0
0
Normalmente, os riscos de segurança cibernética dentro da cadeia de suprimentos têm iludido as equipes de segurança. Embora muitos não tenham feito vista grossa para os riscos derivados de ambientes de terceiros, muita confiança foi colocada na segurança das redes que se sentam ao longo da cadeia – sem ter plena visibilidade em cada rede de terceiros, é impossível para as organizações saberem algo sobre as ameaças que podem estar à espreita ao virar da esquina. À medida que mais empresas se apoiam na terceirização para complementar a lacuna de habilidades crescentes e ajudar a garantir sua força de trabalho distribuída, é mais crítico do que nunca que os líderes de segurança entendam o risco da cadeia de suprimentos e tenham as capacidades de mitiga-lo.
- A sofisticação dos ataques de cibersegurança derivados da cadeia de suprimentos está aumentando
Os ataques à cadeia de suprimentos têm aumentado nos últimos anos, com atores de ameaças implantando malwares de commodities cada vez mais sofisticados e ferramentas maliciosas fortemente projetadas para se infiltrar em seus alvos. Um exemplo é a Operação Skeleton Key, um impulso de todo o segmento que ocorreu ao longo de 2018-2019 para exfiltrar informações proprietárias da indústria de semicondutores taiwanesas. Os ataques a vários fornecedores de semicondutores levaram a atores de ameaças comprometendo com sucesso um número substancial de empresas influentes, suas subsidiárias e associados. Há outros esforços notáveis de atores de ameaças, especialmente a Operação ShadowHammer que levou a um dos utilitários de atualização de BIOS da ASUS sendo cooptado para instalar um backdoor em 660 endereços codificados.
Esses ataques podem ser caracterizados pelo quão organizados e industrializados os atores de ameaça por trás deles se tornaram. Os cérebros por trás da Operação Chave esqueleto, operação ShadowHammer e outros estão plenamente cientes de que a cadeia de suprimentos está repleta de pontos cegos. E eles estão dispostos e capazes de alavancar isso.
- Mitigar o risco da cadeia de suprimentos é mais complexo do que você pode pensar
O fato de que a cadeia de suprimentos, geralmente por design, tem uma cauda muito longa significa que deve ser difícil para as organizações confiar inerentemente nos fornecedores que existem dentro dela. Os atacantes não se importam com o quão forte é a relação comercial entre duas empresas – tudo o que eles procuram é acesso. É importante notar que esse acesso nem sempre é usado para realizar ataques sofisticados e direcionados. Na maioria das vezes, são os usuários finais que são mais vulneráveis a ataques da cadeia de suprimentos simplesmente porque estão na extremidade receptora de todos os links da cadeia. Esses usuários finais podem não ser considerados como “alto valor” como a indústria de semicondutores taiwaneses, por exemplo, mas ainda são vítimas de ataques bem-sucedidos.
Um ataque de 2018 contra um popular programa de editor de PDF é um bom exemplo de um ataque bem-sucedido ao usuário final. Os atacantes foram capazes de injetar o software com um minerador de moedas na fonte por uma biblioteca de terceiros, que era em si uma vítima involuntária sendo usada como um pivô no fluxo de distribuição do software PDF. Esse ataque fala da necessidade de as empresas da cadeia de suprimentos considerarem seu papel como consumidores, bem como produtores, dentro da cadeia de suprimentos.
Em última análise, o projeto e a intenção de ataques à cadeia de suprimentos são irrelevantes: se eles forem capazes de obter acesso a um ponto da cadeia, eles eventualmente trabalharão seu caminho para baixo da cadeia para obter o máximo de lucro e causar o máximo de dano que puderem. Isso destaca que a força do relacionamento que existe entre duas organizações não deve tomar decisões de segurança na nuvem. Não importa o quão grande ou bem conhecido o fornecedor seja (atores de ameaças são conhecidos por usar serviços de hospedagem genéricos como Google Cloud Platform e Azure para obscurecer suas atividades), é impossível saber qualquer coisa sobre as ameaças que podem estar à espreita ao virar da esquina sem ter total visibilidade na propriedade de terceiros.
- Três passos para reduzir o risco da cadeia de suprimentos
Embora mitigar o risco da cadeia de suprimentos seja difícil, está longe de ser impossível. Existem medidas que as organizações podem tomar para melhorar a segurança e reduzir as ameaças derivadas de ambientes de terceiros. Aqui estão três dos passos mais críticos para as equipes de segurança tomarem:
- As equipes de segurança precisam priorizar a execução de metodologias de defesa em profundidade. Eles precisam tratar todos os pontos ao longo da cadeia de suprimentos com suspeita para evitar que o malware se esgueirar para dentro. O enfrentamento desse problema começa com a compreensão do que as organizações podem realmente controlar. Embora não se possa esperar que eles estejam cientes das fortificações e lacunas de confiança ao longo da cadeia de suprimentos que levam até os dispositivos em seu controle, eles podem ser mantidos cientes do fato de que esses dispositivos podem estar funcionando, enviando e recebendo todo tipo de material não intencional. E eles devem saber que esses fornecedores de terceiros fazem parte de sua superfície de ataque.
- As equipes de segurança precisam aprovar políticas de autorização e verificação de aplicativos que possam ser promulgadas para minimizar as chances de sua instalação. Tais políticas podem ser acoplado a métodos avançados de detecção para capturar aplicativos maliciosos, mas cujo comportamento ou tráfego exibe padrões suspeitos.
- Eles também precisam colocar no trabalho para garantir que qualquer novo ambiente de fornecedor esteja configurado corretamente. Para evitar configurações inadequadas, as empresas precisam impor uma autenticação rigorosa de vários fatores e ser rigorosas com a autorização de políticas gerenciadas. Eles precisam saber onde estão todos os pontos de entrada e saída, quem tem acesso a eles, e têm a capacidade de responder proativamente a quaisquer possíveis vetores de ataque, como configurações erradas.
Os ataques da cadeia de suprimentos são muitas vezes tão bem sucedidos porque os atores de ameaças planejam que suas façanhas ocorram fora do escopo de software ou hardware perigosos. São ataques que foram projetados para passar despercebidos até que seja tarde demais. Para enfrentar essas ameaças de frente, as organizações precisam obter visibilidade total de cada ativo e vulnerabilidade que entra em seu ambiente mais amplo – e criar controles de acesso poderosos que parem os atacantes em seus rastros.
FONTE: SKYBOX