Компания Innostage подготовила план защиты от атак через поставщиков
Российские ИТ-компании по-прежнему пользуются повышенным вниманием хакеров. Сейчас они совершили атаку на одного из крупнейших производителей ПО, являющегося поставщиком для многих российских заказчиков. В этой связи компания Innostage сформировала перечень мер для предотвращения возможных атак через скомпрометированного подрядчика.
ИТ-инфраструктура одного из крупнейших разработчиков корпоративного ПО предположительно подверглась активной атаке в период с 29 сентября по 2 октября, и сегодня стало известно о нейтрализации инцидента. Компрометации подверглись несколько серверов внутренних систем компании с некритичной информацией.
Стенды разработки, продукты компании, тестовые стенды и доступы в сети компаний не были скомпрометированы и находятся в безопасности.
Чтобы защитить инфраструктуру своего бизнеса, в случае достоверно известной атаки на подрядчика или поставщика, эксперты Центра противодействия киберугрозам Innostage SOC CyberART рекомендуют выполнить ряд последовательных шагов.
«В первую очередь следует приостановить предоставление удаленного доступа из инфраструктуры скомпрометированного поставщика. Если это невозможно, следует ввести многофакторную идентификацию, контроль привилегированного доступа и установить минимальные привилегии и сетевые доступы. Не менее важно произвести обновление аутентификационных данных», — отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Кроме того, эксперты компании рекомендуют проинформировать пользователей о мерах защиты от фишинга, провести аудит интеграций решений атакованного подрядчика с ИТ-инфраструктурой компании и получить список сервисных аккаунтов или токенов, используемых для этих интеграций.
Среди других важных мер — подтверждение наличия у всех сервисных аккаунтов или токенов минимально необходимых привилегий, аннуляция избыточных и внеплановая смена аутентификационных данных.
Что касается доменной Windows-инфраструктуры, то необходимо выполнить обновление аутентификационных данных привилегированных аккаунтов и анализ варианта их размещения в доменной группе «Protected Users» для отключения возможности использования некриптостойких алгоритмов шифрования и аутентификации по NTLM.
Отметим, что количество атак на Innostage за последние месяцы также резко выросло. В компании это связывают с проведением bug bounty в формате открытых кибериспытаний (ОКИ). Так, в августе 2024 года специалисты SOC заблокировали более 30 тысяч атак на свою ИТ-инфраструктуру. А в сентябре — еще свыше 180 тысяч атак, большая часть из которых представляла собой попытки разведки инфраструктуры. На кратный рост атак, вероятно, повлияло и недавнее объявление о повышении вознаграждения за реализацию недопустимого события по программе ОКИ. Ранее за перевод со счетов Innostage суммы до 2000 рублей независимые исследователи кибербезопасности могли заработать 5 млн рублей, а с 10 сентября — вдвое больше.
В то же время, атаки на компанию в сентябре производились преимущественно с зарубежных IP-адресов, что указывает на пристальный интерес к ИБ-интегратору со стороны темных хакеров. Из Франции было совершено 117,2 тыс атак, что составляет порядка двух третей совокупного объема красного трафика. Еще 2,2 тыс атак — из Германии. На США, Норвегию, Великобританию, Литву, Финляндию и Украину в целом пришлось порядка 300 атак. Из России было произведено 63,9 тысяч атак.
Открытые кибериспытания — инструмент, позволяющий с одной стороны проверять киберустойчивость бизнеса, а с другой — постоянно тренирующий и усиливающий боеготовность специалистов по информационной безопасности. Как результат, эксперты Центра противодействия киберугрозам Innostage SOC CyberART, осуществляющие круглосуточную киберзащиту ИТ-инфраструктуры компании и ее клиентов, в равной степени готовы к отражению атак и этичных, и темных хакеров.
О компании
Innostage — российская ИТ-компания, разработчик и интегратор сервисов и решений в области цифровой безопасности. Синергия уникальных ИТ-технологий и экспертизы команды Innostage позволяют обеспечивать цифровую устойчивость бизнеса лидеров рынка, имеющих высочайшие требования к уровню информационной безопасности.
Innostage оказывает услуги по аудиту и формированию дорожных карт комплексного импортозамещения цифровых сервисов и ИТ-инфраструктуры.
На базе Innоstage функционирует Innostage SOC СyberART — центр противодействия киберугрозам, осуществляющий комплексный подход к противодействию цифровым угрозам за счет превентивного анализа рисков и управления уязвимостями, выявления попыток атак на раннем этапе и немедленного реагирования на них с целью полного нивелирования возможных последствий и устранения причин возникновения инцидентов. Является центром ГосСОПКА.