0
0
Pesquisadores que investigaram um ataque à cadeia de suprimentos divulgado pela 3CX em março descobriram que ele tinha uma origem incomum e alarmante: o ataque à cadeia de suprimentos de outra empresa. Com a raiz do ataque “Inception” mais afastada do que o esperado, o cenário 3CX abalou os profissionais de segurança da informação, dadas as implicações de quão fora de seu controle a segurança de seu software pode estar – e a percepção de que fazer tudo certo pode, em alguns casos, não ser suficiente em um mundo com tantas interdependências. Um ataque como esse em escala pode se assemelhar a um vírus que se espalha, se propagando de um ponto de origem e se espalhando de uma comunidade conectada para outra. É preocupante pensar o quão profundamente enterrados maus atores podem espreitar em seu ambiente.
Como chegou a isso
A taxa acelerada de digitalização nos últimos anos e um cenário de ameaças em expansão superaram a taxa de desenvolvimento de talentos. O “Cybersecurity Workforce Study” de 2022, divulgado pela (ISC)2 em janeiro, observou uma “lacuna mundial de 3,4 milhões de trabalhadores de segurança cibernética”. Em outra pesquisa recente, mais de quatro em cada cinco empresas relataram ter menos de cinco analistas de segurança internos, ou não o suficiente para executar seu centro de operações de segurança (SOC). Como resultado, as organizações têm procurado cada vez mais fornecedores externos para fornecer serviços essenciais.
O ataque 3CX é apenas o mais recente a lançar uma luz sobre como vulnerabilidades podem surgir na cadeia de suprimentos de software de uma empresa. Em uma pesquisa de julho de 2022 do Neustar International Security Council, quase três quartos (73%) dos profissionais de segurança da informação acreditavam que eles ou seus clientes estavam um pouco ou significativamente expostos, devido à maior integração com provedores terceirizados.
Novas regras para gerenciamento de riscos
As empresas podem implementar uma série de medidas para reduzir o risco em seu ecossistema de cadeia de suprimentos.
Para começar, questionários padronizados de coleta de informações (SIG) podem ser colocados a potenciais novos parceiros para entender os controles de segurança que eles têm em vigor. Serviços de avaliação de terceiros também podem ser contratados para fornecer perspectivas adicionais durante a due diligence.
Os fornecedores que ganham um contrato devem ser responsabilizados por cumprir padrões de segurança claramente definidos, com auditorias regulares exigidas pelo menos anualmente. Isso pode ajudar as empresas a determinar se os fornecedores estão cumprindo suas obrigações e mantendo os controles necessários para refletir as melhores práticas atuais.
É importante ressaltar que as organizações devem sempre manter uma visão completa de seu ecossistema de parceiros. Adotar medidas preventivas mais rigorosas e obrigar contratualmente os parceiros a se manterem em padrões de segurança iguais ou superiores ao que você aplica ao seu negócio são passos importantes para ajudar a garantir que as relações com parceiros não se tornem vetores de risco.
Embora estas possam ser medidas de redução de risco altamente eficazes, não eliminarão completamente o risco. As organizações também devem ter uma estratégia forte para visibilidade, detecção e mitigação em torno de sistemas comprometidos, incluindo aqueles fornecidos por parceiros da cadeia de suprimentos. Há uma coisa que todos os sistemas comprometidos têm em comum: seja para fornecer informações ou baixar conteúdo malicioso adicional, as máquinas comprometidas periodicamente enviam mensagens aos seus mestres para obter mais instruções. As soluções de segurança DNS de proteção, rede e ponto de extremidade em camadas podem ser usadas para monitorar proativamente o beacon, bloqueá-lo e fornecer notificações para operações de segurança.
A cooperação é necessária para continuar a progredir
O ônus da responsabilidade pela redução do risco da cadeia de suprimentos historicamente tem sido sobre a vítima, com o ônus sobre as empresas individuais de evitar seu próprio destino, em vez de sobre as partes responsáveis pelo lançamento de software inseguro em primeiro lugar. É hora de esse paradigma mudar, e a recém-anunciada Estratégia Nacional de Cibersegurança do governo Biden, que visa recalibrar essa dinâmica, é um passo significativo na direção certa.
A estratégia está centrada em cinco pilares, o terceiro dos quais é “moldar as forças do mercado para impulsionar a segurança e a resiliência”. É aqui que o pesado fardo da segurança é retirado dos usuários finais e compartilhado com os fornecedores que introduzem software vulnerável no mercado. Muitas vezes, observa a estratégia, “os fabricantes de software são capazes de alavancar sua posição no mercado para se isentar totalmente de responsabilidade por contrato”.
Este pilar reforça os progressos já realizados na indústria, onde as práticas do ciclo de vida do desenvolvimento estão a melhorar para incluir a segurança numa fase muito mais precoce do desenvolvimento de produtos. Sua intenção é obrigar o investimento e incentivar os fornecedores a seguirem os princípios de segurança por projeto e se envolverem em testes de pré-lançamento. Essas práticas contribuirão muito para garantir a integridade dos produtos que fluem para o mercado.
No cenário atual de ameaças hiperativas, é imperativo que os fornecedores da cadeia de suprimentos trabalhem em conjunto com seus clientes corporativos para identificar e resolver violações. Os fornecedores que investem em design sólido e se comprometem com a transparência ajudarão seus clientes a reduzir sua exposição ao risco e operar com confiança. Uma boa higiene cibernética é responsabilidade de todos, portanto, forjar uma nova dinâmica de responsabilidade compartilhada não é apenas uma boa ideia, é a coisa certa a fazer.
FONTE: DARK READING