ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПОДРЯДЧИКОВ: КАК ПАРТНЕРЫ СТАНОВЯТСЯ ТОЧКОЙ ВХОДА ДЛЯ АТАКИ

Слабое звено редко находится в собственной инфраструктуре — чаще им оказывается подрядчик с легитимным доступом к вашим системам.

Периметр компании давно не ограничивается собственной инфраструктурой. Злоумышленникам проще и дешевле взломать небольшого партнёра с легитимным доступом к инфраструктуре компании, чем атаковать её защищённую сеть напрямую.

Речь идёт о внешних подрядчиках — например, о компании на аутсорсе бухгалтерии или 1С, агентстве с доступом к CRM, сервисной фирме, которая обслуживает принтеры или систему контроля доступа, региональном франчайзи с VPN-доступом, подрядчике по видеонаблюдению или инженерным системам. У таких партнёров нередко более слабая информационная безопасность, но при этом — легитимный доступ к части инфраструктуры компании. Именно через них чаще всего и заходят.

Как выстраивают доступ для внешних подрядчиков

Базовый принцип — минимально необходимые привилегии: подрядчик получает доступ только к тем системам и только на то время, которое действительно нужно для выполнения работ.

Там, где это возможно, доступ дополнительно изолируют:

  • отдельный VPN и отдельные учётные записи — чтобы действия подрядчика не смешивались с активностью штатных сотрудников;
  • выделенный сегмент сети — даже если учётные данные подрядчика скомпрометируют, злоумышленник не получит доступ ко всей инфраструктуре;
  • многофакторная аутентификация (MFA) — украденного пароля одного недостаточно для входа;
  • журналирование всех действий подрядчика — по логам можно быстро понять, что именно произошло и кто это сделал;
  • доступ через бастион-хост или PAM-систему (систему управления привилегированным доступом) — постоянный пароль подрядчику вообще не выдаётся, доступ выдаётся на сессию и полностью контролируется.

Требования к ИБ подрядчика фиксируют ещё на этапе договора

Многие крупные компании — особенно государственные организации и субъекты критической информационной инфраструктуры (КИИ) — предъявляют подрядчикам обязательные требования по информационной безопасности ещё до начала работ. В договор или приложение к нему включают требования об использовании средств защиты информации, наличии антивирусной защиты, применении MFA, управлении уязвимостями, журналировании событий, соблюдении политик безопасности и уведомлении об инцидентах.

Для подрядчиков, которые получают доступ к критичным системам, компания может дополнительно оставить за собой право проверять выполнение этих требований: проводить аудит ИБ, анализировать конфигурации, сканировать инфраструктуру подрядчика на уязвимости и заказывать пентесты. Смысл этих проверок не в формальном соответствии бумагам, а в том, чтобы заранее понять, насколько безопасно вообще предоставлять партнёру доступ к своей инфраструктуре, и снизить риск атаки через цепочку поставок ещё до того, как он реализуется.

Если подрядчик работает с критичными системами, ответственность распределена между обеими сторонами: подрядчик обязан обеспечить собственную безопасность, а компания — убедиться, что контролирует предоставленный доступ и доверяет ему обоснованно, а не формально.

Как это выглядит на практике

У внешней компании оказываются скомпрометированы учётные данные для VPN или плохо защищённый удалённый доступ. При расследовании инцидента выясняется, что первоначальный вход в инфраструктуру пострадавшей компании был выполнен именно под учётной записью подрядчика — то есть формально легитимно.

Безопасность подрядчика — часть управления рисками компании

Даже если собственная инфраструктура хорошо защищена, один слабо защищённый партнёр с легитимным доступом может стать самым простым путём для злоумышленника. Поэтому проверка ИБ-зрелости подрядчиков, контроль их доступа и требования безопасности в договоре — это не формальность для регулятора, а часть управления рисками самой компании, наравне с защитой собственного периметра.

Оцените, кто на самом деле имеет доступ к вашей инфраструктуре

Специалисты MONS проводят аудит информационной безопасности, в том числе с учётом рисков, связанных с доступом подрядчиков и партнёров, и помогают выстроить контроль доступа, который снижает вероятность атаки через цепочку поставок.

Узнать больше об услугах по информационной безопасности →
Для нестандартных и комплексных запросов
Если ваша задача требует подробного обсуждения, отправьте детальное описание на welcome@mons.ru