Ataques da cadeia de suprimentos mostram por que você deve ter cuidado com provedores e terceiros

Views: 627
0 0
Read Time:11 Minute, 42 Second

O elo fraco na segurança da sua empresa pode estar com parceiros e fornecedores. Veja como entender e mitigar esse risco.

Um ataque da cadeia de suprimentos, também chamado de ataque de cadeia de valor ou de terceiros, ocorre quando alguém se infiltra em seu sistema através de um parceiro ou provedor externo com acesso a seus sistemas e dados. Isso mudou drasticamente a superfície de ataque da empresa típica nos últimos anos, com mais fornecedores e provedores de serviços tocando dados confidenciais do que nunca.

Os riscos associados a um ataque à cadeia de suprimentos nunca foram tão elevados, devido a novos tipos de ataques, à crescente conscientização pública sobre as ameaças e ao aumento da supervisão dos reguladores. Enquanto isso, os atacantes têm mais recursos e ferramentas à sua disposição do que nunca, criando uma tempestade perfeita.

Exemplos de ataque da cadeia de suprimentos

Não há fim para grandes violações cibernéticas que foram causadas por fornecedores. A violação do Target de 2014 foi causada pela segurança frouxa em um fornecedor de HVAC. A Equifax culpou sua violação gigante de 2017 por uma falha no software externo que estava usando. Em seguida, culpou um link de download malicioso em seu site para outro fornecedor.

Depois, houve o Paradise Papers,mais de 13 milhões de arquivos detalhando a evasão fiscal offshore por grandes corporações, políticos e celebridades. A fonte? Como os Panama Papers,era um escritório de advocacia que era o elo mais fraco.

Escopo de ataques da cadeia de suprimentos

Não são casos isolados. De acordo com uma pesquisa realizada em junho de 2020 pela Opinion Matters for BlueVoyant,80% das organizações tiveram uma violação causada por um de seus fornecedores. O número médio de violações por terceiros para os respondentes foi de 2,7. Apesar do alto risco de violação por meio de um fornecedor, 77% dos entrevistados disseram ter visibilidade limitada sobre esses fornecedores.

Apenas 18% das empresas dizem saber se esses fornecedores estavam, por sua vez, compartilhando essas informações com outros fornecedores. Isso é um problema, porque os clientes não se importam se foi o fornecedor da empresa que perdeu os dados, não a própria empresa.

Por essas razões, as empresas estão prestando mais atenção ao risco de terceiros. Em dezembro de 2018, o Relatório de Risco Cibernético do Instituto Ponemon constatou que o uso indevido ou o compartilhamento não autorizado de dados confidenciais por terceiros foi a segunda maior preocupação de segurança para 2019 entre os profissionais de TI com 64% da contagem. 41% disseram ter tido incidentes relacionados com terceiros nos últimos 24 meses.

O problema piora quando você considera que os riscos não terminam quando a relação com o fornecedor é encerrada. Em 2014, a Domino’s Australia teve uma falha de segurança e diz que o sistema de um antigo fornecedor havia vazado nomes de clientes e endereços de e-mail. “A maioria dos contratos que reviso não incluem detalhes adequados para gerenciar o complicado processo de rescisão de fornecedores”, diz Brad Keller, diretor sênior de estratégia de terceiros da Prevalent, Inc.

Além disso, os reguladores estão cada vez mais olhando para riscos de terceiros. No ano passado, os reguladores financeiros do estado de Nova York começaram a exigir que as empresas financeiras com presença em Nova York garantissem que as proteções de segurança cibernética de seus fornecedores estivessem em pé de igualdade.

A Europa faz o mesmo, com o seu Regulamento Geral de Proteção de Dados (GDPR),que se aplica a todas as empresas que coletam informações pessoais dos europeus. As multas do GDPR são íngremes — até 4% da receita global total.

As regulamentações de risco de terceiros ainda estão em seus estágios iniciais, e muitas empresas não têm um bom controle sobre esses riscos, diz Peter Galvin, vice-presidente de estratégia e marketing da Thales e-Security. “As empresas financeiras estão acostumadas com isso e estão muito mais preparadas”, acrescentou. “Mas muitas empresas não entendem os riscos, e você vai ver um aumento nas violações, e você vai ver mais ações legais.”

Especialistas esperam que mais reguladores comecem a exigir que as empresas façam mais sobre o risco de terceiros do que hoje. “Tem sido uma tendência contínua que vimos”, diz Eric Dieterich, líder de prática de privacidade de dados da Focal Point Data Risk, LLC.

Riscos escondidos na cadeia de fornecimento de hardware e software

Quase todas as empresas usam software e hardware externos. Ninguém constrói toda a sua tecnologia do zero mais, graças a um boom na economia de código aberto. Mas há um risco considerável ligado a essa mentalidade. Cada dispositivo comprado, cada aplicativo baixado precisa ser examinado e monitorado para potenciais riscos de segurança, e todos os patches devem estar atualizados.

Em abril de 2018, pesquisadores da Flashpoint Intelligence disseram que os criminosos estavam intensificando os ataques contra a popular plataforma de comércio eletrônico Magento de código aberto,forçando senhas para raspar registros de cartões de crédito e instalar malware focado em criptoinformação.

Os pesquisadores descobriram pelo menos 1.000 painéis administrativos magento comprometidos e disseram que o interesse pela própria plataforma na deep web e na dark web continuou inabalável desde 2016. Além disso, há também um notável interesse em Powerfront CMS e OpenCart.

Por exemplo, uma vulnerabilidade da CSRF na Magento Community Edition deixou 200.000 varejistas online expostos. Se explorada, a falha poderia ter permitido um comprometimento completo do sistema, expondo bancos de dados contendo informações confidenciais do cliente. Uma vez que a versão comercial do Magento compartilha o mesmo código subjacente,havia uma preocupação real de que as operações corporativas também fossem afetadas.

Não só os dados de uma empresa estão em risco, mas se o software ou componente de hardware defeituoso estiver incorporado em um produto, pode causar mais problemas de segurança. Um chip de computador infectado com um backdoor de segurança, uma câmera sem autenticação forte ou um componente de software ruim pode causar danos generalizados. O bug heartbleed, por exemplo, afetou milhões de sites e dispositivos móveis, bem como software por muitos grandes fornecedores, incluindo Oracle, VMware e Cisco.

“Preocupamo-nos com a manipulação, nos preocupamos com a espionagem, tanto o estado-nação quanto o nível industrial, e nos preocupamos com a interrupção”, diz Edna Conway, diretora de segurança da cadeia global de valor da Cisco Systems. Por exemplo, produtos de hardware ou software podem ter sido deliberadamente adulterados em algum lugar da cadeia de suprimentos ou substituídos por falsificações.

A Cisco também está preocupada em perder informações confidenciais ou propriedade intelectual sensível (IP) devido a uma violação de terceiros, diz Conway. “Estamos comprometidos em entregar soluções que operem da maneira que se destinam a operar”, diz ela. “Se seus clientes não estão satisfeitos, se sua reputação está danificada, isso impacta o resultado final. Esse elemento de confiança é absolutamente essencial, e a reputação é o local de negócios onde a confiança se manifesta.”

Muitas empresas possuem padrões de qualidade que os fornecedores devem atender. A Cisco está usando a mesma abordagem para segurança. “O método que venho implantando nos permite estabelecer níveis de tolerância aos membros do ecossistema de terceiros na adesão aos nossos valores e objetivos, personalizados pela natureza única dos produtos e serviços que o terceiro nos fornece”, diz Conway. “Uma vez que você tenha níveis de tolerância, você pode começar a medir se estiver em, acima ou abaixo dos níveis de tolerância. Se eles estão sem tolerância, sentamos juntos e dizemos: ‘Como podemos trabalhar juntos para resolver isso?'”

Riscos de segurança do provedor de nuvem

A organização única e simplificada foi substituída por um ecossistema digital onde tudo, desde aplicativos individuais até data centers inteiros, passou para provedores de nuvem. “O que você tem que proteger está tão longe do seu ambiente”, diz Fred Kneip, CEO da CyberGRX. “E os hackers são inteligentes. Eles vão para o caminho de menor resistência.

Até o hardware agora vem habilitado para nuvem, diz Kneip. “A configuração padrão de uma ferramenta de soldagem de IoT para uma linha automotiva é enviar diagnósticos ao fabricante para que eles possam fazer manutenção preditiva”, diz ele. “Isso soa incrível, mas isso também pode ser um canal de volta para todo o seu ambiente.”

Empresas de serviços profissionais podem ser ainda menos seguras

“A segurança é realmente tão boa quanto o elo mais fraco”, diz John Titmus, diretor de engenharia de vendas da EMEA na CrowdStrike, fornecedora de segurança. “Os ataques da cadeia de suprimentos estão ficando mais difundidos e crescendo em frequência e sofisticação. Você precisa entender a natureza dos riscos e desenvolver um roteiro de segurança em torno dele.”

A Deep Root Analytics, empresa de marketing usada pelo Comitê Nacional Republicano, vazou os dados pessoais de 200 milhões de eleitores em 2017. Trata-se de uma pequena empresa, que, segundo seu perfil no LinkedIn,tem menos de 50 funcionários. O Deep Root Analytics acidentalmente colocou os dados em um servidor acessível ao público.

Empresas de serviços maiores também são vulneráveis. A violação da Verizon, que envolveu seis milhões de registros de clientes, foi causada pela Nice Systems, uma provedora de análise de atendimento ao cliente. Nice colocou seis meses de registros de chamadas de atendimento ao cliente, que incluíam contas e informações pessoais, em um servidor público de armazenamento Amazon S3.

Nice relata que tem 3.500 funcionários e presta serviços para mais de 85% dos clientes da Fortune 100. Nice é pequena em comparação com a Deloitte, uma empresa de contabilidade com mais de 250 mil funcionários. A Deloitte admitiu em 2017 que os hackers foram capazes de acessar e-mails e planos confidenciais de alguns de seus clientes blue-chip. De acordo com relatos, os invasores tiveram acesso devido a controles de acesso fracos em uma conta de administrador.

“Não nos surpreenderíamos se viséssemos mais organizações do lado da oferta sendo atingidas por invasores para alcançar seu objetivo final”, diz Kurt Baumgartner, principal pesquisador de segurança do Kaspersky Lab.

Como gerenciar riscos de terceiros: Primeiros passos

A supervisão adequada do risco de segurança cibernética de terceiros paga dividendos além dos benefícios de conformidade. Na verdade, reduz a probabilidade de uma violação, de acordo com o relatório Ponemon. “Você pode reduzir o incidente de uma violação em 20 pontos percentuais”, diz Dov Goldman, vice-presidente de inovação e alianças da Opus Global, Inc., empresa que patrocinou o estudo.

Especificamente, se uma empresa avalia as políticas de segurança e privacidade de todos os seus fornecedores, a probabilidade de uma violação cai de 66% para 46%. Isso inclui todos os fornecedores, acrescentou Goldman.

“Os grandes relacionamentos podem não ser o maior risco”, diz Goldman. Os maiores fornecedores provavelmente terão defesas elaboradas de segurança cibernética já em vigor. “Mas se você olhar para organizações menores, elas não têm o mesmo nível de controle de segurança cibernética”, diz ele.

Uma vez que uma empresa entenda quem são todos os fornecedores e quais deles têm acesso a dados confidenciais, uma variedade de ferramentas estão disponíveis para ajudar a avaliar o nível de sua segurança. Por exemplo, algumas empresas estão incluindo segurança nos contratos de nível de serviço com seus fornecedores, diz Tim Prendergast, CEO da Evident.io, uma empresa de segurança na nuvem.

“Estamos vendo um movimento para exigir um acordo do provedor mostrando seu compromisso com a segurança”, diz ele. “Eles pedem a esses provedores que apliquem controles semelhantes em seus parceiros. Estamos vendo uma cascata legal desses contratos.”

Os fornecedores podem ser solicitados a fazer autoavaliações, permitir visitas e auditorias de clientes ou comprar seguros cibernéticos. Às vezes, uma avaliação mais completa é necessária. “Vimos muitas empresas realizarem auditorias em seus provedores de serviços”, diz Ryan Spanier, diretor de pesquisa da Kudelski Security. “Uma grande instituição financeira com a qual trabalhamos requer auditorias e chega ao local e executa seus próprios testes de penetração e ver onde estão os dados e como estão protegidos.”

Clientes menores, no entanto, podem não ter esse tipo de influência. “Eles apenas exigem evidências de auditorias de terceiros, vêem os resultados e podem revisá-los”, diz ele. “Então eles determinam que algumas das coisas sejam consertadas antes de continuarem a fazer negócios com a empresa. Você também pode se limitar a empresas que você sabe que estão fazendo um bom trabalho com segurança, o que é difícil, porque não há muitas delas agora.”

Além disso, existem organizações que fornecem pontuações de segurança. Por exemplo, a BitSight Technologies e o SecurityScorecard olham para os fornecedores de fora, avaliando as empresas sobre a segurança de suas redes para ataques.

Para avaliações mais profundas, olhando para as políticas e processos internos dos fornecedores, a Deloitte e a CyberGRX se uniram para fazer as avaliações, bem como avaliações contínuas, salvando os fornecedores de responder a cada um de seus clientes individualmente. “As empresas hoje precisam abordar o risco cibernético de terceiros como um risco de negócios que precisa ser gerenciado continuamente”, diz Jim Routh, CSO da Aetna. “O CyberGRX Exchange permite que todas as empresas tomem essa abordagem.”

Alguns grupos da indústria financeira estão fazendo algo semelhante. Em novembro, American Express, Bank of America, JPMorgan e Wells Fargo se uniram para criar um serviço de avaliação de fornecedores chamado TruSight. Em junho, Barclays, Goldman Sachs, HSBC e Morgan Stanley anunciaram que estavam tomando uma participação acionária na solução de gestão de risco Know Your Third Party da IHS Markit.

As empresas devem rever como terceiros acessam seus dados confidenciais para garantir que apenas as pessoas certas possam acessar os dados apenas para fins aprovados. De acordo com o Relatório de Risco Cibernético da Ponemon, 42% dos entrevistados disseram que melhorar os controles sobre o acesso de terceiros a dados confidenciais.

Atualmente, a gestão de riscos de terceiros requer uma nova abordagem, diz Routh. “Um que permita que as empresas entendam onde estão os riscos dentro de seu ecossistema digital, adaptem seus controles de acordo com esses riscos e colaborem com seus terceiros para remediar e mitigar esses riscos.”

FONTE: CSO

POSTS RELACIONADOS