Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Дата: 14.12.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Атака на цепочку поставок уничтожает всю выстроенную архитектуру безопасности в компании. И от нее почти невозможно защититься. Я уже упоминал выступление Александра Матросова в прошлом году на конференции Offzone, где было хорошо расписано как схема взлома работает и предлагал способы защиты политиками Zero Trust. То есть вы вроде покупаете проверенный ноутбук или сервер или софт для компании, но где-то по пути от производителя до вашего офиса есть точка, где вам встраивают закладку. И проверять поставщиков на каждом шагу почти невозможно. И неважно из какой страны ваши ИТ продукты, даже российские поставщики уязвимы.

И сегодня многие новостные каналы будут обсуждать взлом правительственных организаций, компании по безопасности FireEye и других компаний мирового уровня. Это произошло посредством встраивания троянской программы в обновления софта Orion компании SolarWinds.  К чести компании FireEye она по сути единственная, кто смог вообще обнаружить эту закладку. Они оповестили весь мир и мы теперь с этим разбираемся. Компания Микрософт уже нарисовала картинку как это работает:
data-original-height=425

По информации самой компании SolarWinds у нее более 300000+ заказчиков и кто из них получил такую троянскую программу нам еще предстоит узнать. В рекламе на сайте SolarWinds в списке заказчиков упоминается Ciscо и Apple.

На самом деле многие компании ломают через партнеров и даже собственные удаленные офисы и конечно через удаленный доступ собственных сотрудников: вы им доверяете по умолчанию и не предполагаете, что ваш старый поставщик или ваш собственный сотрудник будет вас атаковать. Считаю, что 2021 год станет годом пересмотра доверия своим старым поставщикам, перехода к схеме доверия доверяй, но проверяй или Zero Trust. Вот так меняется мир.
По такой же схеме в 2017 году был взломан софт популярной бухгалтерской программы M.E.Doc, и затем все пользователи этой программы были скомпроментированы и управлялись уже хакером через управляющие сервера M.E.Doc, что было почти невозможно обнаружить. 
data-original-height=1000
Посмотрите этот короткий ролик про то как правильно делать удаленный доступ к своей сети и почему важно НЕ выставлять свои приложения напрямую в Интернет.

Далее я предлагаю обсудить как контролировать поведение сети продуктами класса NTA и UEBA, поскольку без них, похоже, уже не обойтись в современном мире угроз.


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *