60% компаний финсектора сталкивались с атаками на цепочки поставок

С начала 2023 г. 60% российских компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack). Средний ущерб от такого инцидента, без учета репутационных потерь и штрафных санкций, составил 3,6 млн. руб.

Такие результаты показало исследование ГК "Солар". Главной особенностью атак на цепочку поставок программного обеспечения является получение доступа злоумышленником к целевой системе через внедрение в продукт или компонент, который используется организацией, вредоносного кода. Проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла программного обеспечения и вызываться как вставки вредоносного кода сотрудником, как штатным, так и работающим у внешнего подрядчика, так и компрометацией стороннего поставщика при использовании готовых решений или сервисов.

Анализ, который провели эксперты МТС RED ART, проверив более 4,7 миллиона уникальных репозиториев, показал, что по ссылкам на 7820 содержимое отсутствует. В 986 случаях учетная запись, под которой изначально создавалая репозиторий, неактивна. Такие репозитории уязвимы к захвату злоумышленниками, которые могут повторно зарегистрировать их на себя, в том числе с применением инструментов автоматизации. Аккаунты, уязвимые к кибератакам класса repojacking, могли быть использованы в большом количестве программ, в том числе и российскими разработчиками, которые не подозревают о потенциальной опасности.

"Мы предлагаем сообществу разработчиков присоединиться к инициативе и еще раз проверить наличие в своих зависимостях прямых ссылок на сторонние репозитории, которые могут быть уязвимы к repojacking-атакам. Наша общая цель — создание реестра доверенных зависимостей, в которых все сторонние компоненты и их артефакты проверены сообществом", — подчеркнул Денис Макрушин, технический директор компании МТС RED.

Целью кибератак на цепочки поставок является получение доступа к конфиденциальной информации о клиентах, поэтому финансовый сектор представляет для злоумышленников наибольший интерес. Полученные данные используются для прямой кражи денежных средств со счетов клиентов. Несколько реже целью атаки становится нарушение производственного процесса. Аналогичным атакам подвергаются и другие отрасли: промышленность, ТЭК, металлургия и т.д.

"Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open source компонент без глубокого анализа кода каждого артефакта", — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК "Солар".