Атака через доверительные отношения (trusted relationship attack) — атака, в которой злоумышленники компрометируют стороннюю компанию, состоящую в доверительных отношениях с интересующей их организацией, чтобы получить доступ к системам последней.
Доверительные отношения могут устанавливаться между поставщиками услуг и их клиентами, организациями и их дочерними структурами, подрядчиками и заказчиками, партнерами и т. д. По своей природе такие отношения подразумевают, что для облегчения бизнес-операций одна из компаний получает определенный уровень доступа к сети и внутренним ресурсам другой.
Атаки через доверительные отношения часто путают с атаками на цепочку поставок. И то и другое предполагает компрометацию сторонних организаций с целью получить доступ к инфраструктурам или ресурсам их клиентов или партнеров. Ключевая разница заключается в том, что в атаках на цепочки поставок злоумышленники компрометируют аппаратное и программное обеспечение, которое поступает в целевую организацию, на стороне вендора. В свою очередь, в атаках через доверительные отношения они эксплуатируют доступ сотрудников скомпрометированной компании к системам целевой организации.
Доверительные отношения как вектор атаки
Злоумышленники могут эксплуатировать доверительные отношения между организациями как в целевых, так и в крупномасштабных атаках. В частности, возможны следующие сценарии:
- Злоумышленник взламывает плохо защищенного подрядчика, чтобы проникнуть в хорошо защищенную крупную компанию.
- Злоумышленник получает доступ к поставщику услуг и впоследствии использует его для атаки на всех клиентов этого поставщика.
По статистике за 2023 и 2024 годы, поставщики и подрядчики вошли в тройку наиболее распространенных векторов кибератак на организации.
Как устроен доступ подрядчика к системам заказчика
Чаще всего доступ подрядчика, партнера или иного доверенного контрагента к системам организации осуществляется при помощи связки VPN и удаленного рабочего стола (RDP). Также могут использоваться утилиты удаленного управления, такие как AnyDesk или AmmyyAdmin, удаленный доступ по защищенному протоколу SSH и т. д. Во многих случаях учетные записи подрядчика защищены паролем, при этом далеко не всегда используется многофакторная аутентификация.
Противодействие атакам через доверительные отношения
Основная проблема с защитой от атак через доверительные отношения состоит в том, что организация, предоставляющая доступ подрядчику или партнеру, не может контролировать, как организована защита данных и систем на его стороне. Например, сотрудники подрядчика могут хранить пароли в своих системах в открытом виде, о чем заказчик может не знать.
Как правило, организации снижают риски подобных атак, внедряя строгие требования к безопасности аккаунтов подрядчиков и минимизируя их доступ к своим системам. К основным мерам предосторожности относятся:
- Многофакторная аутентификация. Организация может требовать от подрядчиков использовать дополнительные факторы аутентификации (например, физические токены) для доступа к своим системам.
- Принцип минимальных привилегий. Сегментация сети и ограничение доступа третьих лиц до необходимого минимума помогают уменьшить возможности злоумышленников при проникновении в инфраструктуру через доверенный канал.
- Мониторинг подключений и прав доступа сторонних компаний помогает вовремя выявить вредоносную активность и остановить атаку.
Продукты и услуги по теме
Kaspersky Symphony
Kaspersky Managed Detection and Response
Kaspersky Incident Response