SolarWinds: риск цепочки поставок теперь в модели риска

В декабре 2020 года стало известно об атаке, которая изменила то, как нужно думать о безопасности. Злоумышленники скомпрометировали процесс сборки ПО компании SolarWinds и внедрили вредоносный код в обновление продукта Orion - инструмента мониторинга ИТ-инфраструктуры, которым пользуются тысячи компаний и государственных организаций по всему миру.

Обновление было подписано корректной цифровой подписью SolarWinds, распространялось через официальные каналы и устанавливалось администраторами как плановое. Обнаружить его как вредоносное было практически невозможно стандартными средствами.

Это принципиально другая атака, чем фишинг или уязвимость в коде.

Что сделало эту атаку особенной

Обычная модель защиты строится на недоверии к внешнему и доверии к внутреннему. Если ПО от проверенного вендора, подписанное, скачанное с официального сайта - оно считается доверенным. Именно это доверие и было использовано.

Атакующие не ломали защиту SolarWinds-клиентов напрямую. Они вошли через дверь, которую клиенты сами открыли - через обновление от доверенного поставщика.

В терминах безопасности это называется атакой на цепочку поставок программного обеспечения. Идея не новая - её обсуждали в академических кругах и в ИБ-сообществе. Но SolarWinds сделал её конкретной и масштабной.

Почему это касается не только тех, кто использовал Orion

Прямые жертвы атаки - компании и организации с установленным Orion. Но урок касается всех, кто использует внешнее программное обеспечение. То есть всех.

Вопрос не "пострадаем ли мы от SolarWinds". Вопрос "какое ПО у нас стоит, кто его производит, как мы проверяем, что оно не скомпрометировано".

До декабря 2020 года этот вопрос большинство компаний не задавало систематически. После - его нельзя игнорировать.

Как меняется модель риска

Традиционная модель управления поставщиками в ИБ концентрировалась на вопросах: есть ли у поставщика сертификаты, как он хранит данные, что написано в договоре об ответственности. Это важно, но недостаточно.

SolarWinds добавляет новый слой: сам процесс разработки и доставки ПО поставщика - это часть вашей поверхности атаки. Если поставщик скомпрометирован, продукт, которому вы доверяете, становится вектором.

Это не значит, что нужно немедленно отказаться от всех внешних продуктов - это физически невозможно. Это значит:

• знать, какое ПО установлено в вашей инфраструктуре и кто его производит;
• понимать, какой доступ каждый продукт имеет к вашим системам;
• следить за уведомлениями безопасности по ключевым компонентам;
• иметь план действий при компрометации доверенного поставщика.

Три вопроса для директора или собственника

1. Есть ли у нас инвентаризация установленного ПО - не только корпоративного, но и инструментов мониторинга, агентов, утилит ИТ-управления?
2. Кто в нашей компании следит за уведомлениями безопасности по ключевым поставщикам ПО?
3. Если завтра выяснится, что один из наших поставщиков ПО скомпрометирован - есть ли у нас процедура реагирования?

SolarWinds не последняя атака такого рода. Это новая категория угрозы, которая останется актуальной. Её нужно включить в модель риска не как исключительный сценарий, а как рабочую категорию.