As vulnerabilidades MOVEit e 3CX do ano passado ofereceram um lembrete claro do risco que os ataques à cadeia de suprimentos de software representam hoje.
Os agentes de ameaças exploram vulnerabilidades para se infiltrarem na rede de um fornecedor de software e modificarem a funcionalidade original do software com código malicioso. Depois que o software infectado é repassado aos clientes, normalmente por meio de atualizações de software ou instaladores de aplicativos, a violação abre a porta para tarefas não autorizadas, como a exfiltração de informações confidenciais ou o sequestro de dados.
Estamos no meio de um rápido aumento nos ataques à cadeia de fornecimento de software. A Sonatype descobriu um aumento médio anual de 742% nos ataques à cadeia de fornecimento de software entre 2019 e 2022, de acordo com o relatório State of the Software Supply Chain da empresa. Poucos esperam que este crescimento seja revertido tão cedo.
Impacto generalizado e duradouro
A gravidade das violações da cadeia de fornecimento de software é parcialmente explicada pela forma como elas se situam na intersecção de dois elementos principais do cenário atual de ameaças cibernéticas. Os ataques são mais sofisticados e ambiciosos do que antes, e uma maior digitalização criou um mundo moderno interligado sem precedentes, acelerado pela pandemia e pelas oportunidades oferecidas pelas tecnologias emergentes.
Quer sejam a SolarWinds em 2019 ou os ataques Kaseya e Log4j de 2021, todos demonstram o alcance de tais ataques e os danos que podem infligir. De acordo com a SolarWinds, até 18 mil clientes podem ter baixado o malware. O ataque de ransomware Kaseya impactou 1.500 empresas e envolveu um resgate de US$ 50 milhões.
Com o Log4j, ocorreram quase 1,3 milhão de tentativas de explorar a vulnerabilidade em mais de 44% das redes corporativas em todo o mundo nos primeiros sete dias. As violações da cadeia de abastecimento, no entanto, também podem ter uma cauda muito longa. A CISA classificou o Log4Shell como endêmico, com instâncias vulneráveis permanecendo por muitos anos, talvez uma década ou mais.
Os ataques à cadeia de fornecimento de software são difíceis de mitigar e têm um custo elevado. O Relatório de Custo de uma Violação de Dados de 2023 da IBM descobriu que o custo médio de um comprometimento da cadeia de suprimentos de software foi de US$ 4,63 milhões, o que é 8,3% maior do que o custo médio de uma violação de dados devido a outras causas. A identificação e a contenção dos comprometimentos da cadeia de suprimentos exigiram 294 dias, 8,9% mais dias em comparação com outros tipos de violações de segurança.
A evolução das cadeias de fornecimento de software
Como sabemos, o código é o alicerce fundamental para aplicativos de software. Mas embora uma parte substancial deste código tenha sido geralmente escrita do zero há 20 anos, o cenário digital atual é caracterizado pela adoção generalizada de software de código aberto, pelo aumento da colaboração da comunidade de software e pela evolução de tecnologias como a IA generativa.
Nesse ambiente, as equipes de desenvolvimento podem usar códigos provenientes de uma ampla variedade de fontes diferentes – desde bibliotecas de código aberto no GitHub até códigos gerados por assistentes de codificação de IA como GitHub Copilot, códigos previamente desenvolvidos para outros aplicativos de software dentro da empresa e terceiros. software de terceiros, incluindo bancos de dados e estruturas de registro.
Essas “fontes” formam o que é comumente conhecido como cadeia de fornecimento de software. Cada fonte introduz inerentemente novos riscos de segurança na cadeia de fornecimento de software. Essencialmente, uma vulnerabilidade de segurança em qualquer fonte pode expor os outros produtos de software conectados aos quais estão conectados.
Protegendo sua cadeia de suprimentos de software
Um elo fraco é tudo o que é necessário para fornecer uma porta de entrada para que os agentes de ameaças contornem ambientes que de outra forma seriam robustos e seguros. Conseqüentemente, a chave para qualquer cadeia de fornecimento de software segura é a capacidade de identificar e remediar qualquer vulnerabilidade rapidamente, antes que ela possa ser explorada pelos atores da ameaça.
As empresas devem considerar a adoção de três estratégias para criar uma cadeia de fornecimento de software segura.
Em primeiro lugar, as empresas precisam de uma lista de materiais de software, ou SBOM. Embora familiares à comunidade de código aberto há mais de uma década, os SBOMs ganharam recentemente um novo significado na sequência dos elevados riscos cibernéticos e de uma série de legislação dos EUA.
Em essência, um SBOM é um inventário de todos os componentes de software, como bibliotecas, estruturas, código gerado, que são usados em toda a cadeia de fornecimento de software. Ter um SBOM permite que uma empresa desenvolva uma compreensão abrangente de sua composição e dependências de software para que possa remediar possíveis vulnerabilidades com rapidez e precisão.
Em segundo lugar, todos os componentes de software que fazem parte do SBOM devem ser verificados em busca de vulnerabilidades de segurança cibernética divulgadas publicamente, e qualquer vulnerabilidade descoberta deve ser corrigida imediatamente. Comece a verificação de vulnerabilidades nos estágios iniciais do ciclo de vida de desenvolvimento de software para detectar problemas antes que eles se tornem mais difíceis e caros de corrigir. A verificação deve ser feita durante todo o pipeline de CI/CD, desde a construção até o teste, a implantação e o tempo de execução. Além disso, a digitalização não pode ser uma atividade única. Em vez disso, isso deve ser feito continuamente em todos os ambientes de software, pois não é incomum que novas vulnerabilidades sejam descobertas muito mais tarde.
Em terceiro lugar, as organizações devem definir explicitamente políticas de confiança zero para capturar o que as diferentes partes das cargas de trabalho das aplicações devem ter permissão para fazer ou aceder. Como mostraram o MOVEit e o Log4j, os ataques de dia zero apresentam um risco especialmente grave, explorando vulnerabilidades desconhecidas para as quais ainda não existe patch disponível. Esses ataques proporcionam aos agentes de ameaças acesso fácil a recursos restritos, como arquivos, processos e redes. Os princípios da confiança zero são cruciais para mitigar tais ataques. Essencialmente, a confiança zero aplica uma técnica de microssegmentação, utilizando políticas de segurança para impedir o acesso não autorizado a recursos restritos por código malicioso injetado por agentes de ameaças.
Com a previsão da Gartner de que 45% das organizações terão sofrido ataques nas suas cadeias de fornecimento de software até 2025, as empresas devem tomar medidas urgentes para compreender a composição do seu software, auditar rigorosamente este código e implementar a metodologia de confiança zero em todo o seu ecossistema. Aqueles que não adotam estratégias sólidas para documentar a cadeia de abastecimento e abordar vulnerabilidades conhecidas e desconhecidas correm o risco de perdas financeiras significativas e de um impacto duradouro na sua reputação.
Vishal Ghariwala é CTO e diretor sênior para Ásia-Pacífico da SUSE. Veterano da IBM e da Red Hat, Vishal tem mais de duas décadas de experiência em segurança empresarial. Ele lidera a estratégia e o crescimento da SUSE na região APAC.
–
O New Tech Forum oferece um local para líderes de tecnologia – incluindo fornecedores e outros colaboradores externos – explorarem e discutirem tecnologias empresariais emergentes com profundidade e amplitude sem precedentes. A seleção é subjetiva, baseada na escolha das tecnologias que acreditamos serem importantes e de maior interesse para os leitores do InfoWorld. A InfoWorld não aceita material de marketing para publicação e reserva-se o direito de editar todo o conteúdo contribuído. Envie todos consultas para [email protected].