Innostage подготовила план защиты от атак через поставщиков
Российские ИТ-компании по-прежнему пользуются повышенным вниманием хакеров. Сейчас они совершили атаку на одного из крупнейших производителей ПО, являющегося поставщиком для многих российских заказчиков. В этой связи компания Innostage сформировала перечень мер для предотвращения возможных атак через скомпрометированного подрядчика. Об этом CNews сообщили представители Innostage.
ИТ-инфраструктура одного из крупнейших разработчиков корпоративного ПО предположительно подверглась активной атаке в период с 29 сентября по 2 октября 2024 г., и сегодня стало известно о нейтрализации инцидента. Компрометации подверглись несколько серверов внутренних систем компании с некритичной информацией.
Стенды разработки, продукты компании, тестовые стенды заказчиков и доступы в сети заказчиков не были скомпрометированы и находятся в безопасности.
Чтобы защитить инфраструктуру своего бизнеса, в случае достоверно известной атаки на подрядчика или поставщика, эксперты Центра противодействия киберугрозам Innostage SOC CyberART рекомендуют выполнить ряд последовательных шагов.
«В первую очередь следует приостановить предоставление удаленного доступа из инфраструктуры скомпрометированного поставщика. Если это невозможно, следует ввести многофакторную идентификацию, контроль привилегированного доступа и установить минимальные привилегии и сетевые доступы. Не менее важно произвести обновление аутентификационных данных», - отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Кроме того, эксперты компании рекомендуют проинформировать пользователей о мерах защиты от фишинга, провести аудит интеграций решений атакованного подрядчика с ИТ-инфраструктурой компании и получить список сервисных аккаунтов или токенов, используемых для этих интеграций.
Среди других важных мер - подтверждение наличия у всех сервисных аккаунтов или токенов минимально необходимых привилегий, аннуляция избыточных и внеплановая смена аутентификационных данных.
Что касается доменной Windows-инфраструктуры, то необходимо выполнить обновление аутентификационных данных привилегированных аккаунтов и анализ варианта их размещения в доменной группе Protected Users для отключения возможности использования некриптостойких алгоритмов шифрования и аутентификации по NTLM.
Количество атак на Innostage за последние месяцы также резко выросло. В компании это связывают с проведением bug bounty в формате открытых кибериспытаний (ОКИ). Так, в августе 2024 г. специалисты SOC заблокировали более 30 тыс. атак на свою ИТ-инфраструктуру. А в сентябре 2024 г. - еще свыше 180 тыс. атак, большая часть из которых представляла собой попытки разведки инфраструктуры. На кратный рост атак, вероятно, повлияло и недавнее объявление о повышении вознаграждения за реализацию недопустимого события в рамках программы ОКИ. Ранее за перевод со счетов Innostage суммы до 2000 руб. независимые исследователи кибербезопасности могли заработать 5 млн руб., а с 10 сентября 2024 г. - вдвое больше.
В то же время, атаки на компанию в сентябре производились преимущественно с зарубежных IP-адресов, что указывает на пристальный интерес к ИБ-интегратору со стороны темных хакеров. Из Франции было совершено 117,2 тыс. атак, что составляет порядка двух третей совокупного объема красного трафика. Еще 2,2 тыс. атак - из Германии. На США, Норвегию, Великобританию, Литву, Финляндию и Украину в целом пришлось порядка 300 атак. Из России было произведено 63,9 тыс. атак.
Открытые кибериспытания - инструмент, позволяющий с одной стороны проверять киберустойчивость бизнеса, а с другой - постоянно тренирующий и усиливающий боеготовность специалистов по информационной безопасности. Как результат, эксперты Центра противодействия киберугрозам Innostage SOC CyberART, осуществляющие круглосуточную киберзащиту ИТ-инфраструктуры компании и ее заказчиков, в равной степени готовы к отражению атак и этичных, и темных хакеров.