Слабое звено редко находится в собственной инфраструктуре — чаще им оказывается подрядчик с легитимным доступом к вашим системам.
Периметр компании давно не ограничивается собственной инфраструктурой. Злоумышленникам проще и дешевле взломать небольшого партнёра с легитимным доступом к инфраструктуре компании, чем атаковать её защищённую сеть напрямую.
Речь идёт о внешних подрядчиках — например, о компании на аутсорсе бухгалтерии или 1С, агентстве с доступом к CRM, сервисной фирме, которая обслуживает принтеры или систему контроля доступа, региональном франчайзи с VPN-доступом, подрядчике по видеонаблюдению или инженерным системам. У таких партнёров нередко более слабая информационная безопасность, но при этом — легитимный доступ к части инфраструктуры компании. Именно через них чаще всего и заходят.
Как выстраивают доступ для внешних подрядчиков
Базовый принцип — минимально необходимые привилегии: подрядчик получает доступ только к тем системам и только на то время, которое действительно нужно для выполнения работ.
Там, где это возможно, доступ дополнительно изолируют:
- отдельный VPN и отдельные учётные записи — чтобы действия подрядчика не смешивались с активностью штатных сотрудников;
- выделенный сегмент сети — даже если учётные данные подрядчика скомпрометируют, злоумышленник не получит доступ ко всей инфраструктуре;
- многофакторная аутентификация (MFA) — украденного пароля одного недостаточно для входа;
- журналирование всех действий подрядчика — по логам можно быстро понять, что именно произошло и кто это сделал;
- доступ через бастион-хост или PAM-систему (систему управления привилегированным доступом) — постоянный пароль подрядчику вообще не выдаётся, доступ выдаётся на сессию и полностью контролируется.
Требования к ИБ подрядчика фиксируют ещё на этапе договора
Многие крупные компании — особенно государственные организации и субъекты критической информационной инфраструктуры (КИИ) — предъявляют подрядчикам обязательные требования по информационной безопасности ещё до начала работ. В договор или приложение к нему включают требования об использовании средств защиты информации, наличии антивирусной защиты, применении MFA, управлении уязвимостями, журналировании событий, соблюдении политик безопасности и уведомлении об инцидентах.
Для подрядчиков, которые получают доступ к критичным системам, компания может дополнительно оставить за собой право проверять выполнение этих требований: проводить аудит ИБ, анализировать конфигурации, сканировать инфраструктуру подрядчика на уязвимости и заказывать пентесты. Смысл этих проверок не в формальном соответствии бумагам, а в том, чтобы заранее понять, насколько безопасно вообще предоставлять партнёру доступ к своей инфраструктуре, и снизить риск атаки через цепочку поставок ещё до того, как он реализуется.
Если подрядчик работает с критичными системами, ответственность распределена между обеими сторонами: подрядчик обязан обеспечить собственную безопасность, а компания — убедиться, что контролирует предоставленный доступ и доверяет ему обоснованно, а не формально.
Как это выглядит на практике
У внешней компании оказываются скомпрометированы учётные данные для VPN или плохо защищённый удалённый доступ. При расследовании инцидента выясняется, что первоначальный вход в инфраструктуру пострадавшей компании был выполнен именно под учётной записью подрядчика — то есть формально легитимно.
Безопасность подрядчика — часть управления рисками компании
Даже если собственная инфраструктура хорошо защищена, один слабо защищённый партнёр с легитимным доступом может стать самым простым путём для злоумышленника. Поэтому проверка ИБ-зрелости подрядчиков, контроль их доступа и требования безопасности в договоре — это не формальность для регулятора, а часть управления рисками самой компании, наравне с защитой собственного периметра.
Оцените, кто на самом деле имеет доступ к вашей инфраструктуре
Специалисты MONS проводят аудит информационной безопасности, в том числе с учётом рисков, связанных с доступом подрядчиков и партнёров, и помогают выстроить контроль доступа, который снижает вероятность атаки через цепочку поставок.
Узнать больше об услугах по информационной безопасности →