O Elo Oculto: Protegendo Sua Empresa das Ameaças Vindas dos Parceiros

No atual ecossistema digital, os riscos não estão mais confinados ao perímetro tradicional da organização. Aliás, cadê este perímetro? Vimos que a superfície de ataque das organizações modernas vem se expandindo e está cada vez mais saber onde ele começa e/ou termina. A segurança de uma empresa está entrelaçada com a de seus fornecedores e parceiros, formando uma cadeia complexa de responsabilidades e vulnerabilidades. Cada fornecedor, ao oferecer sua tecnologia ou serviço, traz consigo o potencial de exposição aos riscos. Lembram do caso da SolarWinds? Essa realidade, frequentemente negligenciada, permite que cibercriminosos usem essas conexões terceirizadas como pontos de entrada para ataques sofisticados, explorando brechas muitas vezes invisíveis para o negócio.

A necessidade de avaliar regularmente o nível de maturidade em segurança dos terceiros é um ponto central. É fundamental que as empresas estabeleçam métricas claras e consistentes para entender a postura de segurança de seus parceiros. Ferramentas de rating de segurança, como BitSight e Secure ScoreCard, podem ser bem interessantes nesse processo, fornecendo avaliações objetivas e comparativas que ajudam a identificar fornecedores com potenciais gaps de segurança. Essas plataformas possibilitam uma análise detalhada do histórico e da resiliência de cada parceiro, revelando áreas em que é necessário aprimorar as medidas de proteção para garantir que a segurança da cadeia de suprimentos não seja comprometida. Além disso, é fundamental realizar assessments regulares para verificar a eficácia das práticas de segurança dos parceiros. Quando necessário, a criação de planos de ação deve ser implementada para abordar as vulnerabilidades identificadas e garantir que os fornecedores estejam alinhados com os padrões de segurança exigidos.

O monitoramento de vulnerabilidades é uma resposta essencial para enfrentar o cenário dinâmico e interconectado de riscos modernos, oferecendo visibilidade crítica em áreas onde essa clareza é geralmente limitada. Ferramentas de inteligência cibernética, como aquelas fornecidas pela Recorded Future, ThreatConnect, SOCRadar, Axur, Apura, Tempest e Intel 471, possibilitam um monitoramento contínuo do ciclo de vida das vulnerabilidades, não apenas nas operações internas, mas também nos sistemas dos parceiros. Essas ferramentas monitoram em tempo real como novas falhas são descobertas e exploradas, observando tanto os canais públicos quanto as interações em grupos e canais maliciosos no submundo cibernético. Com essa visão, as empresas podem priorizar a correção das vulnerabilidades mais críticas, ajustando rapidamente sua postura de segurança para responder a ameaças emergentes e protegendo de forma proativa a cadeia de valor contra ataques sofisticados.

Essas soluções integram fontes de dados variadas, incluindo indicadores de comprometimento (IoCs), feeds de ameaças e análise de tendências, ajudando a identificar e corrigir falhas antes que possam ser exploradas.

Para garantir uma defesa mais robusta, é também fundamental controlar o uso de tecnologias de código aberto. Softwares, bibliotecas e similares da comunidade de open source são amplamente utilizados devido à sua flexibilidade e potencial reuso no processo interno de desenvolvimento de software das empresas, mas muitas vezes carecem de auditorias rigorosas e podem conter payloads maliciosos adicionados propositalmente que colocam em risco toda a cadeia de segurança. Um exemplo notório é o incidente com o repositório PyPI, onde cibercriminosos publicaram pacotes com nomes similares a bibliotecas populares, induzindo desenvolvedores ao erro e permitindo a injeção de código malicioso em projetos legítimos. Esse tipo de ataque, conhecido como typosquatting, expõe aplicações e dados a graves riscos de comprometimento e perda de integridade.

Ataques na cadeia de fornecimento de hardware também podem representar uma séria ameaça à segurança das organizações, visando comprometer dispositivos físicos, como servidores e computadores, antes de sua entrega. Esses ataques podem ocorrer em qualquer etapa, desde o design até a distribuição, e incluem a inserção de componentes maliciosos ou modificações no firmware, permitindo acesso não autorizado e coleta de dados sensíveis. Vide o caso recente dos pagers do Hezbollah.

A detecção desses ataques é desafiadora, pois o hardware comprometido pode passar por várias camadas de validação. Além disso, uma vez instalado, o malware de hardware é difícil de detectar e remover, pois se integra aos componentes físicos. Para mitigar esses riscos, é crucial que as empresas adotem práticas rigorosas de validação de fornecedores, realizem auditorias e monitorem toda a cadeia de suprimentos de hardware, garantindo a integridade dos dispositivos antes de sua integração nos sistemas corporativos

Gerenciar o uso de soluções SaaS de terceiros e o armazenamento de dados confidenciais em serviços externos exige uma atenção rigorosa, pois essas plataformas nem sempre seguem os mesmos padrões de segurança que os sistemas internos, expondo dados sensíveis a riscos significativos. Essas plataformas podem ser exploradas por atores maliciosos para ataques sofisticados, como watering hole, em que um aplicativo amplamente utilizado se torna o vetor de ataque para comprometer usuários específicos de uma organização. Atores maliciosos podem, por exemplo, atacar protocolos de autenticação, incluindo o uso de técnicas como o SAML hijacking. 

Uma área que muitas vezes passa despercebida é o uso de softwares gratuitos, extensões de navegador e outros addons que, embora ofereçam benefícios funcionais, podem ser vetores usados por atores maliciosos para o delivery dos seus payloads maliciosos para suas vítimas. Extensões de navegador, como exemplo, já foram descobertas carregando stealers, como o famigerado RedLine, que acessava dados sensíveis dos usuários e transmitia os mesmos para servidores externos. Extensões de navegador podem acessar conteúdos de páginas, senhas salvas e outras informações confidenciais que, se manipuladas por atores maliciosos, colocam em risco as operações de toda a empresa. 

Proteger a cadeia de valor vai além da implementação de tecnologias; trata-se de criar uma cultura de segurança que permeia todas as relações. É essencial que parceiros e fornecedores compartilhem um entendimento e compromisso com as melhores práticas de segurança. Investir em treinamentos específicos, realizar avaliações periódicas de acompanhamento, manter canais de comunicação abertos e desenvolver diretrizes/políticas claras de segurança são práticas fundamentais para garantir que cada participante da cadeia de valor esteja alinhado com os padrões da organização. Esse alinhamento de segurança cria uma defesa mútua, onde cada elo fortalece o outro.