Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Como os ciberatacantes capitalizam relações de confiança entre empresas para distribuir malware

Como os ciberatacantes capitalizam relações de confiança entre empresas para distribuir malware
Share it:
Check Point alerta para a importância de proteger ativamente as organizações contra ataques à cadeia de abastecimento
Nos últimos anos, a cadeia de abastecimento tornou-se um dos principais alvos dos cibercriminosos. Embora este aumento possa ser explicado por bastantes fatores, um dos mais importantes é, sem dúvida, a ciberpandemia. Está claro que a COVID-19 transformou a forma como trabalhamos, empurrando muitas empresas para o trabalho remoto e para a adoção da cloud sem a devida preparação de cibersegurança. Desta feita, segundo a Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, em 2021, as organizações sofreram, por semana, 50% mais ciberataques que no ano anterior. Em Portugal, o aumento foi de 81%.

Em 2020, um grupo de ciberatacantes acedeu ao ambiente da SolarWinds, incorporando um backdoor na atualização do seu produto de monitorização de redes, Orion. Os clientes, que executaram a atualização maliciosa, foram vítimas de roubo de informação e outros incidentes de segurança. O grupo de cibercriminosos REvil, por sua vez, aproveitou-se da Kaseya, uma empresa de software que oferece programas para fornecedores de serviços geridos (MSP), para infetar mais de 1000 clientes com ransomware. Os ciberatacantes chegaram a exigir um resgate de 70 milhões de dólares para facultar a chave de desencriptação para todos os afetados.

Outro exemplo sucedeu em novembro do mesmo ano, quando a Check Point Research identificou uma série de vulnerabilidades que, combinadas, permitiriam controlar uma conta e várias apps de Atlassian conectadas mediante SSO. Codecov é uma organização de provas de software cujo script Bash uploader (utilizado para enviar relatórios de cobertura de código da empresa) sofreu uma modificação do atacante. Esta exploração da cadeia de abastecimento permitiu os ciberatacantes redirecionar a informação sensível, como código fonte e detalhes privados, dos clientes da CodeCov para os seus próprios servidores.

Como funciona um ataque à cadeia de abastecimento

Um ataque à cadeia de abastecimento aproveita-se das relações de confiança entre organizações distintas. É evidente que em todas as empresas há um nível de confiança implícito para com outras organizações, uma vez que instalam e utilizam softwares de terceiros e trabalham com fornecedores. Este tipo de ameaça pretende visar precisamente o elo mais fraco da cadeia de confiança. Se uma organização conta com soluções de cibersegurança sólidas, mas o seu fornecedor não, os ciberatacantes vão apontar para o segundo alvo, uma vez que é a porta de entrada para o primeiro.

Aproveitar as vulnerabilidades da cadeia de abastecimento para distribuir malware

Normalmente, os ataques à cadeia de abastecimento começam em fornecedores MSP. Estes dispõem de um amplo acesso às redes dos seus clientes, o que, claro, tem um grande valor para os ciberatacantes. Depois de explorar estes fornecedores, o atacante pode facilmente expandir-se para as redes dos seus clientes. Explorando as suas vulnerabilidades, os ataques têm um impacto maior e os atacantes acedem aos recursos de forma muito mais fácil do que se a tentativa fosse feita diretamente. Assim, este tipo de ofensivas proporciona a um atacante um novo método para fragilizar a proteção da empresa, permitindo realizar qualquer outro tipo de ataque:
  • Filtração de dados: ameaça utilizada comummente para realização violações de dados. Por exemplo, o ataque à SolarWinds expôs os dados sensíveis de múltiplas organizações do setor público e privado.
  • Malware: os cibercriminosos aproveitam as vulnerabilidades da cadeia de abastecimento para distribuir malware nas empresas-alvo. O ataque à SolarWinds incluiu a entrega de backdoors maliciosos, e o ataque à Kaseya deu lugar a um ataque de ransomware.

Como identificar e mitigar os ataques à cadeia de abastecimento

Apesar do perigo representado por esta ameaça, existem técnicas concebidas para proteger uma empresa:
  • Implementar uma política de privilégios mínimos: muitas organizações concedem permissões e acessos excessivos às suas equipas, sócios e software. Estas autorizações facilitam os ataques à cadeia de abastecimento, na medida em que aumentam a superfície potencialmente desprotegida. Por isso, é imprescindível implementar políticas de privilégio mínimo e conceder a todas as pessoas que integram a empresa e o próprio software estritamente as permissões de que necessitam para realizar o seu trabalho.
  • Segmentar a rede: o software de terceiros e as organizações associadas não necessitam de um acesso ilimitado a todos os segmentos da rede empresarial. Para evitar qualquer tipo de risco, deve segmentar-se a rede, dividindo por funções empresariais. Esta é uma forma de garantir que se um ataque à cadeia de abastecimento compromete uma parte da rede, o resto manter-se-á protegido.
  • Aplicar as práticas DevSecOps: ao integrar a segurança no ciclo de vida de desenvolvimento, é possível detetar se o software, como as atualizações do Orion, foi modificado maliciosamente.
  • Prevenção automatizada contra ameaças e deteção de riscos: os analistas dos Centros de Operaçao de Segurança (SOC) devem proteger a organização contra ataques em todos os pontos da organização, incluindo endpoints, redes, cloud e dispositivos móveis.

“O famoso ataque do SolarWinds deu início a um frenesim de numerosos e sofisticados ataques à cadeia de abastecimento. Em abril, tivemos o Codecov, em julho de 2021, o Kaseya e, em dezembro, a exposição da vulnerabilidade do Log4j. O impacto alcançado por esta vulnerabilidade única numa biblioteca de código aberto demonstra o imenso risco inerente às cadeias de abastecimento de software”, afirma Rui Duro, Country Manager da Check Point Software Technologies para Portugal. “Todas as empresas, sem exceção, devem proteger os seus sistemas e software para evitar qualquer tipo de ataque à cadeia de abastecimento, uma vez que as consequências para este tipo de ataques podem ser incalculáveis”, conclui o responsável.
Share it:

info

Post A Comment:

0 comments: