Estudo: Os ataques à cadeia de suprimentos de software triplicaram

6. Fevereiro 2022
| Sem comentários
Estudo: Os ataques à cadeia de suprimentos de software triplicaram

Compartilhar postagem

A Aqua Security, líder em segurança nativa da nuvem, anuncia os resultados do mais recente estudo de revisão de segurança da cadeia de suprimentos de software sobre ataques à cadeia de suprimentos de software. Durante um período de seis meses, os especialistas conseguiram determinar que os ataques em 2021 triplicaram em relação a 2020.

Os cibercriminosos visam vulnerabilidades na cadeia de suprimentos de software para injetar malware e backdoors. Para fazer isso, eles usam principalmente falhas de segurança em software de código aberto, injetam código malicioso (“envenenamento”) e usam problemas gerais com a integridade do código do software. O estudo Software Supply Chain Security Review foi conduzido pela Argon Security, que foi adquirida pela Aqua Security em dezembro.

Revisão de segurança da cadeia de suprimentos de software

Em geral, os especialistas constataram que o nível de segurança em ambientes de desenvolvimento de software permanece baixo e que cada empresa examinada possui vulnerabilidades e configurações incorretas que podem torná-la vulnerável a ataques à cadeia de suprimentos. O estudo identificou três áreas principais onde os riscos podem surgir.

1. Uso de pacotes vulneráveis

O código-fonte aberto faz parte de quase todos os softwares comerciais. Muitos dos pacotes de código aberto usados ​​possuem vulnerabilidades de segurança existentes e a atualização para uma versão mais segura exige muito esforço das equipes de desenvolvimento e DevOps. Sem surpresa, este é um dos métodos de condução de ataques que mais cresce. Existem dois ataques comuns que exploram pacotes vulneráveis:

  • Explorações de vulnerabilidades existentes: vulnerabilidades de pacotes existentes são exploradas para obter acesso ao aplicativo e executar o ataque. (Exemplo: ataques cibernéticos Log4j recentes)
  • Envenenamento de pacote: injetar código malicioso em pacotes populares de software proprietário e de código aberto para enganar desenvolvedores ou ferramentas automatizadas de pipeline para incluí-los no processo de criação do aplicativo. (Exemplo: O caso de COA, RC e ua-parser-js)

2. Ferramentas de pipeline comprometidas

Os invasores podem explorar acesso privilegiado, configurações incorretas e vulnerabilidades na infraestrutura de pipeline de CI/CD (por exemplo, sistema de controle de origem, agente de construção, registros de pacotes e dependências de serviço) que comprometem infraestrutura crítica de TI, processos de desenvolvimento, código-fonte e oferta de aplicativos. Um pipeline de CI/CD comprometido pode expor o código-fonte de um aplicativo, que é o projeto do aplicativo, da infraestrutura de desenvolvimento e dos processos. Isso permite que invasores modifiquem o código ou injetem código malicioso durante o processo de compilação e manipulem o aplicativo (como foi o caso do ataque SolarWinds, por exemplo). Esse tipo de violação de segurança é difícil de detectar e pode causar grandes danos antes de ser descoberto e corrigido.
Os invasores também usam registros de pacotes comprometidos para fazer upload de artefatos comprometidos em vez de legítimos. Além disso, existem dezenas de dependências externas conectadas ao pipeline que podem ser utilizadas para acesso e ataque (exemplo: codecov).

3. Código/Integridade do Artefato

Uma das principais áreas de risco identificadas no estudo é o upload de código com bugs para repositórios de código-fonte, o que afeta diretamente a qualidade do artefato e a postura de segurança. Os problemas comuns encontrados na maioria dos ambientes do cliente eram dados confidenciais no código, qualidade do código e problemas de segurança em geral, o problema de infraestrutura como código, vulnerabilidades em imagens de contêiner e configurações incorretas gerais. Em muitos casos, o número de problemas descobertos era tão grande que só poderiam ser corrigidos com projetos extensos.

Proteção da cadeia de suprimentos de software

Os pontos de ataque da cadeia de suprimentos de software com exemplos de ataques conhecidos (Imagem: Aqua Security).

Para combater o problema e aumentar a segurança da cadeia de suprimentos de software, as equipes de segurança precisam aumentar a colaboração com as equipes de DevOps e implementar a automação de segurança nos processos de desenvolvimento. Aqua e Argon recomendam a adoção de novas soluções de segurança que possam proteger o processo de desenvolvimento de software dessa nova onda de ataques sofisticados.

"O número de ataques no ano passado e o impacto de longo alcance de um único ataque ressaltam os sérios desafios enfrentados pelas equipes de segurança de aplicativos", disse Eran Orzel, diretor sênior de vendas e sucesso de clientes da Argon Security. “Infelizmente, a maioria das equipes carece de recursos, orçamento e conhecimento para lidar com ataques à cadeia de suprimentos de software. Adicione a isso o fato de que as equipes de AppSec contam com a colaboração das equipes de desenvolvimento e DevOps para combater esse vetor de ataque e você verá por que esse é um grande desafio. O processo da cadeia de suprimentos de software é um componente central no ciclo de vida de desenvolvimento de aplicativos modernos. Deixar esse amplo vetor de ataque aberto ameaça a segurança do aplicativo corporativo, expondo potencialmente dados confidenciais e criando pontos de entrada adicionais no aplicativo em tempo de execução. Em muitos casos, as equipes de segurança não têm visibilidade desse processo até que seja tarde demais. Porque a maioria das empresas não possui recursos preventivos em suas ferramentas e processos de CI/CD.”

Mais em Aquasec.com

 

Sobre a Aqua Security

A Aqua Security é a maior fornecedora de segurança pura nativa da nuvem. A Aqua oferece a seus clientes a liberdade de inovar e acelerar sua transformação digital. A Aqua Platform fornece automação de prevenção, detecção e resposta em todo o ciclo de vida do aplicativo para proteger a cadeia de suprimentos, a infraestrutura de nuvem e as cargas de trabalho contínuas, independentemente de onde são implantados. Os clientes incluem as maiores empresas do mundo em serviços financeiros, software, mídia, manufatura e varejo, com implantações em uma ampla gama de provedores de nuvem e pilhas de tecnologias modernas que incluem contêineres, funções sem servidor e VMs em nuvem.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

HeadCrab 2.0 descoberto

A campanha HeadCrab contra servidores Redis, ativa desde 2021, continua a infectar alvos com sucesso com a nova versão. O miniblog dos criminosos ➡ Leia mais

mensagens de relações públicas
, , , , , ,