Слабая защита поставщиков — один из главных рисков бигтеха: ИБ-директор «Авито» — о том, как его минимизировать

Современная корпоративная безопасность напоминает крепостную стену с тысячами потайных ходов. Времена лобовых атак на защиту компаний остались в прошлом. Злоумышленники ищут слабое звено в экосистеме партнеров и поставщиков компании. Вместо лобовой атаки они взламывают поставщиков, которым компания доверяет доступ к своим данным и системам, и через эти легитимные каналы проникают внутрь. Поставщики могут стать новой точкой несанкционированного входа в корпоративную инфраструктуру, и проблема в том, что эти ворота часто остаются неохраняемыми.

Масштаб проблемы в цифрах

У любой современной компании есть поставщики — от нескольких десятков у небольших организаций до сотен и тысяч у крупных корпораций. К ним можно отнести как контрагентов, с которыми подписаны формальные договоры, так и тех, чьи продукты используются повсеместно (например, разработчиков бесплатных офисных продуктов или облачных сервисов), но при этом компания может не иметь с ними прямого договора и не учитывать их при оценке рисков цепочки поставок.

Чем больше компания, тем больше поставщиков, каждый из которых несет потенциальный риск. Снижение этих рисков требует определенного уровня зрелости и компетенций внутри организации. Поэтому в первую очередь эта проблема актуальна для крупного бизнеса. Для руководителей по информационной безопасности бигтеха этот риск часто входит в топ-3 приоритетов.

Основные векторы атак

Высокозащищенную компанию атаковать напрямую сложно, дорого и опасно. Гораздо проще взломать поставщика, если у него низкий уровень защиты, а затем через установленное доверие, например, интеграцию систем или другие каналы коммуникаций, проникнуть в целевую организацию.

Самая частая цель – кража персональных данных и конфиденциальной информации. Альтернативные сценарии включают развертывание шифровальщиков или саботаж критических систем. Дополнительную привлекательность придает масштабируемость: крупные поставщики обслуживают множество клиентов, взломав одного, злоумышленники получают доступ сразу к большому количеству жертв.

Помимо классического сценария атак через деловых партнеров, существует и другой, не менее опасный вектор – компрометация цепочки разработки ПО. Современная разработка часто строится на переиспользовании готовых компонентов с открытым кодом. Зачем изобретать велосипед и писать с нуля функцию для работы с датами, если уже существуют проверенные библиотеки? Open source экосистема предоставляет миллионы готовых «кирпичиков» – от простейших утилит до сложных фреймворков.

Суть open source в открытости кода – любой может изучить решение, улучшить его или найти ошибки. Это создает мощный эффект краудсорсинга: тысячи глаз смотрят на код, выявляя проблемы и совершенствуя продукт. Но в этой открытости кроется уязвимость. Той же экосистемой может воспользоваться кто угодно — в том числе злоумышленники. Авторы библиотек могут быть скомпрометированы, могут намеренно встроить вредоносный код, или их аккаунты могут быть проданы злоумышленникам для внедрения бэкдоров.

В сентябре 2025 года произошел инцидент, показавший эволюцию атак на open source. Злоумышленники создали самовоспроизводящегося «червя», заразившего более 187 пакетов в популярном репозитории. При установке зараженного пакета вредоносный код сканировал компьютер в поисках ключей доступа и автоматически заражал 20 самых популярных библиотек разработчика. Среди первых жертв оказалась, например, библиотека @ctrl/tinycolor с более чем 2 миллионами скачиваний в неделю – каждая установка зараженной версии могла стать новой точкой распространения вируса.

Проверенные методы защиты

Классический подход защиты строится на нескольких инструментах. За рубежом широко используются сертификаты, которые подтверждают соответствие компании определенным стандартам безопасности. В России аналогичную роль может играть добровольный стандарт, разработанный Ассоциацией больших данных.

Базовый инструмент, который применяют ИБ команды при проверке поставщиков – детализированные опросники по безопасности. В «Авито» используется многостраничный документ с вопросами из различных доменов: от сложности паролей до процессов управления инцидентами. Отправляем опросник потенциальному поставщику, анализируем ответы и принимаем решение о возможности сотрудничества.

Эффективность повышают проверенные хитрости. Во-первых, включение вопросов на проверку честности – одно требование, сформулированное в разных частях по-разному. Например, в начале спрашиваем: «есть ли у вас команда безопасности?», а через несколько страниц – «Кто в вашей компании отвечает за инциденты безопасности?». Если в первом случае отвечают «да», а во втором «у нас нет такого специалиста», это красный флаг.

Во-вторых, запрашиваем документальные подтверждения при сомнительных ответах. Практика показывает, что поставщики часто преувеличивают возможности. Другие полезные доказательства: копии сертификатов безопасности, схемы сетевой архитектуры при заявлениях о сегментации, логи резервного копирования при утверждениях о регулярных бэкапах. Если поставщик говорит об обучении сотрудников кибергигиене, можно запросить программу тренингов.

Практический совет: заявления о сложных технических решениях особенно нуждаются в подтверждении. Компания утверждает, что использует Zero Trust архитектуру? Попросите показать, как настроена многофакторная аутентификация для каждой системы. Говорят о круглосуточном мониторинге? Пусть продемонстрируют интерфейс системы мониторинга угроз (SOC) и регламенты реагирования на инциденты.

Оптимизация ресурсов

Проверка всех поставщиков – утопия, которая вам скорее всего не нужна. При заключении договора в первую очередь нужно задать три ключевых вопроса:

1.    Планируется ли передача персональных или конфиденциальных данных?

2.    Будет ли поставщик иметь доступ к внутренним системам?

3.    Получит ли он физический доступ к офису или дата-центрам?

Положительный ответ хотя бы на один вопрос запускает проверку. Таким образом, фокус смещается на действительно рисковых поставщиков, а не на компанию по обслуживанию кофемашин, потенциальные угрозы от которой стремятся к нулю.

Важный момент — регулярный мониторинг. Условия меняются, команды безопасности могут попасть под сокращение. Поэтому критичных поставщиков необходимо перепроверять регулярно, независимо от сроков продления договоров.

Автоматизация и технологические меры

Набирает популярность новый подход проверок – автоматизированная оценка на основе открытой информации. Специализированные сервисы анализируют всё: от негативных новостей об инцидентах до уязвимостей и неактуальных версий софта на периметре. Система автоматически формирует отчет, в котором наглядно подсвечиваются все риски.

Нужно не только проверять, но и быть готовым к тому, что злоумышленник все-таки попал в контур компании. Ключевая концепция здесь – Zero Trust, переход от защиты периметра к защите каждой системы в отдельности. Если злоумышленник проникнет через скомпрометированного поставщика, он должен столкнуться с независимой аутентификацией в каждой системе, включая двухфакторную аутентификацию.

Современные системы мониторинга угроз (SOC) также играют важную роль. Они способны обнаруживать специфические паттерны активности, характерные для атак через поставщиков, включая сканирование инфраструктуры в поисках дальнейших.

Искусственный интеллект открывает новые возможности как для анализа рисков поставщиков, так и для мониторинга угроз. В «Авито» уже экспериментируют с использованием ИИ для анализа опросников и автоматического выявления аномалий.

Как быть с опенсорсом

Традиционная защита строится на черных списках известных вредоносных пакетов. Этот подход работает против известных угроз, но новые пакеты появляются быстрее и могут быть использованы разработчиками до того, как уязвимость в них раскроет сообщество.

Более надежная стратегия – многоуровневая защита. В «Авито» реализован принцип «cooldown»: новые версии библиотек нельзя использовать в продакшене раньше, чем через месяц после публикации. Даем время сообществу обнаружить и подсветить все проблемы за нас. Разработчикам доступны инструменты для самостоятельной проверки библиотек перед использованием. Для большинства задач существует несколько альтернативных решений, и безопасность становится важным критерием при выборе.

Полезная практика – ведение внутреннего зеркала одобренных пакетов. Вместо прямого обращения к публичным репозиториям разработчики используют корпоративный прокси, который содержит только проверенные версии библиотек. Это защищает от компрометации репозиториев и дает контроль над используемыми версиями.

Дополнительный уровень защиты – автоматизированные проверки. Современные инструменты сканируют библиотеки на предмет известных уязвимостей, анализируют поведение при установке и сравнивают с базами данных угроз. Например, если пакет пытается обратиться к внешним серверам или сканировать файловую систему – это повод для блокировки.

Ключевые сложности на практике

Фундаментальный вызов – конфликт между скоростью бизнес-процессов и тщательностью проверок. Когда бизнес идентифицирует критически важного поставщика без альтернатив, можно документировать риски с одобрением руководства или работать с поставщиком и постепенно устранять проблемы с фиксацией обязательств в договоре. Таким образом бизнес получает возможность начать работу, а риски безопасности постепенно снижаются.

Перфекционизм в контроле поставщиков может парализовать работу компании. В отличие от других задач ИБ, это направление по определению остается неполным – у ваших поставщиков есть свои поставщики, и цепочка может быть бесконечной. Более эффективная стратегия – базовое внимание ко всем поставщикам, но углубленные проверки только для критичных элементов. Лучше качественно проверить десяток ключевых поставщиков, от которых реально зависит бизнес, чем формально «проскочить» по всем тысячам. Практика показывает: компании, которые пытаются одинаково тщательно охватить всех сразу, в итоге не контролируют никого.

Важный момент: размер поставщика не главный критерий риска. Крупные вендоры могут иметь сильную защиту, но мелкие компании – легкая мишень для злоумышленников, которые затем используют их как трамплин для атаки на крупных клиентов.

Слепое доверие к заявлениям партнеров – распространенная проблема. В опросниках контрагенты регулярно приукрашивают реальное состояние дел, ведь контракт хотят получить любой ценой. Недооценка человеческого фактора тоже приводит к проблемам. Опросники часто заполняют не специалисты по безопасности, а менеджеры по продажам без технической экспертизы. Результат – анкеты, заполненные «на глазок» или скопированные с прошлых заявок. Поэтому критически важно требовать подтверждающие документы и задавать уточняющие вопросы при сомнениях. Эффективный контроль требует регулярного пересмотра – как минимум раз в год для критичных поставщиков.

Ключевые выводы

Контроль безопасности поставщиков – марафон, а не спринт. Невозможно достичь абсолютной защищенности, но можно существенно снизить риски.

●     Сосредоточьтесь на критичных поставщиках вместо попыток проверить всех

●     Используйте комбинацию организационных и технических мер

●     Регулярно обновляйте оценки — ландшафт угроз меняется быстро

●     Не полагайтесь исключительно на заявления — проверяйте

●     Балансируйте скорость бизнеса с требованиями безопасности через риск-ориентированный подход

Цепочка контрагентов будет расти вместе с вашим бизнесом – это неизбежно. Вопрос не в том, станут ли поставщики точкой входа для атак, а в том, будете ли компания к этому готова.