🤕 Масштабные случаи компрометации SaaS-платформ пошли уж слишком густо

Платформа CDK Global, поставляющая комплексные IT-решения для автодилеров и автосервисов, испытала масштабную кибератаку, предположительно связанную с вымогательской группой BlackSuit. Все сервисы компании стали недоступны, и клиенты несколько дней управляли закупками, продажами и прочей деятельностью при помощи карандаша и бумаги. Пока компания устраняла последствия взлома, её атаковали повторно.

Масштабы другой кибератаки, направленной на провайдера услуг медицинского документооборота Change Healthcare, до сих пор не ясны до конца. Компания, отвечающая в том числе за выплаты по медицинским страховкам в США, подверглась атаке вымогателей в феврале, в результате чего деятельность многих аптек и клиник в стране была парализована. Восстановление систем шло поэтапно и заняло два месяца, но некоторые возможности в них не работают до сих пор. При этом вымогатели украли большой объём персональных данных, включая медицинские, и масштаб этой утечки все ещё изучается. Ущерб оценивается в $1,6 млрд.

Иной сценарий развивается вокруг облачной платформы управления данными Snowflake. Многие клиенты Snowflake столкнулись с тем, что хранимые на платформе данные выставлены в даркнете на продажу. Число таки инцидентов перевалило за полторы сотни. Самый крупный из них — кража информации о 560 миллионах клиентов гигантской платформы по продаже билетов на мероприятия, Ticketmaster.
Сама компания и команды incident response утверждают, что в каждом таком инциденте компрометация произошла через украденные у клиента учётные данные для доступа к платформе, а MFA на атакованных аккаунтах не была включена.
Можно было бы повздыхать об инфостилерах и закрыть дело, но масштаб проблемы доказывает, что со стороны Snowflake не было принято мер, упрощающих внедрение безопасных сценариев аутентификации у клиента. Имеющие дело с платформой подтверждают — нельзя включить MFA для всей компании сразу и применять стандартный для организации способ MFA.

У всех инцидентов есть нечто общее — большинство клиентов, включая очень крупные организации, были совершенно не готовы к серьёзному ИБ-инциденту у SaaS-поставщика. Это доказывает, что традиционный фокус усилий ИБ, связанный с защитой периметра и ИТ-устройств внутри собственной инфраструктуры, требует переосмысления. На критичные для бизнеса облачные решения нужно выделять значительные ИБ-усилия. Какие меры можно принять?

🌚 диверсификация поставщиков. Чем больше функций бизнеса завязано на единственного провайдера, тем выше стоимость его отказа;

🌚 подробное ознакомление с мерами безопасности, внедрёнными в компании-поставщике для их инфраструктуры и инструментами ИБ, предлагаемыми для клиентов. Чем важнее SaaS-решение для бизнеса, тем глубже придётся разбираться;

🌚 детальная оценка рисков, связанных с внедрением конкретного решения;

🌚 закреплённые в контракте обязательства поставщика соблюдать требования и стандарты ИБ, регламентировать срок оповещения об инцидентах;

🌚 централизованно установленная и системно воплощаемая политика по применению мер безопасности, предложенных поставщиком SaaS-решения. Простейший пример — обязать всех сотрудников применять MFA для входа на SaaS-платформу;

🌚 применение в администрировании SaaS-решения принципа наименьших привилегий.

#советы @П2Т