Log4Shell ou Solarwinds são exemplos típicos de ataques a empresas por meio de sua cadeia de suprimentos de software. É característico que os cibercriminosos não obtenham acesso direto à empresa-alvo, mas ataquem por uma porta dos fundos. Um comentário da Trend Micro.
Se você olhar para trás em alguns ataques recentes (especialmente Solarwinds ou Log4Shell), você notará que eles estão jogando cada vez mais "por gangues". Isso significa que os invasores não atacam mais as empresas-alvo diretamente, mas por meio de sua cadeia de suprimentos (de software). Se as vítimas são atacadas por meio de atualizações comprometidas do Solarwinds ou lacunas no Log4Shell - em ambos os casos, a cadeia de suprimentos de software também é a cadeia de infecção.
Infecções da cadeia de suprimentos
Isso significa que a questão da integridade da cadeia de suprimentos está se tornando cada vez mais explosiva. Isso significa principalmente: Conheço todos os fornecedores/prestadores de serviços em minha cadeia de suprimentos? E não apenas as dependências diretas, mas também as transitórias! Toda a cadeia de suprimentos está documentada de forma que, no caso de uma lacuna nas bibliotecas utilizadas, você possa dizer diretamente se o seu próprio software foi afetado? Seja porque você mesmo usa a biblioteca diretamente ou uma das dependências transitórias.
A "integridade da cadeia de suprimentos" rapidamente entra em foco, especialmente durante incidentes de segurança. Nesses casos, são feitos esforços para limitar os danos o mais rápido possível. Dependendo do ambiente, também existem várias soluções técnicas para isso: patches (virtuais), atualizações de dependências de software, SLAs com provedores de serviços e muito mais. Infelizmente, como costuma acontecer quando a dor aguda passa, o interesse por ela diminui rapidamente quando o pior passa.
Gerencie a cadeia de suprimentos com eficiência
Deve ficar claro para todos que a integridade da cadeia de suprimentos não é algo que sempre deva ser tratado rapidamente com um "band-aid" técnico. Em vez disso, trata-se de estabelecer processos apropriados (e também procedimentos técnicos) que o ajudem a gerenciar com eficiência a integridade de sua própria cadeia de suprimentos. Isso geralmente resulta em uma superfície de ataque menor e, pelo menos, em um banco de dados melhor que reduz a investigação manual no caso de um incidente de segurança.
Infelizmente, estabelecer processos para manter a integridade da cadeia de suprimentos de software costuma ser tedioso. Até porque não se trata apenas de aspetos técnicos de proteção, mas também de uma componente humana e administrativa. Além disso, em comparação com a segurança técnica de TI, o conhecimento e a equipe especializada são escassos.
Dicas do Departamento de Comércio dos EUA
A nova versão do Publicação especial do NIST SP800-161r1 (“Práticas de gerenciamento de riscos da cadeia de fornecimento de segurança cibernética para sistemas e organizações”). Este contém uma introdução abrangente aos antecedentes, colaboradores e implementação de cadeias de suprimentos de software seguras. Os procedimentos e cenários de exemplo documentados nele fornecem uma visão excelente sobre a implementação, mas também sobre as vantagens de cadeias de suprimentos de software seguras.
Isso torna a publicação do NIST um recurso muito valioso para quem procura melhorar a integridade de sua cadeia de suprimentos de software. E isso deveria ser importante para todos! A experiência mostra que os invasores se concentram em modelos de ataque que funcionam. E essa evidência está definitivamente lá para ataques à cadeia de suprimentos. Portanto, deve-se agora lidar com a proteção e documentação da cadeia de suprimentos - porque da próxima vez será tarde demais para isso. Em outras palavras, a pessoa está tão ocupada com a defesa que os processos não desempenham nenhum papel. E assim o dilema recomeça.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.