0
0
O aniversário de um ano do ataque da Kaseya este mês marca um momento apropriado para analisar as ameaças da cadeia de suprimentos e o que mudou – e não mudou.
Vamos começar com o que mudou : mais listas de verificação. A supervisão do código carregado nos sites do cliente agora envolve muito mais papelada, especialmente para provedores de serviços gerenciados (MSPs). As equipes de liderança agora percebem a quantidade e a complexidade do código que entra e sai de suas organizações e esperam ter mais atenção. Infelizmente, muitos dos novos processos envolvem marcar uma caixa, em vez de implementar etapas técnicas de segurança cibernética que podem fazer a diferença na prevenção de ameaças. Mas vamos chegar a soluções para isso em um momento.
O que também mudou foi o notável nível de sofisticação dos adversários. A disposição de configurar toda uma rede replicada, adquirir domínios e persistir por meses e possivelmente anos representa um aumento significativo no investimento em campanhas conjuntas. A Kaseya nos lembrou que todos no ecossistema são um alvo. Sempre tivemos guerra cibernética. Agora temos atacantes mais financiados e com equipes mais amplas atacando nossas cadeias de suprimentos (e tudo mais).
O que não mudou? A ideia de usar a distribuição legítima de código para distribuir backdoors ilegítimos. Desde pelo menos 2002 , os invasores usavam técnicas de cavalos de Tróia para ferramentas de segurança de backdoor e servidores de e-mail. Os hackers sempre farejaram e pesquisaram os ambientes de clientes e fornecedores para procurar o mundano, a rotina, o habitual. É lá que eles encontram cantos desprotegidos para inserir códigos maliciosos, enquanto os humanos são embalados em rotinas diárias. A Kaseya e especialmente a SolarWinds mostram técnicas mais complexas e persistentes e são aplicativos corporativos amplamente usados, mas a ideia de ataque à cadeia de suprimentos existe há décadas.
As técnicas de segurança não mudaram o suficiente, e é por isso que o foco na segurança está mudando para mais resposta e remediação. Isso leva a falar sobre soluções e para onde vamos a partir daqui. Apontar para desafios não significa ser desanimador. É para ser realista, sabendo que estamos todos juntos nisso.
Sugiro três caminhos principais a serem explorados que podem ser úteis para resolver os problemas de segurança que a Kaseya tornou mais perceptíveis.
Mude seu ambiente técnico
Afaste-se da permissão de ações de terceiros sem monitoramento associado, principalmente adotando a confiança zero. Qualquer pessoa que toque em um recurso corporativo não é confiável. Período. Fornecedores, contratados e funcionários precisam do mesmo nível de autenticação multifator (MFA) e outros tratamentos de segurança.
Além disso, monitore terceiros mais do que qualquer outra pessoa. Eles têm as contas privilegiadas. No entanto, você sabe muito menos sobre quando seu parceiro de empresa de automação europeu envia código em seu ambiente do que quando Brian, em Seattle, libera seu produto para os clientes. O alerta super alto nessas contas é garantido para detectar qualquer coisa suspeita, o mais cedo possível.
No lado da criação de código, entendendo que os negócios ainda precisam se mover rapidamente, apesar do aumento da segurança, não há problema em continuar trabalhando em pequenas rajadas de código (sprints) e avançar em um ritmo razoável (lançamentos quinzenais). No entanto, saiba quando é mais inteligente fazer uma pausa para uma verificação cruzada de segurança em vez de pressionar e ignorar. Táticas específicas podem incluir time-boxing exatamente quando o código pode ser enviado, de onde e por quem. Só isso pode descobrir códigos suspeitos. O top 10 do OWASP identificará os problemas de segurança mais fáceis. Mas para ataques no estilo Kaseya, você precisará procurar quem ou o que está executando um comando em um servidor, por exemplo, e é por isso que processos e funções de desenvolvedor mais definidos podem ajudar.
E não se esqueça dos dispositivos confiáveis. Saiba quais máquinas físicas têm os maiores direitos de acesso e considere associá-las à presença física. A combinação de confiança zero, MFA e confiança no dispositivo, juntamente com táticas que mantêm os desenvolvedores seguros, podem ser benéficas.
Mude suas salvaguardas legais
Em vez de marcar a caixa de seleção que um fornecedor preencheu um questionário de risco, revise seus contratos de serviços principais (MSAs) com terceiros. Cláusulas como má conduta lamentável, negligência e responsabilidade ilimitada são a fonte de conversas frutíferas. Isso ajuda a identificar quem pode cobrir o quê e onde estão as lacunas, permitindo que as salvaguardas necessárias ocorram em algum lugar (em vez de em nenhum lugar). Alinhe esses acordos com sua política de segurança cibernética. O pior momento para revisar seu MSA é nos momentos de prazo após a descoberta de um ataque.
Mude sua mentalidade
Aceite que mesmo as organizações de segurança mais bem financiadas e avançadas do mundo são atacadas e violadas regularmente. Não é se, é quando, o que significa que é a rapidez com que você pode se recuperar. Se você não tiver funcionários disponíveis para recuperação, é tão ruim quanto não ter monitoramento de segurança.
Planeje com antecedência com a mentalidade de que você precisará de pessoas para peneirar, agir e avançar na remediação de ataques. Isso torna muito menos doloroso quando você experimenta a próxima Kaseya. As abordagens de resposta do fornecedor melhoraram, com os clientes dando à Kaseya feedback positivo sobre sua transparência, comunicação e senso de urgência ao lidar com a descoberta de ameaças. Isso ocorreu depois que a SolarWinds teve que enfrentar um ataque muito mais sofisticado e de vários estágios. A SolarWinds abriu uma nova linha de comunicações de fornecedores e outros tópicos de discussão que os fornecedores posteriores poderiam usar como precedentes.
Para um ponto de partida simples sobre tudo isso, considere escolher um fornecedor que forneça a maior quantidade de atualizações de código. Pratique as três etapas acima e aprimore seus requisitos exclusivos de ambiente e negócios. Depois de ver lacunas em sua equipe ou soluções, tome medidas, sejam especialistas de segurança integrados internamente ou externamente. Afinal, estamos todos juntos nessa.
FONTE: DARK READING