Не оправдали доверия: какие бывают виды Trusted Relationship Attack и как от них защититься

[BOOX]

Любая компания пользуется услугами подрядчиков, чтобы сэкономить ресурсы, время и делегировать работу.

Это удобно, но вместе с преимуществами создает риски информационной безопасности — возникает вероятность атак через доверительные отношения.

Злоумышленники сначала атакуют одного из доверенных партнеров или подрядчиков компании, а затем используют эту уязвимость для проникновения в сеть. Внутренняя инфраструктура компании, как правило, менее защищена, что облегчает дальнейшее развитие атаки.

Атаки через доверительные отношения — частный случай атак на канал поставок, когда изначально она проводится на третье лицо (поставщика услуг), а далее, используя его скомпрометированную инфраструктуру и/или данные, на конечную цель — организацию, которой оказываются услуги. Классическая схема такой атаки — это взлом подрядчиков с использованием любого способа: эксплуатация уязвимостей ПО, социальная инженерия, вредоносное ПО, подбор данных авторизации, а далее — получение данных авторизации, используемых подрядчиком для доступа в рамках оказываемых услуг. Это может быть сделано с использованием того же вредоносного ПО, анализа трафика внутри ЛВС подрядчика и т.д. Далее злоумышленник уже использует полученные данные для доступа в целевую инфраструктуру.

В этой статье мы рассмотрим основные характеристики атак через доверительные отношения, их методы и последствия. Мы также предложим технические решения и меры, которые помогут компаниям защититься от таких атак и минимизировать их последствия.

Что такое атака через доверительные отношения​

Атаки через доверительные отношения (trusted relationships attack) — это тип кибератаки, когда злоумышленники сначала атакуют инфраструктуру одной компании, которая имеет легитимный доступ к ресурсам целевой компании, а затем используют эту уязвимость для проникновения в инфраструктуру жертвы. Первым звеном в этой цепочке могут стать дочерние компании или компании-подрядчики.

Через доверительные отношения главным образом развиваются Supply Chain Attacks — атаки через цепочку поставщиков. Мы видим все больше примеров, как злоумышленники атакуют менее защищенных поставщиков или партнеров с прицелом на их более защищенных заказчиков. Цели таких злоумышленников могут быть различны, в последнее время наблюдаем рост атак, связанных с хактивизмом.

Во втором типе атак — Spear Phishing, или фишинг через доверенные контакты — используются скомпрометированные или поддельные учетные записи сотрудников или партнеров, чтобы отправить письма с вредоносным содержимым или ссылками на пользователей организации.

Также стоит отметить Third-Party Account Compromise — компрометацию учетных записей партнеров (как правило, купленных на теневых форумах) и API-based Attacks — атаки через API и интеграции, когда хакеры используют уязвимости или недостатки в безопасности системы посредника, использующего API организации, чтобы атаковать ее.

Атаками через доверительные отношения обычно занимаются APT-группировки. Их цель — крупные коммерческие компании и госорганизации, конфиденциальными данными которых они пытаются завладеть. Например, новая APT-группировка ChamelGang атаковала ТЭК и авиационную промышленность РФ ради информации.

Промышленные предприятия не всегда способны сами выявить ATP-атаку и могут несколько лет считать себя в безопасности. Но на практике киберпреступники могут проникнуть в инфраструктуру промышленного предприятия и получить над ней контроль. Но зачастую атаки развиваются достаточно быстро.

Так, для получения доступа в инфраструктуру целевого предприятия ТЭК группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. И спустя всего две недели киберпреступники проникли в сеть головной компании и оставались незамеченными в течение трех месяцев.

Вообще, сам класс атак «Атака через доверительные отношения» вошел в тройку самых популярных в 2023 году. Дело в том, что в современном мире компании редко что-то делают самостоятельно от и до. Обычно привлекаются подрядчики, в случае с ИТ — всевозможные системные интеграторы. И вот тут начинаются проблемы, когда никто не контролирует, насколько у подрядчика хорошо решаются вопросы информационной безопасности. Если злоумышленники получат доступ к подрядчику, то есть все шансы добраться и до конечного заказчика. Это может быть что угодно — от вирусной атаки до прямого доступа к инфраструктуре.

Еще один пример высокопрофессиональных кибер преступников, которые используют атаки через доверительные отношения — группировка Shedding Zmiy. Выяснилось, что Shedding Zmiy шпионила за российскими организациями как минимум с 2022 года. Ее жертвами стали госсектор, промышленность, телеком и другие отрасли российской экономики. Shedding Zmiy применяет публично доступное ВПО и уникальное, а для загрузки вирусов иногда использует скомпрометированные легитимные серверы.

Помимо кражи конфиденциальных данных, результатом атаки киберпреступников может стать нанесение непоправимого урона организации и нарушение ее работы. Так, в работе железнодорожной сети Дании в 2022

Для просмотра ссылки необходимо нажать Вход или Регистрация

крупный сбой. Поезда по всей стране встали из-за хакерской атаки на среду тестирования ПО IT-субподрядчика датского железнодорожного оператора DSB.

Виды атак через доверительные отношения​

В

Для просмотра ссылки необходимо нажать Вход или Регистрация

о кибератаках, расследованных «Лабораторией

Касперского», атаки через доверительные отношения названы одним из трендов 2023 года. Популярность этого вектора объясняется тем, что киберпреступники с его помощью могут провести масштабную атаку. При этом потребуется приложить значительно меньше усилий, чем при атаке на каждую жертву по отдельности.

Для обнаружения атаки через доверительные отношения требуется достаточно высокий уровень зрелости компаний. Даже высокая квалификация ИБ-сотрудников не гарантирует быстрого обнаружения киберпреступников в инфраструктуре, так как действия хакера маскируются под действия сотрудников подрядной или дочерней организации и выглядят легитимно. Согласно отчету «Лаборатории Касперского» половина таких атак была обнаружена только после обнаружения утечки данных, а четверть пострадавших обратились после того, как их данные были зашифрованы.

Чаще всего злоумышленники стремятся скомпрометировать IT-инфраструктуру небольших подрядчиков, чтобы получить доступ к инфраструктуре их заказчиков. Зачастую в рамках жизненного цикла атаки злоумышленники получают легитимный аутентификационный материал, что позволяет им, например, осуществлять VPN-подключения во внешние IT-инфраструктуры. При этом для жертвы такие действия будут выглядеть абсолютно легитимными, как будто их действительно совершает подрядчик.

Во время атаки через доверительные отношения киберпреступники используют различные широко используемые способы. Среди них:

• Фишинг
• Эксплуатация уязвимостей
• Атаки через доверенные домены и отравление кэша
• Брутфорс-атаки
• Цепные атаки или Kill Chain
• Кви про кво (услуга за услугу)
• и другие.

По нашему опыту, чаще всего через доверительные отношения производятся атаки, связанные со шпионажем и с использованием программ-вымогателей. При этом в некоторых случаях атакующие сначала занимаются шпионажем, а потом передают цель другим атакующим, которые запускают программу-вымогатель и т.д.

Зачастую компании-подрядчики или дочерние организации оказываются менее защищены, чем крупная головная организация и становятся для киберпреступников «дверью»‎ в целевую инфраструктуру.

Методы защиты от атак через доверительные отношения​

Любое подключение к инфраструктуре организации несет в себе потенциальные риски. При этом компания может предоставлять доступ в свои системы по-разному: от выдачи логинов и паролей до выделения ряда систем для проведения работ.

Даже если в организации-заказчике используются средства для защиты информации, они не могут гарантировать безопасность компании-подрядчика. Например, сотрудники поставщика услуг могут не соблюдать правила цифровой гигиены и хранить логины и пароли для доступа к целевой сети в небезопасном месте.

DNS защита и фильтрация неправомерных/зараженных ресурсов как первый уровень защиты от человеческого фактора
Разграничение прав доступа: четкое разграничение ролей и прав доступа сотрудников к критически важной информации минимизирует риск утечек данных

Внедрение многофакторной аутентификации (MFA)
Использование решений по обнаружению угроз, таких как EDR (Endpoint Detection and Response) и SIEM (Security Information and Event Management)

Ну и, конечно же, всегда актуально обучать сотрудников цифровой грамотности, вовремя обновлять антивирусные программы и проводить регулярные аудиты безопасности корпоративной сети в качестве превентивных мер.

Один из важных элементов выстраивания защиты в организации от атак через доверительные отношения — технические решения.

Вот некоторые из них:

• Многофакторная аутентификация.
• Системы обнаружения и предотвращения вторжений (IDS/IPS).
• Системы UBA (Анализа поведения пользователей).
• VPN с усиленной аутентификацией.
• Системы управления доступом (Identity and Access Management).
• Системы обнаружения и реагирования на угрозы (Threat Detection and Response).
• Регулярное тестирование на проникновение (Penetration Testing).
• Защищенные каналы связи (Secure Communication Channels).

Эти технические решения помогут значительно повысить уровень безопасности сети и данных, защищая от атак через доверительные отношения и других киберугроз.

Если говорить о детектировании атак через доверительные отношения, наиболее эффективными решениями здесь являются решения класса PAM, EDR, NTA и SIEM. PAM позволяет организовать доступ к целевому ресурсу, учитывать и контролировать действия и распределение рабочего времени; при этом пароль от целевого ресурса будет неизвестен для поставщика услуг (подрядчика). EDR нужен для проактивной защиты на уровне хоста путем непрерывного мониторинга, выявления и предотвращения подозрительной активности на целевых ресурсах. NTA — для выявления атак на уровне сети, обнаружения легитимных и нелегитимных инструментов, а также для расследования инцидентов. Все события, получаемые из решений данного класса, должны агрегироваться и анализироваться в SIEM-системах, а при возникновении нелегитимной активности формироваться в инцидент и оповещать офицера безопасности. Стоит также сказать, что все это актуально при условии, что нет явных пробелов по защите с помощью NGFW и антивирусных решений.

Помимо использования технических средств, для защиты от атак через доверительные отношения эксперты дают следующие рекомендации:

• Сегментировать сеть.
• Ограничивать привилегии пользователей, выдавая новые учетные записи.
• Выдавать доступы подрядчикам на фиксированное время.
• Запретить прямой доступ к инфраструктуре.
• Обеспечьте обмен файлами внутри инфраструктуры и с подрядными организациями через безопасный файлообменник.
• Проводить тестирование методом предполагаемого нарушения (Assumed Breach).
• Контролировать активность в вашей инфраструктуре в нерабочее время.

Эти меры помогут компаниям лучше подготовиться к возможным атакам через доверительные отношения и минимизировать их последствия.

Нет волшебной таблетки и определенного средства защиты, которое вас защитит. Здесь важен процесс. Изучите, что необходимо поставщику для оказания услуги и постройте безопасность вокруг этого процесса и введите соответствующие контроли.

Не нужно забывать, что большой процент атак становиться возможным благодаря человеческому фактору, поэтому необходимо проводить регулярные обучения сотрудников. Рассказывать о способах атак, напоминать об угрозах, о необходимости соблюдать правила цифровой гигиены и проводить проверку знаний.

Основной класс решений — это человек. Грамотное планирование защиты инфраструктуры, а также организация пристального мониторинга событий, лежит в первую очередь на человеке.

Какого-то одного технического решения для минимизации подобного рода атак не существует, да и в принципе не может существовать. Необходимо комбинировать различные решения, такие как NGFW, IAM, CASB, EDR на конечных хостах, да даже DLP внесет большой вклад в выявление такого типа атак. Все эти средства защиты генерируют события ИБ, которые для удобства можно аккумулировать, обрабатывать и анализировать в одном месте с помощью SIEM систем.

Заключение​

Аутсорсинговых взаимодействий становится все больше, а контроль защищенности подрядчиков при этом никак не регламентируется законом и на практике вряд ли возможен. Чтобы получить доступ к данным компании, злоумышленники могут атаковать одного из подрядчиков или партнеров.

В таких условиях понимание и предотвращение атак через доверительные отношения является критически важным для обеспечения безопасности данных и инфраструктуры в условиях растущих киберугроз.

Для просмотра ссылки необходимо нажать Вход или Регистрация