Аналитика RED Security SOC: в 2024 году количество атак через подрядчиков выросло в три раза

В 2024 году большинство успешных первичных проникновений злоумышленников в ИТ-инфраструктуру компаний было реализовано с помощью фишинга, эксплуатации известных уязвимостей периметра, а также подбора паролей к учетным записям, в том числе на основе данных из различных утечек. Аналогичная картина наблюдалась и годом ранее. Однако в прошлом году в список наиболее распространенных векторов впервые попали атаки через подрядчиков (T1199: Trusted Relationship, по классификации MITRE ATT&CK), продемонстрировавшие резкий рост по сравнению с 2023 годом.

В качестве основной причины возникновения этого тренда аналитики называют значительное повышение уровня информационной безопасности крупных компаний за последние несколько лет. Попытки взлома наиболее значимых для российской экономики организаций с помощью фишинга, брутфорса или эксплуатации уязвимостей перестают приносить нужный результат, тогда как защищенность подрядчиков, имеющих легитимный доступ в их инфраструктуру, обычно гораздо ниже и слабо контролируется заказчиками.

«Противодействие атакам через подрядчиков – это один из ключевых вызовов для коммерческих и внутренних центров мониторинга. Одна часть проблемы лежит в плоскости выявления таких инцидентов: злоумышленники тщательно маскируют свою активность под легитимные действия ИТ-подрядчика, и детектировать ее можно только с помощью обнаружения аномалий. Например, специалисты RED Security SOC проводят аудит подрядчиков – собирают сведения, кому, откуда и к каким системам можно подключаться. На основе этой информации мы строим детализированные профили их стандартного поведения, любое отклонение от которых считается подозрением на инцидент и подлежит проверке. Это эффективный инструмент, но он пока не настолько распространен, чтобы средний уровень защищенности российских компаний от подобных атак мог считаться приемлемым», – считает Михаил Климов, руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

Аналитики прогнозируют, что объем инцидентов данного типа будет увеличиваться, и в 2025 году примерно каждый третий крупный взлом будет реализован через ИТ-подрядчиков компаний. Кроме того, если ранее компрометация ИТ-подрядчика обычно была частью целевой атаки на конкретную организацию, то за последний год эта тенденции изменилась: Взлом подрядчика стал инструментом массовых атак на любых его клиентов, с которыми удается обнаружить сетевую связанность.

Эксперты RED Security SOC также указывают на то, что взломанные подрядчики крайне редко способны оперативно детектировать компрометацию и принять меры по реагированию, а также не всегда уведомляют о факте взлома своих клиентов и НКЦКИ. Это дает киберпреступникам дополнительное время на то, чтобы через взломанную подрядную организацию атаковать как можно больше ее заказчиков. При этом ущерб от таких сложных для детектирования атак может исчисляться десятками миллионов рублей, так как киберпреступники сразу получают привилегированный доступ к критичным системам организации.

В качестве мер защиты эксперты RED Security SOC рекомендуют ограничивать и регулярно проводить аудиты доступов подрядчиков к инфраструктуре, разрешать удаленный доступ только с использованием терминальных серверов или PAM, применять многофакторную аутентификацию, а также тщательно отслеживать и анализировать все действия подрядчиков на предмет аномалий.