понедельник, 14 декабря 2020 г.

Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Атака на цепочку поставок уничтожает всю выстроенную архитектуру безопасности в компании. И от нее почти невозможно защититься. Я уже упоминал выступление Александра Матросова в прошлом году на конференции Offzone, где было хорошо расписано как схема взлома работает и предлагал способы защиты политиками Zero Trust. То есть вы вроде покупаете проверенный ноутбук или сервер или софт для компании, но где-то по пути от производителя до вашего офиса есть точка, где вам встраивают закладку. И проверять поставщиков на каждом шагу почти невозможно. И неважно из какой страны ваши ИТ продукты, даже российские поставщики уязвимы.


И сегодня многие новостные каналы будут обсуждать взлом правительственных организаций, компании по безопасности FireEye и других компаний мирового уровня. Это произошло посредством встраивания троянской программы в обновления софта Orion компании SolarWinds.  К чести компании FireEye она по сути единственная, кто смог вообще обнаружить эту закладку. Они оповестили весь мир и мы теперь с этим разбираемся. Компания Микрософт уже нарисовала картинку как это работает:

По информации самой компании SolarWinds у нее более 300000+ заказчиков и кто из них получил такую троянскую программу нам еще предстоит узнать. В рекламе на сайте SolarWinds в списке заказчиков упоминается Ciscо и Apple.


На самом деле многие компании ломают через партнеров и даже собственные удаленные офисы и конечно через удаленный доступ собственных сотрудников: вы им доверяете по умолчанию и не предполагаете, что ваш старый поставщик или ваш собственный сотрудник будет вас атаковать. Считаю, что 2021 год станет годом пересмотра доверия своим старым поставщикам, перехода к схеме доверия "доверяй, но проверяй" или Zero Trust. Вот так меняется мир.

По такой же схеме в 2017 году был взломан софт популярной бухгалтерской программы M.E.Doc, и затем все пользователи этой программы были скомпроментированы и управлялись уже хакером через управляющие сервера M.E.Doc, что было почти невозможно обнаружить. 

Посмотрите этот короткий ролик про то как правильно делать удаленный доступ к своей сети и почему важно НЕ выставлять свои приложения напрямую в Интернет.

Далее я предлагаю обсудить как контролировать поведение сети продуктами класса NTA и UEBA, поскольку без них, похоже, уже не обойтись в современном мире угроз.