0
0
Houve mais de 200 ataques dedicados à cadeia de suprimentos na última década. Algumas dessas campanhas afetaram inúmeras redes de fornecedores e milhões de clientes – SolarWinds, Kaseya e a recente desastre do Log4j vêm à mente.
Mas, dado como o trabalho se tornou distribuído, especialmente desde o início da pandemia de Covid-19, o que exatamente não faz parte da “cadeia de suprimentos” agora? Da mesma forma, qual local de trabalho não inclui aspectos de “trabalho remoto”, mesmo que esteja sendo feito em um cubículo no 30o andar de um arranha-céu?
A dependência de plataformas hospedadas na nuvem, soluções de autenticação mais fracas e ferramentas públicas tornou-se endêmica, e não há como voltar atrás agora. O denso ecossistema em que nos encontramos – onde tudo está sangrando em todo o resto e as empresas raramente têm mais de um grau de separação umas das outras – só se tornará mais denso.
Certamente, os fornecedores em que sua empresa mais confia devem se elevar acima dos outros quando se trata de considerar a segurança da sua organização. Mas se a cadeia de suprimentos é qualquer coisa que potencialmente lhe dê a oportunidade de pular para outro alvo, praticamente tudo – incluindo você – faz parte da cadeia de suprimentos. E para um atacante, todas as fraquezas dessa cadeia parecem a mesma coisa: oportunidade.
O custo de ser mais produtivo
Embora os atacantes sejam motivados pela oportunidade, as empresas devem lidar com o desfoque das linhas claras que costumavam ser uma base da segurança cibernética por um motivo relacionado: a produtividade.
Por exemplo, mais e mais organizações usam o GitHub para seu pipeline de código. Isso é verdade mesmo quando soluções internas como o GitLab estão disponíveis porque o GitHub é uma maneira mais conveniente para os desenvolvedores fazerem upload e gerenciarem código.
Os profissionais de TI sabem que é possível bloquear uma ferramenta pública, mas ninguém vai argumentar que é segura por padrão. Na verdade, o oposto é verdadeiro. E software como o GitHub apresenta uma variedade de vagas para aqueles que procuram fazer mal a você e à sua empresa.
Os atacantes olham para o GitHub e podem não ver um servidor que será seu vetor de ataque real ou até mesmo onde encontram uma maneira de implantar o backdoor. Mas é uma fonte de inteligência chave para credenciais de desenvolvedor codificadas, informações cruciais sobre o funcionamento interno de um pacote de software e muito mais. Essa visão poderia fornecer a um ator de ameaças avançado informações sobre como construir um backdoor eficaz e onde ele poderia ser inserido para acesso fácil e confiável sem ser detectado.
O GitHub também oferece aos atacantes listas de desenvolvedores que têm acesso a um repositório. Esta lista funciona como um conjunto perfeito de metas para abordar uma vez que uma posição na rede corporativa tenha sido alcançada. Agora, com um laptop violado contendo um login no GitHub, um repositório de código inteiro – e, por extensão, sua organização host – pode ser comprometido.
Da mesma forma, a explosão de políticas formais ou informais de “traga seu próprio dispositivo”, ao lado dos desenvolvedores que fazem login em serviços facilmente acessíveis a partir de seus próprios dispositivos, amplia drasticamente a superfície de ataque da sua empresa, pois remove a segmentação crucial que atua como uma defesa para serviços internos.
Pense como um atacante e depois como um executivo de nível C
Com serviços como GitHub, AWS e outros formando uma complexa rede de ameaças da cadeia de suprimentos, pode ser extremamente difícil transmitir esses riscos de forma concisa aos tomadores de decisão em sua organização. É por isso que a comunicação é fundamental ao discutir um tópico que está constantemente nas notícias, como ataques da cadeia de suprimentos. Quando você tem apenas alguns minutos para vender sua mensagem de segurança, uma comunicação concisa – uma história que chega ao cerne da questão – é crucial.
Os profissionais de segurança geralmente adoram detalhes sobre seu trabalho, mesmo quando seu público não gosta. O desafio é estabelecer o contexto e a necessidade de investimento em segurança, vinculando-os aos objetivos da empresa, em vez de alarmismo sobre os pesadelos que ninguém quer imaginar.
O foco nas maiores organizações geradoras de receita e nos maiores produtos geradores de receita naturalmente chamará a atenção daqueles que se sentam no nível C. Isso cria a oportunidade de explorar as ameaças que podem pousar nessas esferas e como enfrentá-las sem sacrificar muita produtividade.
O que é crucial para entender na cadeia de suprimentos são os elementos que você controla, onde estão os gargalos e onde você pode introduzir as principais mitigações para evitar que uma pequena falha se transforme em um compromisso completo do domínio. Também é crucial educar os executivos sobre o quão vasta e amorfa a cadeia de suprimentos pode ser, porque os atacantes estão bem cientes.
Se a sua empresa usa o Microsoft Teams, por exemplo, é provável que todos no seu organograma o conheçam. No entanto, eles podem não estar cientes de que a Microsoft, o anfitrião desse serviço de nuvem difundido, agora faz parte da sua cadeia de suprimentos. Agora, qualquer risco potencial para uma das maiores empresas de software do mundo que faz negócios na maioria dos países ao redor do mundo é um risco potencial para você.
Estamos todos juntos nisso, para o bem ou para o mal
Pensar na cadeia de suprimentos provavelmente não parece uma busca espiritual. Mas contemplar a segurança, especialmente a segurança da informação, da perspectiva de um atacante pode criar uma sensação de unidade.
Do ponto de vista daqueles que ganham a vida atacando nossos negócios, você pode ver que todas as empresas com as quais trabalhamos e todas as ferramentas que usamos são um elo fraco em potencial em nossa segurança. Assim, as organizações individuais não podem tomar decisões de risco sem afetar todas as organizações a montante e a jusante da sua. No entanto, o escopo dessas decisões muitas vezes pode criar um perfil de risco incrivelmente grande, portanto, entender seus principais fornecedores e aqueles que você fornece é muitas vezes o seu maior passo para a segurança efetiva da cadeia de suprimentos.
Essa percepção não é provável que recompense ninguém com paz interior. Mas reconhecer que as recompensas da produtividade vêm com o risco de interdependência é um passo fundamental para reduzir as oportunidades dos atacantes antes que eles nos sobrecarreguem.
FONTE: HELPNET SECURITY