0
0
O ataque SolarWinds continua a enviar ondulações em todo o mundo da segurança cibernética. Para os não iniciados, essa forma de ataque cibernético foi como uma propagação gradual de veneno, e suas consequências provaram ser maciças – começando com preocupações de segurança nacional (dos EUA) de que a Rússia poderia ter estado envolvida e terminando com o presidente Biden emitindo uma Ordem Executiva para melhorar a segurança cibernética do país, seguida de perto por esforços semelhantes do governo do Reino Unido.
Seja ou não um empreendimento patrocinado pelo estado, este ataque provou ser uma grande chamada de atenção e destacou os ataques à cadeia de suprimentos de software. Isso se tornou particularmente significativo, dado que os atores de ameaças adaptaram rapidamente essa mesma abordagem a outras cadeias de suprimentos.
Na verdade, parece que eles podem ter encontrado o Santo Graal visando empresas com uma forte presença na web. Daí o surgimento de um dos principais vetores de ataque crescentes em 2021: o “ataque à cadeia de suprimentos da web”.
O quê?
Vamos começar do início, e isso significa olhar para o domínio do JavaScript em toda a web. JavaScript é a “linguagem” da web. Estima-se que 97% dos sites do mundo usam JavaScript—incluindo os sites de todas as empresas da Fortune 500.
Vinte anos atrás, a web consistia principalmente em sites estáticos com pouca ou nenhuma funcionalidade – mas isso mudou rapidamente. Desde que a comunidade de código aberto JavaScript começou a se afirmar em 2009, testemunhamos uma explosão de projetos de código aberto, com a comunidade lançando milhões de peças de código reutilizáveis (módulos ou pacotes) que poderiam ser facilmente compartilhadas por diferentes projetos. O desenvolvimento subsequente desse ecossistema aumentou a velocidade de desenvolvimento de todos os aplicativos – web, celular e desktop.
Em um espaço tão quente, as empresas procuraram reduzir o tempo de desenvolvimento de produtos confiando em módulos de terceiros revisados por pares, em vez de desenvolver cada pedaço de código internamente. E assim, o uso de código de terceiros tornou-se padrão no desenvolvimento web.
Enquanto isso, a web estava se tornando mais valiosa e complexa. Sites estáticos se transformaram em páginas dinâmicas, culminando nos serviços digitais completos de hoje, como serviços bancários on-line, comércio eletrônico e streaming. Essa mudança rápida também foi impulsionada por uma crescente cadeia de suprimentos de serviços digitais para marketing, experiência do usuário e ferramentas de negócios. Em vez de implementar suas próprias ferramentas de chatbot, análise ou CRM, as empresas compraram esses serviços de terceiros e os integraram diretamente em seus sites.
Não é de admirar, então, que mais de dois terços de todo o código em execução no site médio hoje venha de terceiros. E aqui é onde surgem as preocupações com a segurança. No contexto de um site, cada pedaço de código de terceiros tem exatamente as mesmas permissões que qualquer código restante que foi desenvolvido internamente. Então, se uma ferramenta de chatbot de repente decidir começar a capturar e vazar as informações do cartão de crédito dos compradores para um site de comércio eletrônico, não há nada que o impeça. Esta é a essência de um ataque à cadeia de suprimentos da web – violando um provedor de serviços terceirizado, injetando código malicioso no serviço real e, como resultado, espalhando-o para todos os sites que o usam.
Não só as empresas não têm controle sobre isso, mas também não têm visibilidade real sobre esses ataques. É por isso que ataques como Magecart geralmente permanecem ativos por meses a fio.
Melhor defesa?
O centro Nacional de Segurança Cibernética do Reino Unido oferece alguns conselhos úteis quando se trata de avaliar a segurança da cadeia de suprimentos e avaliar a prática de gerenciamento da cadeia de suprimentos. De fato, eles fornecem informações sobre uma série de 12 princípios, projetados para ajudar as organizações a estabelecer controle e supervisão eficazes de suas cadeias de suprimentos. É um ponto de partida útil, mas lidar com ataques na cadeia de suprimentos da web requer uma visão aprofundada do uso de código de terceiros.
O código de terceiros veio para ficar. Está incorporado no tecido principal do desenvolvimento web e continua sendo um dos ativos mais valiosos para o desenvolvimento competitivo de produtos. No entanto, é possível aliviar os riscos inerentes ao código-fonte externo se as empresas aprenderem a integrá-lo com segurança. Isso exigiria que as equipes de segurança e desenvolvimento reduzissem as dependências de código sempre que possível e implementassem tecnologia para fornecer visibilidade e controle sobre o comportamento de todo o código em execução no lado do cliente de seus sites (ou seja, tudo o que acontece no navegador ou dispositivo do usuário final).
Isso é fundamental para que as empresas recuperem o controle sobre sua cadeia de suprimentos da web. E para maximizar os níveis de segurança, as empresas precisam fazê-lo continuamente em tempo de execução, monitorando todas as sessões do usuário em busca de sinais de comportamento malicioso.
Isso sustenta o pensamento por trás do DevSecOps – uma verdadeira mudança de paradigma na indústria de software que busca integrar robustamente a segurança ao desenvolvimento e implantação modernos de aplicativos. Como parte de um impulso global em direção a cadeias de suprimentos mais seguras, o DevSecOps pode arraigar controles de segurança durante todo o ciclo de vida de desenvolvimento de software. Essas práticas certamente podem ajudar as empresas a recuperar a visibilidade e o controle sobre as cadeias de suprimentos de seus sites que já abordamos.
O ataque à cadeia de suprimentos SolarWinds certamente franziu muitas penas importantes. Por outro lado, trouxe conscientização global e os primeiros sinais de ação contra o que pode se tornar uma das principais ameaças cibernéticas da década. Hoje, estamos em um momento-chave no momento em que a prevenção desses ataques está ao alcance, enquanto o custo de não fazê-lo é muito alto para ser ignorado.
FONTE: HELPNET SECURITY