Os ataques à cadeia de suprimentos - a cadeia de suprimentos - de software (e de hardware) de TI também ameaçam as pequenas e médias empresas. As atualizações de serviços e software representam uma vulnerabilidade cada vez mais perigosa, especialmente porque os cibercriminosos esperam que o sequestro de uma atualização espalhe os ataques para várias vítimas.
Além de atualizar suas defesas cibernéticas, as pequenas e médias empresas também devem revisar suas cadeias de suprimentos para obter software, hardware e atualizações.
Infelizmente, os ataques à cadeia de suprimentos costumam ser eficazes
Um ataque à cadeia de suprimentos de TI visa manipular o processo de produção de software de terceiros, desde o desenvolvimento até as atualizações, para que o código malicioso seja executado em vez de uma atualização. Essa cadeia de suprimentos de TI é vulnerável e os cibercriminosos a atacam cada vez mais. Porque esses ataques são eficientes para eles: se eles atacam pacotes de software e plataformas dos fornecedores de software e sistemas de informação, atingem várias vítimas de uma só vez. Faz pouco sentido para o hacker atacar uma empresa após a outra com um ataque complexo quando talvez dezenas de milhares de empresas e organizações usam um aplicativo ou serviço generalizado e, portanto, estão ao alcance das empresas com eficiência. O ataque à cadeia de suprimentos da Solarwinds em dezembro de 2020 afetou cerca de 18.000 dos 300.000 clientes da Solarwinds em todo o mundo. Além de um ataque em massa, também são possíveis ataques muito direcionados por meio da cadeia de suprimentos.
Cenas de um ataque à cadeia de suprimentos
Uma cadeia de suprimentos comprometida é difícil para os clientes afetados detectarem. Portanto, os criminosos cibernéticos têm tempo suficiente para causar danos - como exfiltração de dados, ataques a sistemas ou interrupção de processos.
Estes ataques diferem dos ataques anteriores dirigidos a clientes individuais e representam um desafio até para os especialistas. Não é à toa que a Agência da União Europeia para a Segurança Cibernética, ENISA, classifica o perigo mesmo para empresas cuja defesa de TI está bem posicionado.
Um ataque pode começar em vários estágios da cadeia de suprimentos para desenvolvimento, implantação ou atualização do software. Comprometer a TI do fornecedor não constitui um ataque à cadeia de suprimentos, o que inclui modificar as fontes do código e escrever scripts.
Dependendo de qual elo da cadeia de suprimentos o hacker começa, as habilidades exigidas dele ou as opções para se defender contra a manipulação irão variar. As seguintes fases na cadeia de suprimentos podem ser distinguidas como pontos de partida para um ataque:
- Fase Um - Programação: Esses ataques são relativamente fáceis de detectar. Eles começam com e-mails direcionados, explorações e sites maliciosos para obter acesso ao código de programação. É relativamente fácil para um hacker alterar o código neste ponto. Mas o que eles mudaram é visível nos logs de log.
- Fase Dois – Versão: Os invasores podem lançar um ataque usando um Protocolo de Área de Trabalho Remota (RDP) com pouco esforço. Senhas fracas e exploits de um aplicativo os ajudam. Eles também podem reproduzir versões modificadas em uma estrutura reduzida ou atrasada porque têm acesso direto ao código-fonte e logs e deixam poucos rastros. Mas o código alterado prova a manipulação.
- Fase Três - Implementação (Construção): É aqui que fica mais exigente para os hackers, mas infelizmente também para a defesa. Os meios são os antigos e os invasores usam ataques RDP, senhas fracas e explorações no aplicativo. Mas você precisa de uma boa compreensão dos scripts. Porque as modificações necessárias das compilações individuais exigem muito tempo e são complexas. O código modificado pode ser ocultado. A defesa também teria que verificar as sucessivas versões do script individualmente para detectar manipulações.
- Fase Quatro - Assinando os Componentes: Se o invasor intervir agora, ele não precisará manipular o código. Ele simplesmente substitui o código real por um código malicioso. Mas uma validação no conceito de cadeia de suprimentos rejeitará essa falsa atualização. Portanto, os hackers precisam atender a alguns critérios mínimos para atualizações legais em seus programas falsos.
- Fase Cinco - Entrega: Aqui também, um invasor só precisa substituir os componentes. Mas os componentes maliciosos não têm assinatura e podem ser reconhecidos por ela.
Como as pequenas e médias empresas podem se proteger?
Embora os ataques ocorram na cadeia de suprimentos do fornecedor de atualizações, os ataques também afetam pequenas e médias empresas. Para se proteger contra os danos de uma atualização supostamente legal, você deve tomar as seguintes medidas:
1. Implemente segurança cibernética abrangente que inclui detecção e resposta de endpoint (EDR), mas ao mesmo tempo vê e relata conexões de dados suspeitas graças à inteligência de ameaças. Um sintoma comum de um ataque bem-sucedido à cadeia de suprimentos é a comunicação com um servidor de comando e controle mal-intencionado. As empresas com recursos de TI limitados, em particular, também devem fazer uso de um serviço gerenciado de detecção e resposta (MDR) e, portanto, da experiência e do tempo dos analistas de segurança de TI. Somente através da combinação de EDR e MDR os responsáveis percebem a ocorrência de anomalias.
2. Igualmente importante é educar os funcionários sobre phishing para evitar o sequestro de identidade no processo da cadeia de suprimentos.
3. É essencial conhecer os processos da cadeia de suprimentos de uma empresa e verificá-los continuamente. Um gerente de TI sabe quais atualizações de software ou serviço ele está recebendo de quem e quando? Que hardware ele adquire e como você se protege contra malware por meio dele? Todo responsável pela segurança deve fazer as seguintes perguntas ao seu fornecedor de TI:
- O processo de desenvolvimento de software/hardware do fornecedor é documentado, rastreável e verificável?
- Ele está abordando vulnerabilidades conhecidas no design e arquitetura do produto, proteção de tempo de execução e revisão de código?
- Como o fornecedor mantém um cliente informado sobre vulnerabilidades emergentes?
- Quais as possibilidades que o provedor tem para corrigir vulnerabilidades de “dia zero” – ou seja, vulnerabilidades que estão presentes no software desde o início e só são descobertas posteriormente?
- Como o fornecedor gerencia e monitora os processos de produção de um software e uma atualização?
- O que o provedor faz para proteger suas atualizações contra manipulação e malware?
- Que tipo de verificação de antecedentes é realizada nos funcionários do fornecedor e com que frequência?
- Quão segura é a implantação das atualizações?
Se você receber uma atualização de software, você deve ter certeza de que não receberá malware mal-intencionado: em última análise, você mesmo terá que pagar pelas consequências de um ataque bem-sucedido à cadeia de suprimentos. A cautela e uma seleção criteriosa de fornecedores em relação à segurança de TI abrangente são os melhores auxiliares contra um tipo de ataque cujo potencial de risco está longe de esgotado.
Mais em Bitdefender.de
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de