Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей

Копировать ссылку
С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack), выяснила компания «Ростелеком».

erid: 2Vtzqx4tLQr

Средний ущерб от одного такого инцидента составил 3,6 млн рублей. Данная оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции.

Отличительной особенностью атак на цепочку поставок программного обеспечения является получение доступа злоумышленником к целевой системе не напрямую, а через внедрение в продукт или компонент, который используется организацией. Поэтому проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла программного обеспечения и вызываться различными причинами, начиная от злоумышленной вставки вредоносного кода сотрудником на этапе разработки, заканчивая компрометацией стороннего поставщика при использовании готовых решений или сервисов.

В большинстве случаев целью данной разновидности кибератак является получение доступа к конфиденциальной информации о клиентах, поэтому финансовый сектор представляет для злоумышленников наибольший интерес. После получения доступа к инфраструктуре банков кредитные и дебетовые карты клиентов становятся уязвимы для разных видов мошенничества с целью кражи денежных средств. Также атаки на цепочку поставок могут привести к нарушению производственного процесса и тем самым нанести ущерб репутации компании, поэтому часто затрагивают такие отрасли как нефтяная промышленность, крупный ритейл и сфера информационных технологий.

Примером наиболее «простой» атаки является намеренная опечатка. Злоумышленник создает репозиторий, повторяющий функционал оригинального, но содержащий включения уязвимого кода. Если разработчик совершит опечатку в названии библиотеки, например, jquery -> jquerry, то система сборки скачает уязвимый компонент.

Более сложным типом атаки является попытка подмены внутренней библиотеки через запутывание системы сборки. Если злоумышленник знает названия внутренних артефактов, то он может создать одноименный артефакт в публичном репозитории, добавив отметку, что это самая свежая версия. В этом случае система сборки может посчитать, что внешний артефакт более новый и использовать его при сборке.

Также стоит учесть возможные подмены артефактов через воровство «звездочек», отражающих репутацию и рейтинг проекта в сообществе разработчиков или полностью репозитория, а также создание дубликата удаленного репозитория, однако сейчас это уже менее актуально.

«Эффективно организовать безопасность цепочки поставок можно с помощью комбинированных средств защиты таких классов, как безопасная разработка, управление доступом и сетевая безопасность. Базовым инструментом такой экосистемы является практика SCA — анализ состава ПО на известные уязвимости, а также SCS — анализ безопасности цепочки поставок ПО, отражающий дополнительную информацию не только по самому артефакту, но и статистику по репозиторию и авторам. В ближайшее время наше решение Solar appScreener будет дополнено модулем SCS. Данные инструменты помогают офицерам ИБ оценить риски использования open source компонент без глубокого анализа кода каждого артефакта», — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener «Солар».

«Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) имеет центр экспертизы по безопасной разработке для бизнеса любого размера и уровня зрелости, а также многолетний опыт в области построения процессов безопасной разработки и внедрения инструментов анализа защищенности ПО в цикл DevOps. Собственное комплексное решение Solar appScreener обеспечивает полноценный контроль безопасности приложений из одного интерфейса без внедрения разрозненных сторонних инструментов для анализа кода с использованием ключевых методов анализа — SAST, DAST и SCA.

Для снижения рисков проникновения злоумышленников к данным важно организовать защиту всех типов учетных записей и ограничить доступ третьих лиц к информации, которая им не нужна для выполнения рабочих процессов. Здесь помогают решения класса PAM, (Privileged Access Management), которые контролируют доступ привилегированных пользователей и проактивно применяют политики безопасности. Например, решение Solar SafeInspect управляет привилегированными учетными записями и сессиями в современных информационных системах — как классических, так и облачных.

Защитить периметр сети, проверяя входящий трафик для предотвращения несанкционированного доступа и сетевых атак из внешней сети, а также аутентификации внутренних и внешних пользователей, помогают решения класса NGFW. Так, решение SolarNGFW обеспечивает комплексную сетевую безопасность, решает задачи управления доступом в сеть, отслеживания выполнения внутренних регламентов в организации, а также собирает данные о сетевой активности сотрудников.

Усилить уровень безопасности цикла DevOps поможет анализ зрелости процессов информационной безопасности партнеров, а также разработка плана реагирования на случай возникновения атаки на цепочку поставок.

0+ 

* supply chain attack _сапл чейн эттак) — цепочка поставок изучению атак

Jquery — (джикьюэри) запрос, jquerry (слово с ошибкой)

SCA -ЭсСиЭй, SCS — ЭсСиЭс, , Solar appScreener — СоларЭпСкрине, DevOps — ДивОпс, SAST-ЭсАйЭсТи, DAST   — ДиЭйЭсТи, PAM -ПАМ, Privileged Access Management — Привилегированный Доступ Управления, Solar SafeInspect (Солар СэйфИнспектид) Проверка Безопасности, NGFW — ЭнДжиэФДаблви, DevOps — ДивОпс

open source  (оупен сорс) открытый источник

Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей
Средний ущерб от одной атаки на цепочку поставок ПО в финансовом секторе составил 3,6 млн рублей

Реклама.

ПАО «Ростелеком».

ОГРН 1027700198767.

Назад к списку
ЛЕНТА НОВОСТЕЙ
Опрос

ОПРОС

← 1 / 63 →

Чего хотят женщины? В преддверии 8 марта мы решили узнать, какие подарки порадовали бы прекрасную половину человечества?

17.65%
5.88%
27.45%
19.61%
11.76%
13.73%
3.92%
Опрос завершен
Анонимно или
Войти
Предложите новость

ПРЕДЛОЖИТЬ НОВОСТЬ

Отправьте свою новость в редакцию, расскажите о проблеме или подкиньте тему для публикации. Сюда же загружайте ваши видео и фото.

Предложить новость
(8172) 280-003
Вологда
(8202) 57-11-11
Череповец
Цитата

ЦИТАТА

← 1 / 3 →
Владимир Путин
президент РФ
Владимир Путин

«Сейчас средняя продолжительность жизни в России превысила 73 года. К 2030 году ожидаемая продолжительность жизни в России должна составить не менее 78 лет. На решение этих задач будет нацелен национальный проект «Продолжительная и активная жизнь».

В ближайшие шесть лет на строительство, ремонт и оснащение объектов здравоохранения дополнительно направят более 1 триллиона рублей. Ежегодно планируется строить по 350 спорткомплексов. До 2030 года на это выделят 65 миллиардов рублей».

1 Марта 2024
Топ-5 новостей

ТОП-5 НОВОСТЕЙ

35 Медиа
02 марта, суббота
23:02:00
Коронавирус
Коронавирус
227791 (+62) чел
Курсы валют
USD 91.33
EUR 98.72