков цепочки зависимостей.
Чего не нужно делать
Не нужно в панике отказываться от всего стороннего программного обеспечения - это нереально. Не нужно создавать бюрократический процесс проверки каждого обновления - это сделает операционную работу невозможной.
Нужно знать, какие поставщики имеют наибольший доступ к вашей инфраструктуре, и уделять им соразмерное внимание. Правило простое: чем глубже система проникает в вашу инфраструктуру, тем больше она заслуживает вопросов о своей безопасности.
SolarWinds - напоминание о том, что доверие к поставщику не заменяет понимания его надёжности.