Mesmo a mais segura organização não está imune aos chamados ataques de cadeia de suprimento (supply chain attacks), em que fornecedores são usados como pontes para invasão de sistemas. Prevenir, combater e remediar esse tipo de ataque demanda estratégias amplas e bem consolidadas.
Continue a leitura e entenda como lidar com incidentes como esses.
A vulnerabilidade que vem de fora
Imagine um banco, com seu sistema cheio de barreiras e recursos de segurança.
Ao invés de tentar orquestrar um ataque direto (facilmente detectado e repelido), o invasor pode usar uma abordagem indireta, buscando por exemplo vulnerabilidades na biblioteca usada pelo software do banco. O ataque é mais efetivo e difícil de detectar.
E mesmo que a equipe de segurança do banco seja capaz de interromper o ataque e recuperar o controle do sistema, qualquer outra organização que use a mesma biblioteca pode ser afetada. Os hackers terão mais alvos disponíveis.
Foi o que aconteceu no final de 2020, no caso do software Orion, da SolarWinds: aproveitando uma brecha de segurança do programa, hackers conseguiram acesso a 9 agências governamentais e cerca de 100 empresas do setor privado. Isso foi feito inserindo uma backdoor (batizada de “SUNBURST”) na ferramenta de atualizações do Orion, que foi baixada por mais de 18 mil usuários.
Os hackers permaneceram abaixo do radar por tempo suficiente para roubar um volume gigantesco de dados privados.
Quais os tipos de ataques de supply chain?
Existem várias formas de classificar ataques a cadeias de suprimento. O mais comum os divide em três categorias, de acordo com o tipo de alvo:
- Software: O foco está no código-fonte do fornecedor de software – o criminoso injeta códigos maliciosos na aplicação. Outra abordagem possível é a de comprometer um servidor de atualizações, permitindo que o hacker substitua a biblioteca original por outra;
- Hardware: Envolve dispositivos físicos, como câmeras, roteadores e teclados. A maneira mais comum de executar esse tipo de ataque é inserir backdoors no próprio hardware;
- Firmware: Aqui, o invasor injeta malware no código de boot. Dos três, é possivelmente o mais nocivo e difícil de detectar e o que se espalha com mais facilidade dentro do sistema.
Estratégias de proteção:
Para organizações
Embora não seja possível criar uma proteção absoluta (já que, pra isso, seria necessário que todos os seus fornecedores também estivessem totalmente protegidos), as organizações podem adotar uma série de medidas contra ataques de supply chain, como:
- Manter uma vigilância constante sobre todos os pontos de saída (endpoints). Cada servidor e computador dentro da rede deve possuir registros de atividades, para ajudar a identificar ações suspeitas (como tentativas de quebra de senha);
- Configurar corretamente um firewall, para que não apenas bloqueie tentativas de invasão, mas também registre dados do ataque (como horário e endereço de origem);
- Estabelecer um procedimento de backup para proteger os dados em caso de destruição ou criptografia;
- Aplicar uma política de segurança para permitir apenas a execução de aplicativos autorizados;
- Realizar regularmente testes de penetração e análises de segurança;
- Utilizar a segmentação de rede para proteger dados sensíveis e evitar que os invasores expandam seu acesso;
- Controlar e monitorar as ações de usuários privilegiados usando Gerenciamento de Acesso Privilegiado (PAM).
Para fornecedores
Os fornecedores de software também têm um leque de opções para aprimorar a segurança de seus produtos e diminuir os riscos de ataques:
- Implementar Autenticação Multifatorial (MFA), criando uma camada adicional de proteção;
- Aplicar o Princípio do Menor Privilégio, garantindo que os usuários tenham acesso apenas às permissões e recursos necessários para desempenhar suas funções, evitando a concessão de privilégios excessivos;
- Estabelecer um processo de Ciclo de Desenvolvimento Seguro (SDL) com a integração de avaliações de segurança em todas as fases do ciclo de desenvolvimento de software, identificando e mitigando vulnerabilidades desde o início do processo;
- Otimizar o processo de gerenciamento de atualizações de software, garantindo que as atualizações sejam frequentes e seguras;
- Incorporar Controles de Integridade de Código, como assinaturas digitais e hashes, para confirmar que o código-fonte e as bibliotecas utilizadas não foram adultera dos por terceiros;
- Utilizar Assinaturas Digitais para arquivos executáveis e bibliotecas, para que seja possível verificar se um arquivo não foi modificado e se foi criado por uma fonte confiável.
Feita a prevenção, resta só mais uma pergunta.
Como responder a um ataque?
Ter um plano de resposta a incidentes de cibersegurança é crucial para reagir com rapidez e mitigar os danos. Um plano efetivo deve ter pelo menos estas 5 etapas:
Isolamento Imediato
Ao detectar um ataque à cadeia de suprimentos, a primeira medida crítica é isolar o sistema afetado. Isso impede a propagação do ataque para outros componentes da infraestrutura e minimiza o impacto. Desconectar o sistema comprometido da rede é fundamental.
Análise de Comprometimento
Após isolar o sistema afetado, é preciso realizar uma análise detalhada do comprometimento. Identifique a origem, o vetor de ataque e o escopo do incidente. Determine quais sistemas ou informações foram afetados para tomar medidas direcionadas.
Identificação e Remediação de Vulnerabilidades
Revise a cadeia de suprimentos em busca de vulnerabilidades que permitiram o ataque. Isso envolve avaliar processos de desenvolvimento de software, integrações de terceiros e fluxos de dados. Corrija as vulnerabilidades e implemente medidas para evitar futuros ataques semelhantes.
Recuperação e Restauração Segura
Uma vez que a ameaça tenha sido contida e as vulnerabilidades corrigidas, concentre-se na recuperação e na restauração segura dos sistemas afetados. Certifique-se de que os backups estejam disponíveis e que as cópias de segurança não tenham sido comprometidas. Restaure os sistemas com base em cópias confiáveis e verificadas.
Monitoramento Contínuo
Após responder ao ataque, implemente um monitoramento contínuo da cadeia de suprimentos e da infraestrutura de TI. Utilize ferramentas de detecção de intrusão, análise de comportamento e sistemas de gerenciamento de eventos de segurança (SIEM) para identificar atividades suspeitas. E mantenha uma equipe de resposta a incidentes pronta para ação imediata, caso ocorra uma nova ameaça.
A resposta a ataques de cadeia de suprimentos exige uma ação rápida e coordenada, combinada com medidas proativas para fortalecer a segurança e reduzir a superfície de ataque em sua infraestrutura de TI.
Ações de cibersegurança se tornam muito mais efetivas quando se tem o apoio de profissionais altamente qualificados. Clique aqui para agendar uma conversa com um especialista Prime Control e elevar a segurança da sua organização.