Zpedia 

/ O que é um ataque à cadeia de suprimentos?

O que é um ataque à cadeia de suprimentos?

Um ataque à cadeia de suprimentos é um tipo de ataque cibernético realizado contra os fornecedores de uma organização como forma de obter acesso não autorizado aos sistemas ou dados dessa organização. Às vezes chamados de ataques à cadeia de valor ou a software de terceiros, eles envolvem um planejamento significativo por parte dos criminosos, usam código malicioso para se infiltrar nos sistemas de uma organização e podem ter um raio de ação devastador após o comprometimento inicial, como no caso dos ataques à SolarWinds em 2020.

Exemplos de ataques à cadeia de suprimentos

Existem dois tipos principais de ataques à cadeia de suprimentos que se concentram no fornecimento ou no ciclo de vida do valor de uma organização.

Ataques de “island hopping”

Os ataques de “island hopping” ocorrem quando os cibercriminosos se infiltram em grandes empresas visando organizações menores, ou aquelas que provavelmente têm controles de segurança menos sofisticados, que fazem parte da cadeia de valor da empresa maior. Como o nome indica, os atacantes “saltam” de organização em organização para se aproximarem do seu alvo principal.

Os ataques de “island hopping” normalmente têm como alvo organizações proeminentes, que tendem a depender de um amplo ecossistema digital de fornecedores. Eles podem incluir fornecedores de serviços de gerenciamento, fornecedores de hardware e software e parceiros tecnológicos e comerciais, muitos dos quais estão conectados a vários aplicativos e bases de dados através de uma infinidade de terminaisvulneráveis.

Ataques à cadeia de suprimentos

Os ataques à “cadeia de suprimentos”, como o ataque cibernético da SolarWinds, são ligeiramente diferentes. Em vez de procurarem vulnerabilidades de fornecedores terceirizados como forma de entrar na rede de outra empresa, eles visam explicitamente explorar a confiança entre organizações legítimas utilizadas em operações comerciais normais.

Como funciona um ataque à cadeia de suprimentos

Os ataques à cadeia de suprimentos procuram obter acesso através da implantação de um backdoor em produtos, normalmente software, utilizados pelas organizações-alvo. Isso permite que os invasores forneçam correções automatizadas ou atualizações de software “trojanizadas” que abrem a porta para malware e outros ataques.

Os ataques à cadeia de suprimentos e de “island hopping” têm sido a fonte de violações dispendiosas e de alto perfil, mas as organizações “insulares” também podem incorrer em graves danos à reputação e aos negócios, mesmo que não sejam os verdadeiros alvos de tal campanha.

O impacto dos ataques à cadeia de suprimentos

No ataque à SolarWinds Orion em 2020, um adversário conseguiu obter acesso aos sistemas da SolarWinds por meio de um backdoor e criar atualizações trojanizadas para a plataforma SolarWinds Orion. A atualização trojanizada da plataforma Orion permitiu que os invasores implantassem malware furtivo nas redes de 18 mil clientes da SolarWinds, que incluíam muitas agências e organizações governamentais dos EUA, incluindo o Pentágono, o Departamento de Segurança Interna, o FBI, o Exército, a Marinha e outros.

O backdoor foi entregue por meio de uma atualização de software legítima para uma ferramenta de monitoramento e gerenciamento conhecida (confiável). Após a instalação do backdoor, o adversário tomou medidas para evitar a detecção da sandbox, incluindo esperar dias antes por qualquer retorno de chamada ao seu sistema de comando e controle (C2).

Por que eles são tão perigosos?

Os pesquisadores de segurança afirmam que os ataques à cadeia de suprimentos são algumas das ameaças mais difíceis de prevenir porque tiram proveito da confiança inerente. Além disso, são difíceis de detectar e podem ter efeitos residuais mais duradouros. Mitigar e remediar um ataque à cadeia de suprimentos não é tão simples quanto instalar um antivírus ou reiniciar o sistema operacional. Esses ataques vêm atrás dos seus processos, por isso eles precisam ser sólidos desde o início.

Depoimento

[O ataque à cadeia de suprimentos] é um dos tipos de ameaças mais difíceis de prevenir, porque utiliza as relações de confiança entre fornecedores, clientes e canais de comunicação de máquina para máquina, como mecanismos de atualização de software que são inerentemente confiáveis aos usuários.

Lucian Constantin, CSO on-line

Por que o ciclo de vida de desenvolvimento de software é importante

As vulnerabilidades da cadeia de suprimentos de software começam no desenvolvimento da própria cadeia. É importante remediar possíveis riscos de segurança cibernética que se apresentam no processo de desenvolvimento para que você possa reduzir ao mínimo os incidentes de segurança da cadeia de suprimentos.

Vamos explorar como o desenvolvimento de software pode criar vetores de ataque vulneráveis quando não é protegido adequadamente.

O que são segredos?

No que se refere ao desenvolvimento de software, os segredos são meios de autenticação, como tokens, chaves de criptografia, senhas, APIs e assim por diante, que permitem o acesso de usuário para aplicativo e de aplicativo para aplicativo a informações sigilosas. Muitas vezes, hackers e grupos de ransomware como o NotPetya vasculham o código-fonte de uma organização para descobrir vulnerabilidades para explorar posteriormente.

Os riscos do código aberto

Apesar de sua natureza onipresente, o software de código aberto (OSS) muitas vezes deixa uma organização vulnerável a ataques. O OSS, embora eficaz para o desenvolvimento de software, aumenta a superfície de ataque e deixa portas abertas para violações de dados e malware, dois dos infratores mais frequentes em ataques à cadeia de fornecimento de software.

Depoimento

Os compromentimentos à cadeia de suprimentos continuarão. Eles são extremamente difíceis de proteger, destacando a necessidade de a segurança ser considerada como parte do processo de seleção do fornecedor.

Jake Williams, Instituto SANS

O ataque à SolarWinds destaca o risco da cadeia de suprimentos?

O ataque à SolarWinds demonstra às organizações que elas devem estar sempre alertas no que diz respeito às suas cadeias de suprimentos. Ele mostra as vulnerabilidades específicas da fabricação de uma cadeia de fornecimento de software e como elas podem representar um risco para empresas de alto perfil e altamente protegidas, como Cisco, Intel e Microsoft. Também mostra aos líderes de segurança de TI que, uma vez que um malfeitor se infiltrou em uma parte da cadeia, ele se infiltrou em toda a cadeia.

Para ajudar você a manter sua organização protegida contra essas ameaças perigosas, na próxima seção, reunimos uma lista de práticas recomendadas que ajudarão a manter sua empresa protegida contra esses grupos e ameaças.

 

Práticas recomendadas para proteger sua organização

Os ataques à cadeia de suprimentos ainda estão evoluindo, e não há dúvida de que os adversários encontrarão novas formas de comprometer as operações e os dados sigilosos tanto das agências públicas como das empresas privadas. Para reduzir o risco da cadeia de suprimentos e aumentar sua segurança tanto quanto possível, a Zscaler recomenda tomar estas medidas:

  • Elimine a superfície de ataque voltada para a internet, interrompa a movimentação lateral, minimize as permissões e bloqueie o C2 com uma arquitetura zero trust.
  • Ative as funcionalidades completas de
  • inspeção de TLS/SSL e prevenção avançada de ameaças no tráfego de cargas de trabalho para a internet.
  • Execute uma sandbox de nuvem integrada para identificar e impedir ameaças desconhecidas.
  • Aplique proteções para tráfego de C2 conhecido com atualizações contínuas à medida que novos destinos surgem.
  • Exija autenticação multifator para qualquer acesso a alvos de alto valor.
  • Limite o impacto da movimentação lateral com microssegmentaçãobaseada na identidade para cargas de trabalho na nuvem.
  • Escolha fornecedores que possam atestar os mais altos níveis de confidencialidade, integridade e disponibilidade.
  • Execute avaliações de risco contínuas e priorize o gerenciamento de riscos para garantir que sua organização esteja sob a melhor proteção possível.
  • Realize treinamentos frequentes de conscientização sobre segurança cibernética com as práticas recomendadas para garantir que seus funcionários saibam o que procurar (e-mailsde phishing, etc.).
  • Implemente uma estrutura adequada de resposta a incidentes caso um ataque seja detectado em sua rede.

Para implementar essas práticas recomendadas de segurança da cadeia de suprimentos, você precisa recrutar os serviços de um nome confiável em segurança cibernética com uma plataforma que inspeciona o tráfego em linha, removendo a ameaça de malware prejudicial eataques de ransomware antes que eles se infiltrem em sua organização: Zscaler. 

Proteção contra ataques à cadeia de suprimentos com a Zscaler

Os ataques à cadeia de suprimentos são sofisticados e difíceis de detectar. Além de compreender a postura de segurança de todas as organizações parceiras, é importante ter múltiplas camadas de proteção e visibilidade de todo o tráfego da sua organização. A seguir estão alguns dos serviços integrados habilitados pela Zscaler Zero Trust Exchange™ que protegem contra ataques à cadeia de suprimentos, permitindo:

  1. Identificar e interromper atividades maliciosas de servidores comprometidos, roteando todo o tráfego do servidor através do Zscaler Internet Access.
  2. Restringir o tráfego da infraestrutura crítica a uma lista “permitida” de destinos considerados bons.
  3. Certificar-se de inspecionar todos
o tráfego em SSL/TLS, mesmo que venha de fontes confiáveis.
  • Ativar a Proteção Avançada contra Ameaças para bloquear todos os domínios de C2 conhecidos.
  • Estender a proteção de comando e controle a todas as portas e protocolos com o Advanced Cloud Firewall (móduloCloud IPS), incluindo destinos de C2 emergentes.
  • Usar a Advanced Cloud Sandbox para evitar malware desconhecido entregue como parte de uma carga útil de segundo estágio.
  • Limitar o impacto de um possível comprometimento restringindo a movimentação lateral com microssegmentação baseada em identidade (Zscaler Workload Segmentation) e uma arquitetura zero trust.
  • Proteger os aplicativos essenciais limitando a movimentação lateral usando o Zscaler Private Access.
  • Aqui estão algumas próximas etapas a serem consideradas:

    1. Assista a este vídeo para saber mais sobre a Zscaler Zero Trust Exchange.
    2. Aprenda como proteger seus aplicativos desde a construção até o tempo de execução com o Posture Control.
    3. Visite esta página para saber o que fazer no caso de um ataque cibernético similar ao da SolarWinds.
    promotional background

    Prevent unknown third-party apps from connecting and exfiltrating data with Zscaler SaaS Supply Chain Security.