Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей

Копировать ссылку
С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack), выяснила компания «Ростелеком».

erid: 2Vtzqx4tLQr

Средний ущерб от одного такого инцидента составил 3,6 млн рублей. Данная оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции.

Отличительной особенностью атак на цепочку поставок программного обеспечения является получение доступа злоумышленником к целевой системе не напрямую, а через внедрение в продукт или компонент, который используется организацией. Поэтому проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла программного обеспечения и вызываться различными причинами, начиная от злоумышленной вставки вредоносного кода сотрудником на этапе разработки, заканчивая компрометацией стороннего поставщика при использовании готовых решений или сервисов.

В большинстве случаев целью данной разновидности кибератак является получение доступа к конфиденциальной информации о клиентах, поэтому финансовый сектор представляет для злоумышленников наибольший интерес. После получения доступа к инфраструктуре банков кредитные и дебетовые карты клиентов становятся уязвимы для разных видов мошенничества с целью кражи денежных средств. Также атаки на цепочку поставок могут привести к нарушению производственного процесса и тем самым нанести ущерб репутации компании, поэтому часто затрагивают такие отрасли как нефтяная промышленность, крупный ритейл и сфера информационных технологий.

Примером наиболее «простой» атаки является намеренная опечатка. Злоумышленник создает репозиторий, повторяющий функционал оригинального, но содержащий включения уязвимого кода. Если разработчик совершит опечатку в названии библиотеки, например, jquery -> jquerry, то система сборки скачает уязвимый компонент.

Более сложным типом атаки является попытка подмены внутренней библиотеки через запутывание системы сборки. Если злоумышленник знает названия внутренних артефактов, то он может создать одноименный артефакт в публичном репозитории, добавив отметку, что это самая свежая версия. В этом случае система сборки может посчитать, что внешний артефакт более новый и использовать его при сборке.

Также стоит учесть возможные подмены артефактов через воровство «звездочек», отражающих репутацию и рейтинг проекта в сообществе разработчиков или полностью репозитория, а также создание дубликата удаленного репозитория, однако сейчас это уже менее актуально.

«Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open source компонент без глубокого анализа кода каждого артефакта», — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener «Солар».

«Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) имеет центр экспертизы по безопасной разработке для бизнеса любого размера и уровня зрелости, а также многолетний опыт в области построения процессов безопасной разработки и внедрения инструментов анализа защищенности ПО в цикл DevOps. Собственное комплексное решение Solar appScreener обеспечивает полноценный контроль безопасности приложений из одного интерфейса без внедрения разрозненных сторонних инструментов для анализа кода с использованием ключевых методов анализа — SAST, DAST и SCA.

Для снижения рисков проникновения злоумышленников к данным важно организовать защиту всех типов учетных записей и ограничить доступ третьих лиц к информации, которая им не нужна для выполнения рабочих процессов. Здесь помогают решения класса PAM, (Privileged Access Management), которые контролируют доступ привилегированных пользователей и проактивно применяют политики безопасности. Например, решение Solar SafeInspect управляет привилегированными учетными записями и сессиями в современных информационных системах — как классических, так и облачных.

Защитить периметр сети, проверяя входящий трафик для предотвращения несанкционированного доступа и сетевых атак из внешней сети, а также аутентификации внутренних и внешних пользователей, помогают решения класса NGFW. Так, решение SolarNGFW обеспечивает комплексную сетевую безопасность, решает задачи управления доступом в сеть, отслеживания выполнения внутренних регламентов в организации, а также собирает данные о сетевой активности сотрудников.

Усилить уровень безопасности цикла DevOps поможет анализ зрелости процессов информационной безопасности партнеров, а также разработка плана реагирования на случай возникновения атаки на цепочку поставок.

0+ 

* supply chain attack _сапл чейн эттак) — цепочка поставок изучению атак

Jquery — (джикьюэри) запрос, jquerry (слово с ошибкой)

SCA -ЭсСиЭй, SCS — ЭсСиЭс, , Solar appScreener — СоларЭпСкрине, DevOps — ДивОпс, SAST-ЭсАйЭсТи, DAST   — ДиЭйЭсТи, PAM -ПАМ, Privileged Access Management — Привилегированный Доступ Управления, Solar SafeInspect (Солар СэйфИнспектид) Проверка Безопасности, NGFW — ЭнДжиэФДаблви, DevOps — ДивОпс

open source  (оупен сорс) открытый источник

Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей
Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей

Реклама.

ПАО «Ростелеком».

ОГРН 1027700198767.

Похожие новости

26 ноября 2024, 10:06

«ФосАгро» подтвердила статус лучшего работодателя в России согласно федеральным рейтингам Forbes и РБК

В 2024 году «ФосАгро» вновь признана одним из лучших работодателей, получив высшие оценки в двух наиболее авторитетных федеральных рейтингах – Forbes и РБК. Эти результаты подтвердили лидерство Группы в поддержке профессионального и личностного развития своих сотрудников, а также в управлении химическими кластерами и охране окружающей среды.

Назад к списку
ЛЕНТА НОВОСТЕЙ
Опрос

ОПРОС

← 1 / 85 →

26 ноября отмечается Всемирный день информации. Где вы ее черпаете?

22.00%
8.00%
6.00%
19.00%
45.00%
Опрос завершен
Анонимно или
Войти
Предложите новость

ПРЕДЛОЖИТЬ НОВОСТЬ

Отправьте свою новость в редакцию, расскажите о проблеме или подкиньте тему для публикации. Сюда же загружайте ваши видео и фото.

Предложить новость
(8172) 280-003
Вологда
(8202) 57-11-11
Череповец
Цитата

ЦИТАТА

← 1 / 3 →
Екатерина Елина
директор великоустюгского филиала телеканала «Русский Север»
 Екатерина Елина

«Зима — самое красивое и волшебное время. Живя в сказочном городе - Великом Устюге, невозможно не любить это время года. Пушистый белоснежный снег, светящиеся гирлянды вокруг, невероятно красивая ёлка на главной городской площади превращают каждый день в сказку и наполняют радостными эмоциями. Зима для меня не только любимое время года, но и начало чего-то нового и чудесного».

6 Ноября 2024
Топ-5 новостей

ТОП-5 НОВОСТЕЙ

35 Медиа
01 декабря, воскресенье
22:59:13
Коронавирус
Коронавирус
227791 (+62) чел
Курсы валют
USD 107.74
EUR 114.31