O elo fraco da segurança de sua empresa pode estar nos parceiros e fornecedores. Neste artigo vamos falar como mitigar esses riscos.

 

O que são Ataques de Supply Chain?

Ataques de Supply Chain, também conhecidos como value-chain, ocorrem quando alguém infiltra o sistema por meio de um parceiro ou um fornecedor de serviços que possui acesso aos seus sistemas e dados. Isso mudou drasticamente a superfície de ataque das empresas nos últimos anos, com mais parceiros e fornecedores tendo acesso a dados sensíveis.

O risco associado com ataques de supply chain nunca esteve tão alto, isso devido a novos tipos de ataque e aumento de regras e observação de órgãos reguladores. Enquanto isso, os atacantes possuem mais recursos e ferramentas a sua disposição, criando uma tempestade perfeita. 

 

Todos os fabricantes de tecnologia são vulneráveis a ataques de Supply Chain

Qualquer empresa que produza software ou hardware para outras empresas é um alvo potencial para os atacantes. Isso não se limita a fornecedores de tecnologias de rede e conectividade, por exemplo, fabricantes de cybersecurity também podem ser alvos. No famoso caso da SolarWinds por exemplo, uma das grandes empresas que sofreram foi a FireEye, um outro fabricante de cybersecurity. Outros fabricantes impactados pela SolarWinds incluem Microsoft e Malwarebytes. 

Esses ataques de Supply Chain mostram que qualquer fabricante está vulnerável e pode ser comprometido. Um relatório da Immuniweb mostrou que 97% das 400 principais fabricantes de cybersecurity foram alvos, e 91 possuíam vulnerabilidades exploráveis. Contudo, isso não é uma novidade. Em 2011, a RSA admitiu que seus tokens SecurID foram hackeados. Um dos principais clientes, a Lockheed Martin, foi atacada como resultado.

Mas os ataques de Supply Chain não ficam restritos a empresas privadas. Existem também ataques contra projetos de open-source, como veremos a seguir.

 

A ameaça ao open-source

De acordo com o relatório publicado pela Sonatype, ataques de supply chain que possuem como alvo projetos de software open-source são um grande problema para as empresas, uma vez que 90% de todas as aplicações possuem código aberto e 11% delas possuem vulnerabilidades conhecidas.

Por exemplo, no vazamento de 2017 da Equifax, o qual custou 2 bilhões de dólares para a empresa, os atacantes tomaram vantagem de uma vulnerabilidade não corrigida do Apache Struts. 21% das empresas dizem que vivenciaram algum vazamento relacionado a open-source nos últimos 12 meses.

 

Como se proteger do risco de ataques de Supply Chain

Então, o que as empresas podem fazer? Alguns órgãos reguladores, como no setor financeiro e de saúde, já oferecem testes para riscos em fornecedores e parceiros, ou possuem algum tipo de padrão que os fabricantes devem alcançar para estar em compliance.

Existem também alguns frameworks mais genéricos, como o CMM, ISO 9001, Comon Criteria, SOC 2, MITRE ATT&CK. Existe também a creditação para criptografia FiPS-140, indicado apenas para grandes enterprises.

Mas o fato de apontarmos alguns frameworks mostra que esse problema está diretamente relacionado a gestão de risco e processos maduros, que a equipe de segurança deve ter. Os frameworks de segurança auxiliam a equipe a seguir métodos e processos maduros, já que no limite, para se proteger de ataques de supply chain, é essencial que exista uma auditoria realizada de tempos em tempos no ambiente, nos softwares terceiros utilizados e nos pontos de contato e acesso com parceiros e fornecedores.

O período entre as auditorias deve ser definido de acordo com o ambiente de risco e exposição de cada empresa, mas é importante que esse processo seja realizado de forma sistemática e contínua.