A cadeia de suprimentos de software está sob ataque

Estratégias para proteger sua organização

Os invasores estão visando a cadeia de suprimentos de software

Toda organização depende da cadeia de suprimentos de software. Aplicativos conhecidos são criados em redes de código aberto, APIs e integrações de terceiros que os mantêm funcionando sem problemas. Essa dinâmica interdependente é o motivo pelo qual integrar uma nova ferramenta significa escolher confiar em todo o seu ecossistema de desenvolvimento, em vez de apenas na ferramenta em si.

Os ataques à cadeia de suprimentos de software, que exploram esse fenômeno, são um método de ataque cada vez mais comum para violar a rede corporativa.A Gartner prevê que "até 2025, 45% das organizações em todo o mundo terão sofrido ataques em sua cadeia de suprimentos de software, um aumento de três vezes em relação a 2021".

Em vez de violar diretamente uma rede visada, os invasores geralmente exploram os pontos fracos dos aplicativos de terceiros ou do código aberto do qual seu alvo depende. Isso fornece acesso indireto à rede visada.

Como funcionam os ataques à cadeia de suprimentos de software

Dito isso, os ataques à cadeia de suprimentos de software às vezes são mais oportunistas do que direcionados. Em vez de trabalhar de trás para frente a partir de um alvo para descobrir seus fornecedores, um invasor pode comprometer algo amplamente usado, como código aberto ou um aplicativo específico, e colher os benefícios que vierem. Esses ataques são atraentes porque oferecem uma recompensa considerável em relação à quantidade de esforço necessária.

Os invasores obtêm acesso a recursos de terceiros de várias maneiras, usando credenciais de conta roubadas ou explorando vulnerabilidades zero-day ou não corrigidas. Em seguida, eles usam esse acesso privilegiado para lançar um ataque downstream. Os ataques à cadeia de suprimentos de software podem assumir diferentes formas, incluindo:

• Acesso à rede de terceiros. Se um terceiro ou fornecedor for comprometido, um invasor pode usar seus privilégios para roubar dados de organizações de clientes e parceiros, espalhar malware e muito mais.Por exemplo, no ataque da Kaseya, a gangue cibercriminosa REvil explorou uma vulnerabilidade nos servidores usados para a solução de gerenciamento e monitoramento remoto da empresa.A REvil então usou esses privilégios elevados para implantar ransomware para centenas de clientes da Kaseya.

• Atualizações de software/aplicativo. Os dispositivos podem baixar malware oculto nos pacotes de atualização.Em 2017, invasores russos adotaram esse método quando incorporaram o malware NotPetya em uma atualização para um software de contabilidade ucraniano popular.O alcance do ataque se espalhou muito além da Ucrânia, com a Casa Branca avaliando os danos globais do ataque em US$ 10 bilhões.

• Pacotes de código aberto.As empresas geralmente usam código aberto (ou acessível publicamente) para maximizar a eficiência no desenvolvimento de softwares.No entanto, quando vulnerabilidades são encontradas nesse código, as organizações que o utilizam correm riscos.Além de explorar vulnerabilidades conhecidas, os invasores também podem plantar códigos maliciosos nesses pacotes como outro meio de espalhar malware.

Observe também que, embora os ataques baseados em software sejam os mais difundidos, com 66% dos ataques focados no código do fornecedor, os ataques à cadeia de suprimentos podem assumir diferentes formas.Por exemplo, microchips, notebooks, dispositivos de Internet das coisas (IoT) e tecnologia operacional (OT) podem ser comprometidos.O firmware, ou o software embutido em um hardware, também pode ser alvo.

Os ataques à cadeia de suprimentos de software destacam a fragilidade dos ecossistemas de software

O ataque da SolarWinds é indiscutivelmente o exemplo mais conhecido de ataque à cadeia de suprimentos de software. Em dezembro de 2020, o provedor de segurança cibernética FireEye relatou que foi vítima de um ataque. O grupo cibercriminoso russo, Nobelium, tinha como alvo o fornecedor de monitoramento de TI da FireEye, SolarWinds, e inseriu um código malicioso em um de seus pacotes de atualização de software. No total, 18 mil organizações baixaram a atualização infectada.

A SolarWinds demonstra que um ataque a um fornecedor confiável e bem-intencionado pode resultar em um ataque à organização que o utiliza.

E embora muitas empresas exijam que os fornecedores atendam aos padrões de segurança, como a conformidade com o SOC 2 ou testes de penetração, nenhuma organização pode garantir que seja à prova de ataques.

Por exemplo, considere a divulgação da Apache em dezembro de 2021 de uma vulnerabilidade grave em sua biblioteca de log de código aberto Log4j. O Log4j é tão comum que Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura (CISA), disse: “todos devem presumir que estão expostos e vulneráveis”. Os invasores não perderam tempo ao explorar a vulnerabilidade e continuam a fazê-lo.

Embora ataques em larga escala ou vítimas de alto perfil muitas vezes sejam notícia, o estilo de ataque à cadeia de suprimentos de software não é usado exclusivamente contra grandes empresas. Os invasores também podem usar esse método para campanhas menores, como aquelas voltadas para ambientes de desenvolvimento, que não necessariamente chegarão às manchetes. Isso significa que esse estilo de ataque pode ser ainda mais comum do que as pesquisas sugerem.

Segurança da cadeia de suprimentos de software

Então, se nenhum fornecedor é à prova de ataques, como as empresas podem responder aos ataques da cadeia de suprimentos? Reduzir a confiança excessiva que as organizações fornecem a terceiros é um bom ponto de partida. A implementação de uma arquitetura Zero Trust pode fazer uma grande diferença nessa área.

Ao contrário dos modelos baseados em perímetro, que concedem confiança a usuários e dispositivos dentro de uma rede, o Zero Trust assume que os invasores existem dentro da rede. A arquitetura Zero Trust avalia usuários, dispositivos e cargas de trabalho com base na identidade e no contexto e toma decisões de acesso dinamicamente. Mais especificamente, a arquitetura Zero Trust defende a rede corporativa contra ataques à cadeia de suprimentos de software:

• Gerenciando o acesso de terceiros.As ferramentas de gerenciamento de acesso Zero Trust facilitam a personalização dos níveis de acesso por usuários, dispositivos ou cargas de trabalho.As organizações podem definir padrões rígidos de como os usuários de terceiros se conectam e podem impor o acesso com menor privilégio.

• Impedindo o movimento lateral.Se os invasores violarem uma rede, a arquitetura Zero Trust limita sua capacidade de se mover por ela e causar mais danos.Por exemplo, o Zero Trust promove a microssegmentação, o que significa que os invasores devem se autenticar novamente para alcançar diferentes zonas dentro de uma rede.

• Protegendo aplicativos. O Zero Trust pode efetivamente ocultar aplicativos internos da internet, protegendo-os de invasores.Dessa forma, mesmo que um aplicativo interno contenha uma vulnerabilidade, os invasores não poderão acessá-lo.

• Proteção contra malware. A filtragem de DNS pode bloquear ataques de comando e controle, que podem estar ocultos em atualizações de software. Nesses ataques, o malware em um dispositivo sinaliza para um servidor que está pronto para receber as instruções do invasor. A filtragem de DNS pode bloquear a solicitação de DNS necessária para estabelecer essa conexão.

Adotar o Zero Trust com a Cloudflare

Defenda sua organização contra ataques à cadeia de suprimentos de software; estenda as regras Zero Trust para SaaS e aplicativos auto-hospedados com o acesso à rede Zero Trust e imponha acesso com menor privilégio para usuários, funcionários e dispositivos de IoT de terceiros.O Cloudflare Gateway bloqueia o acesso a sites suspeitos, impede a exfiltração de dados e protege os usuários contra ataques de comando e controle.

O Cloudflare Zero Trust faz parte do Cloudflare One, uma arquitetura Serviço de acesso seguro de borda (SASE), que conecta com segurança usuários remotos, filiais e data centers aos aplicativos e recursos de internet de que precisam.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

Após ler este artigo, você entenderá:

• Por que os ataques à cadeia de suprimentos de software são um motivo crescente de preocupação

• O impacto que alguns dos principais ataques tiveram

• Os vários pontos de entrada que os invasores podem explorar para lançar estes ataques

• Como proteger a cadeia de suprimentos de software

Recursos relacionados

• Demonstração interativa e autoguiada: Cloudflare Zero Trust

• Infográfico: O ROI do Zero Trust

• Resumo da solução: visibilidade e controle Zero Trust para todos aplicativos SaaS

• Protegendo a conectividade do trabalhador remoto no longo prazo