Innostage подготовила план защиты от атак через поставщиков
ИТ-инфраструктура одного из крупнейших разработчиков корпоративного ПО предположительно подверглась активной атаке в период с 29 сентября по 2 октября, и сегодня стало известно о нейтрализации инцидента. Компрометации подверглись несколько серверов внутренних систем компании с некритичной информацией.
Стенды разработки, продукты компании, тестовые стенды заказчиков и доступы в сети заказчиков не были скомпрометированы и находятся в безопасности.
Чтобы защитить инфраструктуру своего бизнеса, в случае достоверно известной атаки на подрядчика или поставщика, эксперты Центра противодействия киберугрозам Innostage SOC CyberART рекомендуют выполнить ряд последовательных шагов.
"В первую очередь следует приостановить предоставление удаленного доступа из инфраструктуры скомпрометированного поставщика. Если это невозможно, следует ввести многофакторную идентификацию, контроль привилегированного доступа и установить минимальные привилегии и сетевые доступы. Не менее важно произвести обновление аутентификационных данных", - отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Кроме того, эксперты компании рекомендуют проинформировать пользователей о мерах защиты от фишинга, провести аудит интеграций решений атакованного подрядчика с ИТ-инфраструктурой компании и получить список сервисных аккаунтов или токенов, используемых для этих интеграций.
Среди других важных мер - подтверждение наличия у всех сервисных аккаунтов или токенов минимально необходимых привилегий, аннуляция избыточных и внеплановая смена аутентификационных данных.
Что касается доменной Windows-инфраструктуры, то необходимо выполнить обновление аутентификационных данных привилегированных аккаунтов и анализ варианта их размещения в доменной группе "Protected Users" для отключения возможности использования некриптостойких алгоритмов шифрования и аутентификации по NTLM.
Отметим, что количество атак на Innostage за последние месяцы также резко выросло. В компании это связывают с проведением bug bounty в формате открытых кибериспытаний (ОКИ). Так, в августе 2024 года специалисты SOC заблокировали более 30 тысяч атак на свою ИТ-инфраструктуру. А в сентябре - еще свыше 180 тысяч атак, большая часть из которых представляла собой попытки разведки инфраструктуры. На кратный рост атак, вероятно, повлияло и недавнее объявление о повышении вознаграждения за реализацию недопустимого события в рамках программы ОКИ. Ранее за перевод со счетов Innostage суммы до 2000 рублей независимые исследователи кибербезопасности могли заработать 5 млн рублей, а с 10 сентября - вдвое больше.
В то же время, атаки на компанию в сентябре производились преимущественно с зарубежных IP-адресов, что указывает на пристальный интерес к ИБ-интегратору со стороны темных хакеров. Из Франции было совершено 117,2 тыс атак, что составляет порядка двух третей совокупного объема красного трафика. Еще 2,2 тыс атак - из Германии. На США, Норвегию, Великобританию, Литву, Финляндию и Украину в целом пришлось порядка 300 атак. Из России было произведено 63,9 тысяч атак.
Открытые кибериспытания - инструмент, позволяющий с одной стороны проверять киберустойчивость бизнеса, а с другой - постоянно тренирующий и усиливающий боеготовность специалистов по информационной безопасности. Как результат, эксперты Центра противодействия киберугрозам Innostage SOC CyberART, осуществляющие круглосуточную киберзащиту ИТ-инфраструктуры компании и ее заказчиков, в равной степени готовы к отражению атак и этичных, и темных хакеров.
