Растущая зависимость компаний от сторонних поставщиков ИТ-услуг и программного обеспечения значительно увеличивает их поверхность атаки. Это неоднократно подтверждается многочисленными кибератаками. Хотя риски, связанные со сторонними поставщиками, невозможно полностью устранить, их вполне можно снизить. При этом, как поясняет Рэнди Гросс, CISO в CompTIA, руководители по безопасности должны играть центральную роль: «CISO находятся в уникальном положении, чтобы охватить весь бизнес-процесс — потоки данных, зависимости и последующие последствия. Тем не менее, многие компании до сих пор не используют эту перспективу для переоценки рисков, связанных с третьими сторонами».

Однако руководители по безопасности зачастую остаются в стороне, особенно когда контракты заключаются на уровне бизнес-подразделений или ниже порогов финансового одобрения. Это отмечает и Мелисса Вентроне, руководитель отдела кибербезопасности в юридической фирме Clark Hill: «Во многих компаниях за безопасность отвечают только после заключения контракта. Или когда проблема безопасности уже возникла».

На самом деле, CISO должны выступать в качестве прагматичных технических консультантов, которые собирают важную информацию, для оценки которой они имеют соответствующую квалификацию.

13 вопросов, которые следует задать сторонним поставщикам

Следующие вопросы помогут CISO и руководителям по безопасности воплотить это в жизнь.

1. Какие доказательства адекватных мер безопасности вы можете предоставить?

По словам Хуана Пабло Переса-Эчегойена, CTO в компании-поставщике решений безопасности Onapsis, наиболее распространенными доказательствами являются:

• SOC 2 Type II (считается золотым стандартом для аудита ИТ- и облачных поставщиков услуг),
• ISO/IEC 27001,
• Cloud Security Alliance STAR (специально для облачных поставщиков, сочетает ISO 27001 с матрицей контроля рисков, связанных с облаком), а также
• отраслевые сертификаты (например, HIPAA/HITRUST для работы с медицинскими данными или PCI DSS для обработки данных кредитных карт).

2. Как эти меры обновляются и как сообщается о существенных изменениях?

Адвокат Вентроне также рекомендует предоставить потенциальным ИТ-партнерам подробный опросник для проведения комплексной проверки. Кроме того, эксперт по правовым вопросам рекомендует закрепить конкретные аспекты в договоре: «Сторонним поставщикам должно быть как минимум запрещено изменять меры безопасности, которые могут повлиять на уровень защиты или отказоустойчивость ваших систем и данных».

3. Кто в вашей команде отвечает за состояние учетных данных и как он распознает запросы, связанные с социальной инженерией?

По мнению Кейси Коркорана, Field CISO у поставщика управляемых услуг Stratascale, руководителям по безопасности обязательно следует выяснять, какую форму доступа имеет команда стороннего поставщика к системам и данным клиентов, а также как этот доступ сегментируется и защищается. «Убедитесь, что этот доступ протоколируется и контролируется — и может быть немедленно отозван при необходимости».

Кроме того, руководители по безопасности должны обращать внимание на правильные аспекты, как подчеркивает Джон Алфорд, CSO в консалтинговой фирме TeraType: «Многие клиенты сосредотачиваются на брандмауэрах, конечных агентах и MFA — но упускают из виду пути доверия, которые предпочитают использовать злоумышленники: рабочие процессы службы поддержки, интеграции OAuth, порталы поддержки поставщиков и коннекторы автоматизации».

Алфорд также рекомендует своим коллегам обращать внимание на строго определенные области ответственности, многоуровневые проверки и цепочки утверждения для сброса учетных данных. «Если ничего из этого нет, это указывает на слепые зоны, которые невозможно устранить впоследствии».

4. Как можно проверить ваши рабочие процессы? Можете ли вы предоставить доказательства их эффективности?

Многие компании недооценивают, сколько операционного доверия они передают поставщикам. Поэтому сторонние поставщики должны не только предоставлять документы, содержащие политику, но и карты рабочих процессов, протоколы выполнения и доказательства тестирования. «Самые большие пробелы регулярно выявляются в тех местах, которые предположительно безопасны. Я видел, как авторитетные компании с развитыми стандартами и мерами контроля терпели неудачу из-за проблем, за которые были ответственны исключительно рабочие процессы их стороннего поставщика», — делится Алфорд.

По его мнению, оценки рисков должны фокусироваться не только на серверах и сетях, но и на рабочих процессах идентификации и ручных процессах: «Если расширить угол обзора, можно обнаружить меры контроля, которые хорошо выглядят только на бумаге».

5. Какую роль играет независимое тестирование в вашей работе и как часто оно проводится?

Когда речь идет о тестировании и оценке безопасности ИТ-партнеров, CISO следует уделять внимание тому, чтобы они проводились независимыми третьими сторонами, считает эксперт по правовым вопросам Вентроне. «Это должно происходить как минимум раз в год — и при существенных изменениях в сети, инфраструктуре или мерах безопасности. Вам также следует ознакомиться с сводками сканирования уязвимостей, тестов на проникновение и аудитов».

Дэнни Дженкинс, CEO в компании-поставщике решений безопасности ThreatLocker, особенно отмечает частоту этих проверок: «Угрозы постоянно развиваются. Поэтому ежегодной проверки недостаточно. Все системы должны регулярно проходить тесты на проникновение и оптимизироваться».

6. Можете ли вы перечислить и объяснить все интеграции OAuth и отношения API в вашем сервисе, как они определяются, контролируются и отзываются?

По оценке Алфорда, CSO в Teratype, интеграции OAuth слишком часто рассматриваются как безобидные удобства, а не как каналы с высокими привилегиями: «На самом деле они работают как сеть забытых туннелей. Они предоставляют возможность полностью обойти точку входа и соединяют системы глубоко внутри среды».

Поэтому компаниям следует просить своих сторонних поставщиков предоставлять инвентарь токенов, включая минимальные области действия, конечные сроки действия, а также возможность поведенческого мониторинга, говорит Алфорд. Постоянно действующие токены, напротив, эксперт считает тревожным сигналом, указывающим на повышенный риск.

7. Каковы ваши договорные и операционные обязательства, если злоумышленник злоупотребляет вашими процессами, не вторгаясь в системы?

Если сторонние поставщики могут сбрасывать пароли или управлять интеграциями OAuth, договор становится документом контроля. Он определяет, как распределяется риск и какие доказательства может потребовать клиент. В этом месте особенно важно привлекать руководителей по безопасности к переговорам со сторонними поставщиками, как подчеркивает Алфорд: «Без участия CISO договорные положения, как правило, остаются невыгодными. Это связано с тем, что без перспективы безопасности фокус в основном сосредоточен на доступности — а не столько на безопасности. Как клиент, вы должны настаивать на том, чтобы обязательства поставщика распространялись не только на скомпрометированные системы, но и на скомпрометированные процессы».

8. Какие меры контроля используются для контроля действий ваших сотрудников в нашей среде? И как мы распознаем поведение, отклоняющееся от нормы?

«Современные атакующие кампании используют доверительные отношения и мягкие операционные процессы. Опасность часто таится там, где ее никто не ожидает — например, в службах поддержки», — предупреждает Алфорд. Поэтому мониторинг деятельности сотрудников сторонних поставщиков имеет решающее значение для успеха. Поэтому специалист по безопасности рекомендует настаивать на том, чтобы партнер записывал сеансы, предоставлял оповещения в реальном времени и строго разделял задачи.

9. Как вы изолируете наши активы и данные от активов и данных других клиентов?

При работе с потенциальными сторонними поставщиками CISO также должны обращать внимание на четкую архитектуру и конкретные меры, которые могут ограничить ущерб. Здесь также играет роль то, как сторонний поставщик управляет рисками в своих собственных цепочках поставок. «ИТ-партнеры должны иметь надежную программу управления поставщиками и проводить соответствующую комплексную проверку своих собственных поставщиков», — советует Вентроне.

10. Как быстро мы будем проинформированы об инцидентах безопасности, затрагивающих наши данные или системы?

Получение информации от ИТ-партнеров о потенциальных инцидентах безопасности должно быть само собой разумеющимся. Однако здесь также важна своевременность. Кейси Коркоран, Field CISO в Stratascale, рекомендует: «Договор должен гарантировать уведомление стороннего поставщика в течение 24–72 часов. Кроме того, руководители по безопасности должны также обращать внимание на протестированный план реагирования на инциденты и другие договорные обязательства».

Алфорд также не видит здесь возможности для компромиссов — сторонние поставщики должны предоставлять клиентам достаточную информацию, чтобы они могли проводить собственный анализ угроз: «Если этого не происходит, компании-клиенты могут полагаться только на функцию обнаружения и отчетности хостинг-провайдера».

11. Как вы выявляете, приоритизируете и устраняете уязвимости?

Поскольку немало кибератак нацелено на уже известные уязвимости, при оценке сторонних поставщиков необходимо также обращать внимание на политики установки исправлений и сроки их устранения. CTO Onapsis Перес-Эчегойен разъясняет связанные с этим риски: «Медленные циклы установки исправлений могут привести к сбоям в цепочке поставок, операционным проблемам, а иногда и к банкротству».

В этом контексте Вентроне приводит пример компании, которая передала управление брандмауэром стороннему поставщику: «После того как была использована уязвимость в брандмауэре, партнер в конечном итоге восстановил уязвимую версию, что привело ко второму компрометированию. Грубо говоря, такое невозможно придумать», — констатирует адвокат.

12. Есть ли у вас киберстрахование, покрывающее возможные последствия для всех ваших клиентов?

По словам Джошуа Райта, научного сотрудника SANS Institute, атаки на поставщиков SaaS будут продолжать расти в будущем — а вместе с ними и последующие риски: «Если такой сторонний поставщик будет скомпрометирован, возникнут различные возможности для последующих атак — например, с использованием программ-вымогателей».

Поэтому Вентроне рекомендует CISO при переговорах со сторонними поставщиками также убедиться, что их полис киберстрахования покрывает не только собственную компанию, но и весь ущерб от инцидента, затрагивающего нескольких клиентов.

13. Можем ли мы протестировать ваши процессы?

Эксперт SANS Райт также считает доказательства тестирования и мониторинга необходимыми — например, в отношении тестов на проникновение, мониторинга безопасности или поиска угроз. Однако Алфорд рекомендует пойти еще дальше: «Тестирование процессов с использованием реалистичных сценариев может выявить реальные риски. Это также даст вам возможность разработать меры контроля, которые соответствуют образу мышления злоумышленников, а не тому, что написано в документации».