Автор Неизвестен - Атаки на подрядчиков. Эксплуатация доверия

на несколько часов из-за кибератаки на стороннего
поставщика ИТ-услуг — компанию Supeo.
Атака на разработчика VoIP-решений 3CX. Десктопный
клиент 3CXDesktopApp был скомпрометирован и использовался для распространения вредоносного ПО среди клиентов компании. Потенциальное количество атакованных —
более 600 000 компаний по всему миру, включая American
Express, Coca-Cola, BMW, Toyota, IKEA и др.
ИнфоТеКС, утечка архива c 60 912 учетными записями
пользователей по вине подрядчика, ответственного
за разработку нового сайта.
5

Jet Security Trusted
Relationship Framework
В 2022 году в центре информационной безопасности
«Инфосистемы Джет» был разработан собственный
фреймворк — Jet Security Trusted Relationship Framework (JSTRF).
Результаты экспертных аудитов ИБ, опыт работы с широкой
линейкой средств защиты различных классов, а также собственная пентест-лаборатория помогли сформулировать основные
проблемы, с которыми сталкиваются компании, и определить,
что позволяет киберпреступникам успешно совершать атаки на
эксплуатацию доверия.

Инициализация взаимодействия

1

Управление взаимоотношением

2

Прекращение работы

3

Фреймворк представляет собой концепцию управления рисками
безопасности третьих лиц и учитывает три ключевых этапа жизненного цикла взаимодействия с подрядчиками.
В рамках исследования перечисленные этапы были
сгруппированы в три укрупненных блока:
1. Инициализация взаимодействия
2. Управление взаимоотношением
3. Прекращение работы
Далее каждый из этапов подробно рассматривается
с использованием методологии BAD Pyramid в контексте
контролей безопасности, входящих в состав фреймворка JSTRF.

6

Планирование взаимоотношений с поставщиком

Оценка целесообразности привлечения третьих лиц
Определение перечня
критичных функций/сервисов
и ограничений при
привлечении третьих лиц

Анализ/независимая
оценка целесообразности
взаимодействия

Набор защитных мер

Методология
Политики взаимодействия
c поставщиками в рамках
модели жизненного
цикла

Политики выбора
третьих лиц и оценки
их уровня
безопасности

Ресурсная модель
управления
процессом и RACI

Политики безопасного
использования сервисов
и ресурсов для работников
/поставщиков

Управление рисками
поставщиков в политике
закупок/управлении
проектами

Типовые
архитектуры ИБ при
взаимодействии

Управление рисками

Профили рисков
поставщиков

Оценка рисков
взаимодействия

Управление инцидентами

Метрики
эффективности и
контрольные показатели
уровня риска

Сценарии/планы реагирования
на инциденты с поставщиком
(утечки и пр.)

Оценка и выбор поставщиков
Оценка «зрелости ИБ» поставщика
Независимый аудит
третьей стороной

Оценка цифровых
рисков (DRP)

Оценка потенциала поставщика

Оценка по формальным
контролям/ собственный аудит

Оценка квалификации
и ресурсного обеспечения

Оценка ограничений при взаимодействии

Оценка репутации
и финансового положения

Оценка
регуляторных
ограничений

Оценка зависимости
деятельности поставщика
от субподрядчиков

Кадровая
безопасность
сотрудников поставщика

Непрерывность бизнес–процессов
Оценка
лицензионных
и иных ограничений

Поддержка перечня
альтернативных
поставщиков

Мониторинг уровня
концентрации функций
у поставщиков

План поддержания процессов
отработки отказов (BCM/DRP),
стратегия «выхода»

Закрепление обязанностей сторон
Соглашение о взаимодействии
Разграничение
ответственности и управление
обязательствами сторон в области ИБ

Учет регуляторных
требований при
взаимодействии

Совместное
управление
инцидентами ИБ

Совместное использование
интеллектуальной собственности,
коммерческой и иных видов тайн

Штрафные санкции
за нарушение мер
безопасности

Учет поставщиков

Управление персональными
обязательствами
(Personal NDA)

Обеспечение непрерывности
и восстановления функций
(SLA)

Аспекты ИБ
и условия привлечения
субподрядчиков

Управление персональными
обязательствами
(Personal NDA)

Ведение расширенного
реестра поставщиков
и перечня атрибутов

Инициализация взаимодействия
Организация безопасного доступа к --">