O que é um ataque à cadeia de suprimentos?

Exemplos de ataques à cadeia de suprimentos

Existem dois tipos principais de ataques à cadeia de suprimentos que focam no ciclo de vida de suprimentos ou de valor de uma organização.

Ataques de “island hopping”

Os ataques de “island hopping” ocorrem quando os cibercriminosos se infiltram em grandes empresas, visando organizações menores, ou aquelas que provavelmente têm controles de segurança menos sofisticados, que fazem parte da cadeia de valor da empresa maior. Como o nome indica, os atacantes “saltam” de organização em organização para se aproximarem do seu alvo principal.

Ataques de “island hopping” geralmente têm como alvo organizações proeminentes, que tendem a depender de um amplo ecossistema digital de fornecedores. Isso pode incluir provedores de serviços gerenciados, fornecedores de hardware e software e parceiros de tecnologia e negócios, muitos dos quais estão conectados a vários aplicativos e bancos de dados por meio de uma infinidade de terminais vulneráveis.

Ataques à cadeia de suprimentos

Ataques à “cadeia de suprimentos”, como o ataque cibernético à SolarWinds, são um pouco diferentes. Em vez de buscar vulnerabilidades de um fornecedor terceirizado como uma maneira de entrar na rede de outra empresa, eles visam explicitamente explorar a confiança entre organizações legítimas usadas em operações comerciais normais.

Como funciona um ataque à cadeia de suprimentos

Os ataques à cadeia de suprimentos buscam obter acesso implantando um backdoor em produtos, normalmente software, usados pelas organizações visadas. Isso permite que os invasores entreguem correções automatizadas ou atualizações de software com trojans que abrem as portas para malware e outros ataques.

Os ataques de “island hopping” e à cadeia de suprimentos têm sido a fonte de violações dispendiosas e de alto perfil, mas as organizações “insulares” também podem incorrer em graves danos à reputação e aos negócios, mesmo que não sejam os verdadeiros alvos de tal campanha.

O impacto dos ataques à cadeia de suprimentos

No ataque à SolarWinds Orion em 2020, um adversário conseguiu obter acesso aos sistemas da SolarWinds por meio de um backdoor e criar atualizações trojanizadas para a plataforma SolarWinds Orion. A atualização trojanizada da plataforma Orion permitiu que os invasores implantassem malware furtivo nas redes de 18 mil clientes da SolarWinds, que incluíam muitas agências e organizações governamentais dos EUA, incluindo o Pentágono, o Departamento de Segurança Interna, o FBI, o Exército, a Marinha e outros.

O backdoor foi entregue por meio de uma atualização de software legítima para uma ferramenta de monitoramento e gerenciamento conhecida (confiável). Após a instalação do backdoor, o adversário tomou medidas para evitar a detecção da sandbox, incluindo esperar dias antes por qualquer retorno de chamada ao seu sistema de comando e controle (C2).

Por que eles são tão perigosos?

Os pesquisadores de segurança afirmam que os ataques à cadeia de suprimentos são algumas das ameaças mais difíceis de prevenir porque tiram proveito da confiança inerente. Além disso, são difíceis de detectar e podem ter efeitos residuais mais duradouros. Mitigar e remediar um ataque à cadeia de suprimentos não é tão simples quanto instalar um antivírus ou redefinir seu sistema operacional. Esses ataques acontecem depois dos seus processos, e é por isso que eles precisam ser sólidos desde o início.

Por que o ciclo de vida de desenvolvimento de software é importante

Vulnerabilidades da cadeia de suprimentos de software começam no desenvolvimento da própria cadeia. É importante remediar possíveis riscos de segurança cibernética que se apresentam no processo de desenvolvimento para que você possa manter os incidentes de segurança da cadeia de suprimentos no mínimo.

Vamos explorar como o desenvolvimento de software pode criar vetores de ataque vulneráveis quando não protegido adequadamente.

O que são segredos?

No que diz respeito ao desenvolvimento de software, segredos são meios de autenticação, como tokens, chaves de criptografia, senhas, APIs e assim por diante, que oferecem acesso de usuário para aplicativo e de aplicativo para aplicativo a informações sigilosas. Muitas vezes, hackers e grupos de ransomware como NotPetya vasculham o código-fonte de uma organização para descobrir vulnerabilidades dentro dela para explorar mais tarde.

Os riscos do código aberto

Apesar de sua natureza onipresente, o software de código aberto (OSS) geralmente deixa uma organização vulnerável a ataques. O OSS, embora eficaz para o desenvolvimento de software, aumenta a superfície de ataque e deixa a porta aberta para violações de dados e malware; dois dos infratores mais frequentes em ataques à cadeia de suprimentos de software.

O ataque à SolarWinds destaca o risco da cadeia de suprimentos?

O ataque à SolarWinds demonstra às organizações que elas devem estar sempre alertas no que diz respeito às suas cadeias de suprimentos. Ele mostra as vulnerabilidades específicas da fabricação de uma cadeia de suprimentos de software e como elas podem representar um risco para empresas de alto perfil e altamente protegidas, como Cisco, Intel e Microsoft. Isso também mostra aos líderes de segurança de TI que, quando um criminoso se infiltra em uma parte da cadeia, ele se infiltra em toda a cadeia.

Para ajudar você a manter sua organização protegida contra essas ameaças perigosas, reunimos, na próxima seção, uma lista de práticas recomendadas que, quando bem utilizadas, manterão sua empresa protegida contra esses grupos e ameaças.

Práticas recomendadas para proteger sua organização

Os ataques à cadeia de suprimentos ainda estão evoluindo, e não há dúvidas de que os adversários encontrarão novas maneiras de comprometer as operações e os dados sigilosos de agências públicas e empresas privadas. Para reduzir o risco da cadeia de suprimentos e aumentar a segurança da cadeia de suprimentos o máximo possível, a Zscaler recomenda seguir estas etapas:

• Elimine sua superfície de ataque voltada para a internet, interrompa a movimentação lateral, minimize as permissões e bloqueie o C2 com uma arquitetura zero trust.
• Ative a funcionalidade completa de inspeção de TLS/SSL e prevenção contra ameaças avançadas em tráfego de cargas de trabalho para a internet.
• Executa uma sandbox integrada na nuvem para identificar e impedir ameaças desconhecidas.
• Aplique proteções para o tráfego de C2 conhecido com atualizações contínuas à medida que surgem novos destinos.
• Exija autenticação multifator para qualquer acesso a ativos de alto valor.
• Limite os impactos da movimentação lateral com a microssegmentação baseada na identidade para cargas de trabalho na nuvem.
• Escolha fornecedores que possam atestar os mais altos níveis de confidencialidade, integridade e disponibilidade.
• Realize avaliações de risco contínuas e priorize o gerenciamento de riscos para garantir que sua organização esteja sob a melhor proteção possível.
• Realize treinamentos frequentes de conscientização sobre segurança cibernética com práticas recomendadas para garantir que seus funcionários saibam o que procurar (e-mails de phishing, etc.)
• Implemente uma estrutura adequada de resposta a incidentes caso um ataque seja detectado em sua rede.

Para implementar essas práticas recomendadas de segurança da cadeia de suprimentos, você precisa contratar os serviços de um nome confiável em segurança cibernética com uma plataforma que inspecione o tráfego em linha, removendo a ameaça de ataques de malware e ransomware prejudiciais antes que eles se infiltrem na sua organização: a Zscaler. 

Proteção contra ataques à cadeia de suprimentos com a Zscaler

Os ataques à cadeia de suprimentos são sofisticados e difíceis de detectar. Além de entender a postura de segurança de todas as empresas parceiras, é importante ter várias camadas de proteção e visibilidade de todo o tráfego da sua empresa. A seguir, apresentamos alguns dos serviços integrados oferecidos pela Zscaler Zero Trust Exchange que protegem contra ataques à cadeia de suprimentos, permitindo que você:

1. Identifique e interrompa atividades maliciosas de servidores comprometidos, roteando todo o tráfego do servidor por meio do Zscaler Internet Access.
2. Restrinja o tráfego da infraestrutura crítica a uma lista “permitida” de destinos conhecidos.
3. Certifique-se de inspecionar todo o tráfego em SSL/TLS, mesmo que venha de fontes confiáveis.
4. Ative a proteção avançada contra ameaças para bloquear todos os domínios de C2 conhecidos.
5. Amplie as proteções de comando e controle para todas as portas e protocolos com o Advanced Cloud Firewall (módulo Cloud IPS), incluindo destinos de C2 emergentes.
6. Use a Advanced Cloud Sandbox para evitar a distribuição de malwares desconhecidos como parte de uma carga de segundo estágio.
7. Limite o impacto de um possível comprometimento restringindo a movimentação lateral com a microssegmentação baseada em identidade (Zscaler Workload Segmentation) e uma arquitetura zero trust.
8. Proteja seus aplicativos essenciais, limitando a movimentação lateral com o Zscaler Private Access.