Средняя
Доступ подрядчика почти всегда появляется по уважительной причине. Нужно внедрить систему, настроить интеграцию, провести диагностику, устранить инцидент, помочь с сопровождением. Проект горит, сроки сжимаются, бизнес ждёт результата. В такой момент доступ открывают не для красоты — он действительно нужен.
Проблема начинается позже.
Работы закончились. Заявку закрыли. Люди переключились на следующий проект. Подрядчик, возможно, уже давно не заходит. Но сетевое правило осталось. VPN-профиль остался. Доступ к сегменту остался. Временный мост, который строили для конкретной задачи, никто не разобрал.
Через полгода уже не очень понятно, кто владелец этого доступа. Через год никто не помнит, зачем он был открыт. Через два года его боятся трогать, потому что “вдруг что-то сломается”. И так временное техническое решение превращается в постоянный маршрут внутрь инфраструктуры.
Содержание
Подрядчик — это не только учётная запись
Когда говорят о безопасности подрядчиков, чаще всего вспоминают учётные записи, VPN, MFA, сроки действия договора, NDA и журналы подключений. Все это важно. Но этого недостаточно.
Главный вопрос звучит иначе: что подрядчик может увидеть после подключения?
Если подрядчику нужен доступ к одному серверу по одному порту, а фактически открыт целый сегмент, это уже не просто избыточность. Это потенциальная дорога для атаки. При компрометации подрядчика злоумышленник получает не абстрактный «доступ в компанию», а вполне конкретные сетевые возможности: куда можно подключиться, какие сервисы доступны, какие зоны видны, какие системы можно попробовать использовать для дальнейшего движения.
Именно поэтому доступ со стороны подрядчика нужно рассматривать не только как вопрос аутентификации, но и как вопрос маршрута.
Самое опасное слово — «временно»
В инфраструктуре слово «временно» часто означает «навсегда, если никто не поставил напоминание».
- Временный доступ открыли на период внедрения.
- Временное правило добавили для диагностики.
- Временное исключение согласовали до конца проекта.
- Временно разрешили доступ шире, чтобы не тормозить запуск.
- А потом временность растворилась. Осталось только правило.
Так рождается сетевой долг. Он не виден в финансовой отчётности, не всегда мешает эксплуатации и редко выглядит как срочная авария. Но с точки зрения безопасности он увеличивает поверхность атаки. Особенно если доступ ведёт из менее доверенной зоны в чувствительные внутренние сегменты.
Доступ должен стареть под контролем
Любой доступ со стороны подрядчика должен иметь не только технические параметры, но и управленческий смысл.
- Кто подрядчик?
- Для какой задачи открыт доступ?
- К каким системам он нужен?
- Какие порты действительно требуются?
- Кто владелец со стороны компании?
- На какой срок доступ согласован?
- Что должно произойти после завершения работ?
- Кто подтверждает продление?
- Что будет, если доступ отключить?
Если на эти вопросы невозможно ответить, доступ уже стал риском. Даже если он не используется. Даже если «вроде бы никому не мешает».
Хороший подрядческий доступ должен быть узким, понятным и конечным. Не «подрядчику в серверный сегмент», а «конкретным адресам подрядчика к конкретному сервису на конкретный срок». Скучно? Отлично. Хороший доступ и должен быть скучным.
Почему это важно для lateral movement?
Компрометация подрядчика опасна не только тем, что злоумышленник может войти через легитимный канал. Опасность в том, что после входа он может начать двигаться дальше.
Если доступ ограничен строго нужным сервисом, ущерб можно локализовать. Если же подрядчику доступна широкая зона, атакующий получает пространство для разведки: проверить соседние адреса, найти открытые сервисы, попробовать административные интерфейсы, поискать уязвимые системы, использовать доверенные связи.
В этом смысле старый подрядческий доступ — это не забытая формальность. Это возможный маршрут бокового перемещения. И чем больше таких маршрутов остаётся в сети, тем сложнее остановить атаку после первичного доступа.
Что стоит делать?
Подрядческие доступы нужно регулярно пересматривать отдельно от обычных внутренних правил. У них другая природа риска: внешний контур доверия, временные работы, смена команд, зависимость от чужих процессов безопасности.
Минимальный набор правил прост:
- Доступ должен открываться под конкретную задачу.
- Доступ должен быть ограничен источниками, назначениями и сервисами.
- У доступа должен быть владелец внутри компании.
- У доступа должен быть срок действия.
- Продление должно требовать подтверждения.
- Неиспользуемые доступы должны отключаться.
- Широкие доступы должны пересматриваться после завершения проекта.
- Любое исключение должно быть объяснимым через полгода, а не только в день аварии.
Главная идея не в том, чтобы усложнить жизнь подрядчикам. Главная идея — не оставлять за каждым проектом новый постоянный вход в инфраструктуру.
Вывод
Доступ со стороны подрядчика часто начинается как временный мост: он нужен, чтобы быстро решить конкретную задачу. Но если этот мост не разобрать после завершения работ, он становится частью постоянной сети.
А постоянная сеть — это уже то, чем может воспользоваться атакующий.
Поэтому безопасность подрядческого доступа заканчивается не на VPN и MFA. Она заканчивается там, где компания понимает, куда именно ведёт этот доступ, зачем он нужен, кто за него отвечает и когда он должен быть закрыт.
Временный мост должен оставаться временным. Иначе однажды по нему может пройти не тот, кого ждали.
Деятельность осуществляется компанией ООО «Нетопия» при грантовой поддержке Фонда «Сколково»
© Netopia.pro











