Автор Неизвестен - Атаки на подрядчиков. Эксплуатация доверия

Оглавление
Ключевые выводы и цифры.................................................................................................................................................................................... 3
Аннотация........................................................................................................................................................................................................................ 4
Концепция и методология....................................................................................................................................................................................... 4
Введение........................................................................................................................................................................................................................... 5
Историческая справка............................................................................................................................................................................................... 5
Jet Security Trusted Relationship Framework................................................................................................................................................... 6
Этап 1. «Инициализация взаимодействия»..................................................................................................................................................... 8
Общие выводы...........................................................................................................................................................................................................8
BAD Pyramid.............................................................................................................................................................................................................. 10
Этап 2. «Управление взаимоотношением»..................................................................................................................................................... 11
Общие выводы.......................................................................................................................................................................................................... 11
BAD Pyramid...............................................................................................................................................................................................................13
Этап 3. «Прекращение работы»........................................................................................................................................................................... 14
Общие выводы......................................................................................................................................................................................................... 14
BAD Pyramid...............................................................................................................................................................................................................16
Как себя обезопасить? Рекомендации............................................................................................................................................................. 17
О нас...................................................................................................................................................................................................................................19
О компании.....................................................................................................................................................................................................................19

Ключевые выводы и цифры
80%

компаний используют защитные меры в отношении
подрядчиков/поставщиков услуг, аналогичные
удаленным работникам
лишь

20%

определяют набор мер, исходя из специфики
взаимодействия и профиля риска поставщика
менее

10%

проводят мероприятия по оценке уровня ИБ
поставщика услуг. Оценка проводится в основном
с использованием опросных листов и зачастую носит
формальный характер — не влияет на дальнейшее
решение о выборе поставщика или архитектуры
подключения к ресурсам компании

«Castle and moat»

(«крепость и ров», также известна как «защита
периметра») до сих пор одна из самых часто
встречающихся моделей построения ИБ. Фокус
на защите периметра относительно эффективен
против внешнего злоумышленника, однако после
успешной компрометации подрядчика в такой
инфраструктуре атакующий имеет полный
«карт-бланш»

38%

компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные
сервисы. При этом работник – инициатор обмена, как
правило, самостоятельно определяет требования
к безопасности, руководствуясь принципами скорости
и удобства

85%

компаний, где ПО сопровождал подрядчик, не имели
стратегии «выхода» в случае ухода поставщика
с рынка или передачи сервиса другому игроку

в 3 раза

за последние годы вырос спрос на решения, связанные
с сокращением риска компрометации данных при
внешнем взаимодействии. Так, например, спрос на
решения класса PIM/PAM, по нашим данным, вырос
в 3,2 раза с 2019 года.

3

Аннотация

Концепция и методология

Исследование посвящено анализу проблем и рисков, связанных
с атаками через сторонние организации, когда злоумышленники
атакуют целевую компанию не напрямую, а через ее доверенных
партнеров, поставщиков или подрядчиков. Такие атаки также
называют «эксплуатацией доверия» и «атаками на цепочку
поставок».

Исследование основывается на концепции пирамиды
кибербезопасности BAD Pyramid (Build, Attack, Defend)¹.

Цели исследования:
Обозначить --">