0
0
Temos ouvido muito sobre ataques à cadeia de suprimentos de softwarenos últimos dois anos, e com razão. O ecossistema de segurança cibernética e a indústria em geral foram inundados com avisos sobre esse vetor de ataque, com ataques de alto perfil levando a um grande aumento nas soluções de fornecedores, à medida que os regulamentos do governo continuam tentando alcançá-los. No entanto, apesar da popularidade dos incidentes relacionados ao AppSec, a pesquisa da Enso Security mostrou que a maioria das organizações não possui um plano de resposta a incidentes específico para esses ataques. Outros que possuem um manual de IR geralmente se preparam para responder a ataques relacionados à infraestrutura, como ransomware, em vez de ataques baseados em canais de aplicativos. Dada a prevalência desses ataques,
Antes de nos aprofundarmos, é importante lembrar que a resposta a incidentes é uma profissão e envolve uma boa quantidade de recursos e estratégias. Projetar um plano de resposta a incidentes adequado para ameaças de AppSec não acontece da noite para o dia, e cada plano de resposta é adequado exclusivamente para uma organização específica. Com isso dito, esperamos que nossas dicas rápidas possam ajudar as organizações a obter uma boa vantagem inicial.
Uma lista de verificação rápida de resposta a incidentes de AppSec
Abaixo está uma lista de verificação básica de resposta a incidentes AppSec para um incidente de pacote malicioso, como o ataque ESLint , que, para mim, foi a primeira vez que tive que responder em tempo real a uma dependência maliciosa potencialmente em execução na integração contínua (CI) pipeline.
Aqui está um exemplo de uma cartilha básica de resposta a incidentes para uma dependência pública popular que se tornou maliciosa:
1. Verifique os logs de CI para o uso específico dos pacotes maliciosos.
2. Identifique os ativos aos quais o código malicioso obtém acesso.
3. Identifique todas as possíveis credenciais comprometidas e alterne todas as credenciais nos ambientes relevantes.
4. Identifique todos os desenvolvedores associados que cometeram o pacote malicioso, alterne as credenciais relevantes e faça com que a segurança ou TI inicie uma investigação de suas estações de trabalho.
5. Notifique o P&D de que há uma suspeita de pacote malicioso e que as chaves relevantes podem ser trocadas em breve.
6. Audite todo o acesso aos ativos da organização. Identifique quaisquer anomalias que indiquem o uso de credenciais violadas. Continue esta etapa além da resposta inicial ao incidente.
Enquanto essas etapas estão sendo tomadas, a equipe de gerenciamento executivo da empresa deve considerar e elaborar uma resposta interna e pública a um possível incidente e envolver os departamentos necessários, como sucesso do cliente, assuntos externos, jurídico etc.
Por que precisamos de um manual de resposta a incidentes de AppSec dedicado?
P&D como superfície de ataque: como a taxa de produção está mais rápida do que nunca, os desenvolvedores são os maiores alvos móveis para ataques. A segurança deve estar à frente desse vetor de ataque, implementando os controles de segurança e coletando continuamente os dados relevantes de P&D — não apenas quando há uma emergência. A natureza dos ataques à cadeia de suprimentos exige que a segurança tenha uma compreensão muito mais profunda do negócio, e eles devem mostrar liderança que são capazes de gerenciar e avaliar problemas de segurança com base em seus próprios dados, sem sobrecarregar a P&D durante um incidente.
Evento de baixas em massa: ao contrário dos ataques de ransomware tradicionais que visam uma organização de cada vez, os ataques à cadeia de suprimentos geralmente são eventos de baixas em massa, afetando potencialmente milhares de organizações em um “golpe”. Um plano padrão de resposta a incidentes não será adequado para grandes eventos de segurança nos quais consultas externas são necessárias. Os especialistas ficarão sobrecarregados e tentando ajudar dezenas de clientes em tal ataque, e a organização não pode correr o risco de uma resposta atrasada.
AppSec é uma disciplina imatura: a importância do AppSec só recentemente foi reconhecida, evidente pelos aumentos atuais e esperados nos gastos, crescimento do mercado e atividade regulatória. Os ataques à cadeia de suprimentos de software também são um fenômeno relativamente novo com o qual as equipes de segurança devem lidar, pois não priorizavam esse tipo de ameaça apenas cinco anos atrás. Hoje, as equipes de segurança enfrentam esses desafios diariamente. À medida que a superfície de ataque de aplicativos continua a se expandir e se torna globalmente interligada, as soluções e o know-how disponíveis ainda estão se atualizando.
A sofisticação do invasor nem (sempre) é necessária: os invasores têm a sorte de aproveitar o fato de que ainda existe uma falta preocupante de ferramentas adequadas para defender o setor dos riscos da cadeia de suprimentos, e as ferramentas de segurança existentes ainda são bastante novas. Os ataques à cadeia de suprimentos são extremamente lucrativos e um pequeno crime traz aos invasores uma quantidade desproporcional de tesouro. Se um invasor for bem-sucedido, poderá obter acesso a dados importantes não de uma organização, mas de milhares. Do lado da defesa, as organizações têm pouca visibilidade das compilações de CI e ainda menos visibilidade das estações de desenvolvimento, tornando extremamente difícil proteger essa superfície de ataque.
Apesar dessa correspondência aparentemente desequilibrada entre agentes mal-intencionados e equipes de AppSec, não devemos nos sentir derrotados. À medida que essas ameaças se tornam mais prevalentes, as equipes de segurança estão melhorando na resposta a incidentes e os fornecedores estão criando ferramentas inovadoras para atender melhor os profissionais de segurança. Com um pequeno rearranjo de prioridades e atualização do manual de resposta a incidentes para melhor atender as ameaças de natureza AppSec, as organizações podem estar prontas para enfrentar o futuro dos ataques de software.
FONTE: DARK READING