Лезть во все дырки: появилась первая платформа для оценки безопасности контрагентов

Стройными подрядами

Cicada8 запускает платформу с интерактивной картой кибербезопасности контрагентов, подрядчиков и дочерних организаций, рассказали Forbes в компании. Она получила название Cicada8 CyberRating, оценивает широкий спектр критериев и на базе проведенного анализа формирует совокупный рейтинг защищенности организаций, который актуализируется в режиме реального времени. Платформа позволяет службам IT и информационной безопасности (ИБ) выявлять риски при взаимодействии с третьими лицами и минимизировать вероятность атак через цепочку поставок, а руководителям бизнеса — принимать решения при выборе контрагентов, поясняют в компании.
Это первый в России практический инструмент по оценке кибербезопасности подрядчиков, заверяют в компании. Платформа проверяет наличие потенциальных уязвимостей на периметре, уровень защиты сетевых ресурсов, факты инцидентов информационной безопасности в прошлом. На основе результатов проверок решение формирует совокупный показатель защищенности от 0 до 10, поясняют в Cicada8. «Таким образом можно проверить любую стороннюю компанию. В личном кабинете формируется рейтинг проверенных организаций по уровню защищенности, и IT- или ИБ-директор могут выбрать подрядчика на основании реальных данных, а не просто их слов», — продолжают там.
На вопрос о стоимости услуги в компании отвечают, что находятся в процессе ценообразования, так как для рынка услуга новая: «Предполагается, что стоимость (за услугу) для средней компании (если она будет проверять пару подрядчиков, а не 100) составит меньше 1 млн рублей».
В России это первое готовое решение класса TPRA (оценка рисков третьих лиц), настаивают в компании. «Во-первых, речь идет о проверке других компаний (как, впрочем, и собственных удаленных филиалов или «дочек»), а еще проверка проходит шире — помимо собственно уязвимостей, на периметре проверяются мисконфигурации, защита сети и то, были ли у подрядчика утечки или взломы в прошлом. Последнее проверяется как по открытым источникам, так и по даркнету — не предлагаются ли там доступы или базы, утекшие у этого подрядчика», — объясняет представитель Cicada8. Концепция платформы — это всевозможные автоматизированные неинвазивные способы проверки защищенности, результаты которых собраны в одном месте, подчеркивают в компании, добавляя, что эти проверки не могут нарушить работоспособность IT-активов, а значит, не требуют и юридического согласия на проведение проверки.

Актуальная угроза

В последние несколько лет ИБ-специалисты констатируют бурный рост числа атак через подрядчиков (supply chain attack), когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров и поставщиков. Такие атаки называют «эксплуатацией доверия» и «атаками на цепочку поставок». Так, согласно исследованию «Инфосистем Джет», выпущенному в июне 2023 года, риск эксплуатации доверия вошел в топ-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составил от 300% и более.
Нападения на поставщиков и проникновение в инфраструктуру компаний через посредника участники рынка ИБ указывали в качестве одного из самых расхожих типов атак прошлого года. «Мы сталкиваемся с этим постоянно в ходе расследований инцидентов», — выражал общее мнение руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин. При этом злоумышленники сосредоточили свое внимание на небольших подрядчиках, обращал внимание директор по продуктам и технологиям BI.Zone Муслим Меджлумов: «Компрометация таких компаний открывает атакующим двери к действительно значимым целям, ведь уровень защищенности у маленькой компании, как правило, не такой высокий, как у крупных игроков».
Увеличение в 2025 году числа атак на цепочки поставок и атак типа Trusted Relationship прогнозировали и эксперты F6 в своем годовом отчете. Так, в ходе таких нападений хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков, а в роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании, писали они. По данным аналитиков RED Security, в этом году каждый третий крупный взлом будет реализован через IT-подрядчиков компаний.
Согласно данным исследования Б1, по итогам 2024 года Россия с долей в 2% рынка оказалась на 9-м месте среди стран по уровню расходов на ИБ. В топ-3 по этому показателю входят США (44%), Китай (8%) и Великобритания (6%). Объем российского рынка ИБ в 2024 году в Б1 оценивали в 299 млрд рублей, рост — около 23%, по сравнению с 2023 годом, по итогам которого рынок услуг и продуктов ИБ в России достиг 244 млрд рублей. 

«Идея интересная, но есть вопросы»

По словам экспертов, угроза атак через подрядчиков действительно растет, и идея проверки уровня их безопасности не нова. «Если исходить из описания функционала, продукт не делает ничего уникального, однако, судя по всему, содержит в себе инструменты ASM (Attack Surface Management, непрерывный процесс обнаружения, инвентаризации, классификации, оценки всех цифровых активов организации, которые могут быть доступны злоумышленникам), OSINT (Open Source Intelligence, разведка по открытым источникам), сканеров уязвимостей и даже автоматического пентеста. Раньше их не объединяли в одну «коробку» в таком сочетании, — рассуждает CISO Innostage Дмитрий Кокорин. — Идея интересная, но возникает ряд вопросов».
IT-инфраструктура почти любой компании — это, по его словам, «как живой организм», она постоянно меняется. То, что еще вчера было «неприступным», завтра может оказаться скомпрометированным из-за нового уязвимого сервиса или появления 0-day (уязвимости «нулевого дня», еще не имеющие патчей или исправлений), указывает Кокорин. «Вчерашний рейтинг может не отражать сегодняшней действительности. Сможет ли новый продукт проводить комплексную проверку и анализ непрерывно и выдавать актуальный результат в реальном времени?», — задается вопросом эксперт.
Впрочем, любая независимая оценка подрядчиков может быть интересна для клиентов и рынка, полагает сооснователь компании-разработчика решений в области информбезопасности CtrlHack Максим Пятаков. «Если говорить о небольших подрядчиках, один из основных векторов проникновения в компанию — взломы сервисов на внешнем периметре. Поэтому анализ периметра — один из элементов анализа защищенности, которым точно необходимо активно пользоваться», — размышляет он.
Однако проверки только внешнего периметра для обеспечения киберзащиты компании недостаточно, настаивают аналитики. По мнению Пятакова, оценка внутренней инфраструктуры компании все же также необходима, поскольку это показывает, насколько успешно хакер сможет развить атаку: «Полностью оценить защищенность предприятия можно только вместе с использованием внутреннего пентеста и аудита».
К автоматической оценке защищенности есть много разных подходов, например, оценивать организации по утечкам или наличию индикаторов компрометации, размышляет директор по продуктам для симуляции атак Positive Technologies Ярослав Бабин. «Ценность анализа внешней инфраструктуры важна настолько же, сколько и внутренней, — согласен он. – Это может говорить о качестве и результативности всех процессов кибербезопасности в компании».
Директор сервисного блока компании F6 Александр Соколов сообщил, что недавно компания запустила индекс кибербезопасности, который в определенной степени решает задачу оценки уровня безопасности компании (в том числе контрагента), так как строится на основе данных из ASM. «Сам по себе этот продукт также может помочь оценить защищенности внешнего периметра организации. Так что наше решение — альтернатива написанному, — продолжает он. — Однако эти решения дают лишь общее понимание и релевантно в случае крайних значений. Для основательных выводов требуется глубокое исследование».