0
0
“Os criminosos não desistem, eles procuram maneiras mais fáceis de entrar”, diz o ex-chefe da GCHQ Robert Hannigan à ZDNet – e essa maneira fácil de entrar é através de seus fornecedores terceirizados.
Mais de 80% das organizações sofreram uma violação de dados como resultado de vulnerabilidades de segurança em suas cadeias de suprimentos, à medida que os criminosos cibernéticos se aproveitam da baixa segurança dos fornecedores menores como forma de obter acesso às redes de grandes organizações.
Uma pesquisa da empresa de cibersegurança BlueVoyant descobriu que as organizações têm uma média de 1.013 fornecedores em seu ecossistema de fornecedores – e que 82% das organizações sofreram uma violação de dados nos últimos 12 meses devido à fraqueza da segurança cibernética na cadeia de suprimentos.
Mas, apesar do risco representado pelas vulnerabilidades de segurança na cadeia de suprimentos,um terço das organizações tem pouca ou nenhuma indicação se os hackers entraram em sua cadeia de suprimentos, o que significa que eles podem não descobrir que foram vítimas de um incidente até que seja tarde demais.
É provável que as grandes empresas sejam mais protegidas do que as empresas menores, o que significa que os hackers estão cada vez mais se voltando para seus fornecedores como um meio de se infiltrar na rede de uma maneira que muitas vezes passará despercebida.
“Muitas vezes as pessoas pensam, bem, quais são nossos fornecedores mais críticos e, inevitavelmente, acabam com seus dez principais sendo alguns dos maiores nomes do mundo, como provedores de nuvem. Mas não é daí que vem a ameaça”, disse Robert Hannigan, presidente da BlueVoyant International, à ZDNet.
“É muito mais provável que a ameaça real venha de uma empresa muito menor que você nunca ouviu falar, mas que está conectada à sua rede”, disse Hannigan, que já foi diretor da GCHQ.
Um exemplo disso foi visto em 2017, quando o ataque NotPetya infectou organizações em todo o mundo, que aparentemente foi disseminado pela primeira vez usando o mecanismo de atualização de software sequestrado de uma empresa de software contábil. O ataque rapidamente se espalhou fora de controle e derrubou redes de organizações em toda a Europa e além.
“Quem teria pensado com o NotPetya que algum software de contabilidade sendo atualizado levaria a uma interrupção maciça em toda a Europa. Não era um fornecedor de topo para nenhuma das empresas que foram atingidas, mas isso levou a enormes danos e interrupções”, disse Hannigan.
Outros ataques contra a cadeia de suprimentos são muito mais sutis, com criminosos cibernéticos infiltrando-se no fornecedor com malware ou e-mails de phishing e assumindo contas – que eles usam como porta de entrada para violar a organização maior, especialmente se já há uma relação confiável entre eles.
Esse foi o caso quando uma empresa de serviços públicos sofreu uma violação de dados quando criminosos cibernéticos o atacaram através de seu escritório de advocacia, comprometendo a conta de alguém da empresa e usando-a para comprometer a empresa de serviços públicos.
“O que o invasor fez foi comprometer a caixa de entrada de alguém nesta empresa em particular e porque o invasor estava usando a identidade de uma pessoa real e sua caixa de entrada real, a proteção normal contra e-mails de phishing não funcionou porque é apenas um e-mail de uma pessoa de confiança regular – mas infelizmente não era a pessoa normal, era um atacante”, explicou Hannigan.
Uma das principais razões pelas quais as vulnerabilidades da cadeia de suprimentos podem passar despercebidas é porque muitas vezes não está claro quem está encarregado de gerenciar o risco quando se trata de relacionamentos com fornecedores terceirizados – portanto, mesmo que se saiba que um fornecedor pode ter vulnerabilidades, corrigir o problema pode nunca acontecer, pois não há pessoa ou equipe fixa com a responsabilidade por esse fornecedor.
“Eu não conheci um CISO que não está ciente de que há um enorme ecossistema para fazer sentido, mas encontrar uma maneira de fazê-lo é um desafio. Mesmo as maiores organizações têm uma equipe limitada para lidar com o risco cibernético e há um limite para o que eles podem chegar. Você não pode esperar que uma pequena equipe gerencie riscos de 10.000 fornecedores”, disse Hannigan.
Para gerenciar melhor o risco representado pelas vulnerabilidades da cadeia de suprimentos, o relatório recomenda que as organizações decidam quem possui risco cibernético de terceiros para adotar uma estratégia eficaz para gerenciá-lo, bem como melhorar a visibilidade de toda a cadeia de suprimentos.
O relatório também recomendou que as organizações que pensam que há riscos em sua cadeia de suprimentos devem alertar e ajudar terceiros com potenciais vulnerabilidades – porque é isso que os criminosos cibernéticos serão alvo na tentativa de violar sua rede.
“Os criminosos não desistem, eles procuram maneiras mais fáceis de entrar. É inevitável que, quando os perímetros das empresas se defendiam melhor, os criminosos começassem a olhar para as formas suaves de entrar – e a cadeia de suprimentos é a maneira óbvia de fazer isso”, disse Hannigan.
FONTE: ZDNET