O que é um ataque à cadeia de suprimentos?

Os ataques à cadeia de suprimentos são projetados para explorar relações de confiança entre uma organização e partes externas. Esses relacionamentos podem incluir parcerias, relacionamentos com fornecedores ou o uso de software de terceiros. Os atores das ameaças cibernéticas comprometerão uma organização e depois subirão na cadeia de abastecimento, aproveitando estas relações de confiança para obter acesso aos ambientes de outras organizações.

Evitando um ataque? RELATÓRIO DE CIBERSEGURANÇA

O que é um ataque à cadeia de suprimentos?

Os ataques à cadeia de suprimentos estão aumentando

Nos últimos anos, muitos dos incidentes de segurança cibernética mais prejudiciais e de alto perfil foram ataques à cadeia de abastecimento. Embora este aumento possa ter muitas causas, uma das mais significativas é a pandemia cibernética.

 

A COVID-19 transformou os negócios modernos, levando muitas organizações ao trabalho remoto e à adoção da nuvem quando talvez não estivessem totalmente preparadas para fazer a mudança. Como resultado, as equipas de segurança – que muitas vezes têm falta de pessoal devido à lacuna de competências em segurança cibernética – ficam sobrecarregadas e incapazes de acompanhar.

Exemplos de ataques à cadeia de suprimentos

Com os novos vetores de ataque criados pelo trabalho remoto e pelas equipes de segurança sobrecarregadas, os cibercriminosos tiveram muitas oportunidades de realizar ataques à cadeia de suprimentos. Alguns dos maiores dos últimos anos incluem:

 

  • SolarWinds: Em 2020, um grupo de hackers obteve acesso ao ambiente de produção da SolarWinds e incorporou um backdoor nas atualizações de seu produto de monitoramento de rede Orion. Os clientes da SolarWinds que executavam a atualização maliciosa sofreram violações de dados e outros incidentes de segurança.
  • Kaseya: A gangue de ransomware REvil explorou a Kaseya, uma empresa de software que fornece software para provedores de serviços gerenciados (MSPs) para infectar mais de 1.000 clientes com ransomware.  O grupo exigiu um resgate de US$ 70 milhões para fornecer chaves de descriptografia para todos os clientes afetados. 
  • Codecov: Codecov é uma organização de testes de software cujo script Bash uploader (usado para enviar relatórios de cobertura de código para a empresa) foi modificado por um invasor. Essa exploração da cadeia de suprimentos permitiu que os invasores redirecionassem informações confidenciais, como código-fonte, segredos e muito mais, dos clientes da CodeCov para seus próprios servidores.
  • NotPetya: NotPetya era um malware ransomware falso que criptografava computadores, mas não salvava a chave secreta para descriptografia. Chama-se transformá-lo em um “limpador”.
    • O ataque NotPetya começou como um ataque à cadeia de abastecimento quando uma empresa de contabilidade ucraniana foi violada e o malware foi incluído numa atualização maliciosa.
  • Atlassian: Em novembro de 2020, a Check Point Research (CPR) descobriu uma série de vulnerabilidades que, quando combinadas, podem ser exploradas para obter o controle de uma conta e de vários aplicativos Atlassian que estão conectados via SSO.
    • O que torna essa vulnerabilidade um ataque potencial à cadeia de suprimentos é que, uma vez que o invasor explore essas falhas e obtenha o controle de uma conta, ele poderá instalar backdoors que poderá utilizar no futuro.
    • Isto pode resultar em danos graves que só serão detectados e controlados após a ocorrência do dano.
    • A Check Point Research divulgou de forma responsável esta informação às equipas da Atlassian e foi implementada uma solução para garantir que os seus utilizadores possam continuar a partilhar informações com segurança nas diversas plataformas
  • British Airways: Em 2018, a British Airways sofreu um ataque Magecart que comprometeu mais de 380.000 transações no site da companhia aérea. O ataque foi possível graças a um ataque à cadeia de abastecimento que comprometeu um dos fornecedores da companhia aérea e se espalhou para a British Airways, Ticketmaster e outras empresas.

Como funciona um ataque à cadeia de suprimentos

Um ataque à cadeia de abastecimento tira partido das relações de confiança entre diferentes organizações. Todas as organizações têm um nível de confiança implícita em outras empresas à medida que instalam e usam o software da empresa em sua rede ou trabalham com elas como fornecedores.

 

Um ataque à cadeia de abastecimento tem como alvo o elo mais fraco de uma cadeia de confiança. Se uma organização tiver uma segurança cibernética forte, mas tiver um fornecedor confiável e inseguro, os invasores terão como alvo esse fornecedor. Com uma posição segura na rede do fornecedor, os invasores poderiam então migrar para a rede mais segura usando esse relacionamento confiável.

 

Um tipo comum de alvo de ataque à cadeia de suprimentos são os provedores de serviços gerenciados (MSPs). Os MSPs têm acesso profundo à rede de seus clientes, o que é inestimável para um invasor. Depois de explorar o MSP, o invasor pode facilmente expandir para sua rede de clientes. Ao explorar a vulnerabilidade da cadeia de abastecimento, estes atacantes têm um impacto maior e podem obter acesso a redes que seriam muito mais difíceis de atacar diretamente. Foi assim que os invasores do Kaseya conseguiram infectar tantas organizações com ransomware.

 

Outros ataques à cadeia de suprimentos usam software para entregar malware aos clientes de uma organização.  Por exemplo, os invasores da SolarWinds obtiveram acesso aos servidores de construção da empresa e injetaram um backdoor nas atualizações do produto de monitoramento de rede SolarWinds Orion.  Quando esse código de atualização foi enviado aos clientes, os invasores também obtiveram acesso à sua rede.

Os impactos dos ataques à cadeia de suprimentos

Os ataques à cadeia de suprimentos simplesmente fornecem ao invasor outro método para violar as defesas de uma organização. Podem ser utilizados para realizar qualquer tipo de ciberataque, como:

 

  • Violação de dados: ataques à cadeia de suprimentos são comumente usados para realizar violações de dados. Por exemplo, o hack da SolarWinds expôs dados confidenciais de várias organizações dos setores público e privado.
  • Infecções por malware: Os cibercriminosos geralmente exploram a vulnerabilidade da cadeia de suprimentos para entregar malware a uma organização-alvo. A SolarWinds incluiu a entrega de um backdoor malicioso, e o ataque Kaseya resultou em ransomware projetado para explorá-los.

Melhores práticas para identificar e mitigar ataques à cadeia de suprimentos

Os ataques à cadeia de abastecimento tiram partido de relações de confiança inseguras entre uma empresa e outras organizações. Algumas maneiras de mitigar os riscos desses ataques incluem:

 

  • Implementar privilégio mínimo: muitas organizações atribuem acesso e permissões excessivos a seus funcionários, parceiros e software. Essas permissões excessivas facilitam a execução de ataques à cadeia de suprimentos. Implemente privilégios mínimos e atribua a todas as pessoas e softwares apenas as permissões necessárias para realizar seu trabalho.
  • Realize a segmentação da rede: Software de terceiros e organizações parceiras não precisam de acesso irrestrito a todos os cantos da rede. Use a segmentação de rede para dividir a rede em zonas com base nas funções de negócios. Desta forma, se um ataque à cadeia de abastecimento comprometer parte da rede, o resto da rede ainda estará protegido.
  • Siga as práticas de DevSecOps: Ao integrar a segurança ao ciclo de vida de desenvolvimento, é possível detectar se softwares, como as atualizações do Orion, foram modificados de forma maliciosa.
  • Prevenção automatizada de ameaças e caça a ameaças: os analistas dos Centros de Operações de Segurança (SOC) devem proteger contra ataques em todos os ambientes da organização, incluindo endpoint, rede, nuvem e dispositivos móveis.

Proteção contra ataques à cadeia de suprimentos com Check Point

Os invasores da cadeia de suprimentos aproveitam a falta de monitoramento no ambiente de uma organização. O Check Point Harmony Endpoint ajuda uma organização a se proteger contra essas ameaças, monitorando o aplicativo em busca de comportamentos suspeitos que possam apontar para comprometimento.

 

Para saber mais sobre os tipos de ataques contra os quais o Harmony Endpoint protege, confira o Relatório de Cibersegurança 2021 da Check Point. Em seguida, faça uma verificação de segurança para saber mais sobre os problemas de segurança em seu ambiente. Você também pode aprender como fechar essas APIs de segurança com uma demogratuita.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK