Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"

Руслан Рахметов, Security Vision

Ряд резонансных киберинцидентов, произошедших в последнее время (такие как атаки на ИТ-гигантов SolarWinds и Kaseya), поставили мировое сообщество перед фактом: невозможно однозначно доверять даже самым проверенным и изученным информационным системам. Причина заключается в возможности проведения атак на цепочки поставок (англ. "supply chain attacks") путем несанкционированного внедрения атакующими вредоносного кода и/или недекларированных возможностей в программное и/или аппаратное обеспечение, которое поставляется третьим лицом (ИТ-вендором, производителем, сторонними разработчиками).

Не секрет, что современные приложения, информационные системы и высокотехнологичное оборудование настолько сложны и так часто обновляются, что компания-заказчик, как правило, не может самостоятельно проверить отсутствие уязвимостей, вредоносного функционала, бэкдоров (программной или аппаратной закладки) в используемом оборудовании, операционных системах, прикладном ПО и даже в средствах защиты. Вопросы обработки рисков цепочек поставок освещены в документе NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations" («Практики управления киберрисками цепочки поставок для систем и организаций»), который мы обсудим в данной публикации.

В документе NIST SP 800-161 дается определение цепочки поставок как взаимосвязанному набору ресурсов и процессов между различными уровнями предприятий (включая покупателей, поставщиков, разработчиков, системных интеграторов, сервис-провайдеров), каждый из которых является потребителем продуктов и сервисов с нижележащего уровня с дальнейшим внедрением их в жизненный цикл конечного продукта. Киберриск цепочек поставок определен как потенциальный ущерб или компрометация в результате киберриска со стороны поставщиков, их цепочек поставок и их продуктов или сервисов. Киберриски в цепочках поставок возникают по причине наличия угроз, эксплуатирующих уязвимости и недостатки в продуктах и сервисах в рамках цепочки поставок, а также в самой логике цепочки поставок. В качестве угроз цепочкам поставок могут быть рассмотрены намеренное внедрение вредоносного ПО, создание подделок, промышленный шпионаж, нарушение поставок, перебои в оказании услуг, воздействие спецслужб, а также природные катастрофы, низкокачественные продукты и сервисы, регуляторные и геополитические ограничения (санкции). В качестве уязвимостей цепочек поставок могут быть рассмотрены взаимозависимости в цепочке поставок, ограниченные возможности отдельных элементов цепочки поставок, недостаточные меры кибербезопасности, а также уязвимые системы и компоненты поставщиков, непропатченные системы, недостаточная осведомленность в вопросах обеспечения информационной безопасности.

Например, киберрисками цепочки поставок будут:

• компрометация репозитория исходного кода проприетарного программного продукта и включение в него бэкдора;

• выявление уязвимости в распространенном ПО и проведение дальнейших атак на пользователей данного ПО;

• подмена аппаратных компонент (микроконтроллеров, модулей памяти, периферии) в материнских платах на аналогичные оригинальным, но содержащие программно-аппаратные закладки, с дальнейшей установкой таких материнских плат в оборудование и доставкой его заказчику - конечной цели атаки.

В документе NIST SP 800-161 признается, что повторное использование программных компонент, включая компоненты с открытым исходным кодом (англ. open source) является экономически эффективным и популярным способом разработки и улучшения ПО, при этом зачастую конечный потребитель не имеет представления о версиях программных модулей, используемых в конечном ПО, которое он использует. Аналогичные киберугрозы актуальны и для внутренней (in-house) разработки ПО, поскольку штатные разработчики могут использовать сторонние библиотеки и модули, которые могут содержать уязвимости. Приведем пример: недавняя опасная уязвимость Log4Shell, обнаруженная в популярной OpenSource-библиотеке логирования операций веб-приложений Apache Log4j, активно эксплуатируется в кибератаках именно по причине её широкого применения в коммерческих платформах по всему миру. Другой пример: при разработке программного продукта для внутренних нужд используется библиотека с открытым исходным кодом, хранящимся в GitHub-репозиторий; данный репозиторий может быть скомпрометирован атакующими (например, путем похищения учетных данных администратора), чтобы в дальнейшем "раздавать" видоизмененный код проекта, содержащий легко эксплуатируемую извне уязвимость, а за этим последуют и атаки на все компании, использовавшие данный GitHub-репозиторий. В результате, NIST SP 800-161 вводит понятие C-SCRM (Cybersecurity Supply Chain Risk Management, управление киберрисками цепочки поставок), обозначающее систематический процесс управления киберрисками цепочки поставок, являющийся частью корпоративной системы управления рисками и включающий в себя практики и меры защиты цепочек поставок для IT и OT-инфраструктур, а также для IoT-устройств. Внедрение процессов C-SCRM может помочь организациям выявить наиболее зависимые от цепочек поставок информационные системы и компоненты ИТ-инфраструктуры, уменьшить вероятность компрометации инфраструктуры за счет эффективного выявления, реагирования и восстановления после инцидентов в цепочках поставок, повысить уверенность в качестве, подлинности, надежности, киберустойчивости и безопасности приобретаемых продуктов, а также в надежности поставщиков и сервис-провайдеров.

Для эффективного и последовательного управления киберрисками цепочки поставок в документе NIST SP 800-161 приводится ряд требований к контрактным обязательствам поставщиков и управлению закупками продуктов/сервисов:

• Соответствие применимым требованиям кибербезопасности должно быть условием заключения и оплаты контракта;

• Требования кибербезопасности должны предъявляться также к субподрядчикам и субпоставщикам, с контролем выполнения данных требований;

• Периодические перепроверки выполнения поставщиками требований кибербезопасности;

• Установленные процессы и протоколы обмена информацией об уязвимостях, киберинцидентах и иных нарушениях бизнес-процессов, а также критерии категорирования инцидентов;

• Условия и положения контрактов, оговаривающие роли, ответственность и действия поставщиков и иных третьих лиц при реагировании на выявленные киберриски или киберинциденты цепочки поставок для смягчения риска, минимизации ущерба и обеспечения действий по реагированию на инциденты;

• Методами проверки и перепроверки выполнения условий поставщиками и подрядчиками могут быть сертификации, визиты заказчика на площадку, оценки независимых третьих лиц или проведение процедур самооценки поставщиками и подрядчиками.

При обработке данных о продуктах, сервисах или источниках поставок рекомендуется учитывать следующие их характеристики:

• Функционал и возможности;

• Доступ к данным и информации, включая привилегии доступа;

• Среда установки и функционирования;

• Безопасность, подлинность и целостность продукта и сервиса и соответствующей цепочки поставки и компиляции;

• Возможности источника поставок предоставить ожидаемый продукт или сервис требуемого качества;

• Контроль или влияние на источник поставок со стороны зарубежных законодательных норм или иностранных сущностей;

• Рыночные альтернативы источнику поставок;

• Потенциальные факторы риска, такие как геополитические, юридические, управленческие/внутренние способы контроля, финансовая стабильность, произошедшие киберинциденты, физическая и личная безопасность, а также иная информация, которая повлияет на анализ качества, подлинности, надежности, киберустойчивости и безопасности источников поставок и приобретаемых продуктов и сервисов.

Для оценки киберрисков цепочки поставок рекомендуется учитывать следующие риск-индикаторы и результаты анализа:

• Информацию об киберугрозах, включая индикаторы компрометации, а также тактики, техники и процедуры атакующих;

• Данные оповещений средств защиты, отчеты с данными киберразведки;

• Последствия для безопасности инфраструктуры и/или бизнес-процессов, связанных с использованием продукта или сервиса;

• Уязвимости информационных систем;

• Уровень угроз и уязвимостей по результатам их оценки;

• Потенциальное негативное влияние или ущерб, причиненный возможной компрометацией продукта или сервиса бизнес-процессам компании, а также вероятность такого негативного влияния или ущерба, с учетом возможности эксплуатации уязвимостей;

• Возможности компании по смягчению выявленных киберрисков цепочки поставок.

В документе NIST SP 800-161 приводятся рекомендации по эффективному обеспечению кибербезопасности цепочек поставок, которые разделены на основные (foundational), дополнительные (sustaining) и развивающие (enhancing).

Основные рекомендации включают в себя следующие пункты:

• Создание выделенного подразделения или группы для управления киберрисками цепочки поставок;

• Внедрение процессов и иерархии риск-менеджмента в соответствии с рекомендациями NIST SP 800-39 и NIST SP 800-30;

• Внедрение структуры корпоративного управления для интеграции требований управления киберрисками цепочки поставок в корпоративные политики и процедуры;

• Разработка процесса определения и оценки критичности корпоративных поставщиков, продуктов и сервисов;

• Повышение осведомленности ответственных работников в вопросах управления киберрисками цепочки поставок;

• Разработка и внедрение требований управления киберрисками цепочки поставок в политики и процедуры закупок;

• Внедрение логически связанного, повторяемого, задокументированного процесса определения уровней негативного воздействия при реализации киберрисков цепочки поставок;

• Внедрение процессов оценки рисков поставщиков, включая анализ критичности, угроз и уязвимостей;

• Внедрение программы оценки качества и надежности с методами их контроля и проверки;

• Выделение достаточных ресурсов функциям информационной безопасности и управления киберрисками цепочки поставок;

• Обеспечение контролируемого доступа к конфиденциальной информации по управлению киберрисками цепочки поставок;

• Внедрение применимых защитных мер в соответствии с документом NIST SP 800-53;

• Внедрение программы реагирования на киберинциденты, включающей возможности по выявлению первопричины киберинцидентов, в том числе произошедших из-за атак на цепочки поставок;

• Внедрение внутренних процессов для проверки того, что поставщики и сервис-провайдеры активно ищут и оповещают об уязвимостях в своих продуктах;

• Внедрение корпоративной функции управления и мониторинга каталога компонент программного обеспечения (англ. SBOM, Software Bill Of Materials) для выявления уязвимостей в используемом ПО.

Дополнительные рекомендации включают в себя следующие пункты:

• Внедрение и взаимодействие в рамках программы обеспечения информационной безопасности с учетом актуальных киберугроз;

• Использование механизмов построения доверия, включая опросники для оценки третьих лиц, визиты на площадки производителей, формальные сертификации (например, по ISO 27001) для оценки возможностей и практик критичных поставщиков;

• Внедрение формальных процессов мониторинга и переоценки существующих поставщиков для выявления возможных изменений их риск-профилей;

• Использование понимания корпоративного риск-профиля для определения аппетита и толерантности к риску для поддержки принятия риск-ориентированных управленческих решений в отношении управления цепочками поставок;

• Использование согласованного процесса обмена информацией о киберрисках цепочки поставок между компаниями и государственными органами;

• Эскалация высокоприоритетных киберрисков цепочки поставок на уровень руководства компании (при необходимости);

• Включение тренингов по вопросам управления киберрисками цепочки поставок в корпоративный процесс внутреннего обучения;

• Внедрение аспектов управления киберрисками цепочки поставок в жизненный цикл продуктов и систем, а также внедрение соответствующих логически связанных, повторяемых, задокументированных процессов в создание систем, практики обеспечения кибербезопасности, процедуры приобретения ИТ-продуктов и услуг;

• Внедрение внутрикорпоративных требований по управлению киберрисками цепочки поставок в контрактные требования для поставщиков, разработчиков, системных интеграторов, сервис-провайдеров;

• Включение критически важных поставщиков в планы и тестирования по реагированию на киберинциденты, обеспечению непрерывности и восстановлению работоспособности;

• Взаимодействие с поставщиками, разработчиками, системными интеграторами, сервис-провайдерами для повышения их практик обеспечения кибербезопасности;

• Определение, сбор и предоставление отчетности по метрикам управления киберрисками цепочки поставок для поддержки принятия риск-ориентированных управленческих решений, применение управленческих практик для полномасштабного внедрения системы управления киберрисками цепочки поставок, повышение эффективности и результативности процессов и практик обеспечения кибербезопасности цепочки поставок.

Развивающие рекомендации включают в себя следующие пункты:

• Автоматизация процессов управления киберрисками цепочки поставок (где применимо и возможно) для повышения логической связности и эффективности, а также высвобождения ресурсов;

• Применение количественных методов оценки анализа рисков для повышения точности оценки рисков цепочки поставок, повышения возможностей руководства компании для определения оптимальных способов реагирования на киберриски, а также количественного измерения эффективности реагирования на киберриски цепочки поставок;

• Применение результатов вычисления метрик управления киберрисками цепочки поставок для прогнозирования киберугроз цепочки поставок и перехода от реактивного к проактивному методу реагирования.