Segurança Empresarial

Confiar cegamente em seus parceiros e fornecedores quanto à sua postura de segurança não é sustentável – é hora de assumir o controle por meio de uma gestão eficaz de riscos de fornecedores

Phil Muncaster

Janeiro 25 2024
 . 
,
5 minutos. ler

O mundo é construído sobre cadeias de abastecimento. São o tecido conjuntivo que facilita o comércio e a prosperidade globais. Mas estas redes de empresas sobrepostas e inter-relacionadas são cada vez mais complexas e opacas. A maioria envolve o fornecimento de software e serviços digitais ou, pelo menos, depende de alguma forma de interações online. Isso os coloca em risco de perturbações e concessões.

As pequenas e médias empresas, em particular, podem não procurar proativamente ou não ter os recursos necessários para gerir a segurança nas suas cadeias de abastecimento. Mas cegamente confiar em seus parceiros e fornecedores em sua postura de segurança cibernética não é sustentável no clima actual. Na verdade, já passou da hora de levar a sério a gestão dos riscos da cadeia de abastecimento.

O que é o risco da cadeia de suprimentos?

Os riscos cibernéticos da cadeia de abastecimento podem assumir muitas formas, desde ransomware e roubo de dados até negação de serviço (DDoS) e fraude. Eles podem impactar fornecedores tradicionais, como empresas de serviços profissionais (por exemplo, advogados, contadores) ou fornecedores de software empresarial. Os invasores também podem perseguir provedores de serviços gerenciados (MSPs), porque, ao comprometer uma única empresa dessa forma, poderiam obter acesso a um número potencialmente grande de empresas clientes downstream. Pesquisa do ano passado revelou que 90% dos MSPs sofreram um ataque cibernético nos 18 meses anteriores.

Aqui estão alguns dos principais tipos de ataque cibernético à cadeia de suprimentos e como eles acontecem:

• Software proprietário comprometido: Os cibercriminosos estão ficando mais ousados. Em alguns casos, eles conseguiram encontrar uma maneira de comprometer os desenvolvedores de software e inserir malware no código que é posteriormente entregue aos clientes posteriores. Isto é o que aconteceu no Campanha de ransomware Kaseya. Em um caso mais recente, um software popular de transferência de arquivos MOVEit foi comprometido por uma vulnerabilidade de dia zero e dados roubados de centenas de usuários corporativos, impactando milhões de seus clientes. Enquanto isso, o comprometimento do software de comunicação 3CX entrou para a história como o primeiro incidente documentado publicamente de um ataque à cadeia de abastecimento que levou a outro.
• Ataques às cadeias de abastecimento de código aberto: A maioria dos desenvolvedores usa componentes de código aberto para acelerar o lançamento de seus projetos de software no mercado. Mas os agentes de ameaças sabem disso e começaram a inserir malware em componentes e a disponibilizá-los em repositórios populares. Um relatório afirma houve um aumento anual de 633% nesses ataques. Os agentes de ameaças também são rápidos em explorar vulnerabilidades em código-fonte aberto que alguns usuários podem demorar para corrigir. Isto é o que aconteceu quando um bug crítico foi encontrado em uma ferramenta quase onipresente conhecido como Log4j.
• Falsificar-se de fornecedores por fraude: Ataques sofisticados conhecidos como compromisso de email comercial (BEC) às vezes envolvem fraudadores se passando por fornecedores para enganar um cliente e fazê-lo transferir dinheiro para eles. O invasor geralmente sequestra uma conta de e-mail pertencente a uma parte ou outra, monitorando os fluxos de e-mail até o momento certo para intervir e enviar uma fatura falsa com dados bancários alterados.
• Roubo de credenciais: Atacantes roubar os logins de fornecedores na tentativa de violar o fornecedor ou seus clientes (a cujas redes eles possam ter acesso). Foi isso que aconteceu na violação massiva do Target em 2013, quando hackers roubaram as credenciais de um dos fornecedores de HVAC do varejista.
• Roubo de dados: Muitos fornecedores armazenam dados confidenciais de seus clientes, especialmente empresas como escritórios de advocacia que têm acesso a segredos corporativos íntimos. Eles representam um alvo atraente para os agentes de ameaças que procuram informações que possam monetizar via extorsão ou outros meios.

Como você avalia e mitiga o risco do fornecedor?

Qualquer que seja o tipo específico de risco da cadeia de abastecimento, o resultado final pode ser o mesmo: danos financeiros e de reputação e o risco de ações judiciais, interrupções operacionais, perda de vendas e clientes irritados. No entanto, é possível gerir estes riscos seguindo algumas práticas recomendadas do setor. Aqui estão oito ideias:

1. Realize a devida diligência em qualquer novo fornecedor. Isso significa verificar se o programa de segurança deles está alinhado com as suas expectativas e se eles possuem medidas básicas em vigor para proteção, detecção e resposta a ameaças. Para os fornecedores de software, também deve ser necessário determinar se possuem um programa de gestão de vulnerabilidades em vigor e qual é a sua reputação em relação à qualidade dos seus produtos.
2. Gerencie riscos de código aberto. Isso pode significar o uso de ferramentas de análise de composição de software (SCA) para obter visibilidade dos componentes de software, juntamente com a verificação contínua de vulnerabilidades e malware e a correção imediata de quaisquer bugs. Certifique-se também de que as equipes de desenvolvedores entendam a importância da segurança desde o design ao desenvolver produtos.
3. Realize uma análise de risco de todos os fornecedores. Isso começa com a compreensão de quem são seus fornecedores e, em seguida, verificando se eles possuem medidas básicas de segurança em vigor. Isto deve estender-se às suas próprias cadeias de abastecimento. Audite com frequência e verifique a acreditação de acordo com os padrões e regulamentos do setor, quando apropriado.
4. Mantenha uma lista de todos os seus fornecedores aprovados e atualize-o regularmente de acordo com os resultados da sua auditoria. A auditoria regular e a atualização da lista de fornecedores permitirão que as organizações realizem avaliações de risco completas, identificando potenciais vulnerabilidades e garantindo que os fornecedores cumpram os padrões de segurança cibernética.
5. Estabeleça uma política formal para fornecedores. Isto deve descrever seus requisitos para mitigar o risco do fornecedor, incluindo quaisquer SLAs que devam ser cumpridos. Como tal, serve como um documento fundamental que descreve expectativas, padrões e procedimentos que os fornecedores devem aderir para garantir a segurança de toda a cadeia de abastecimento.
6. Gerenciar riscos de acesso de fornecedores. Aplicar um princípio de menor privilégio entre os fornecedores, caso estes necessitem de acesso à rede corporativa. Isto poderia ser implantado como parte de um Abordagem de confiança zero, onde todos os usuários e dispositivos não são confiáveis ​​até serem verificados, com autenticação contínua e monitoramento de rede adicionando uma camada extra de mitigação de riscos.
7. Desenvolva um plano de resposta a incidentes. No caso do pior cenário, certifique-se de ter um plano bem ensaiado a seguir para conter a ameaça antes que ela tenha a chance de impactar a organização. Isso incluirá como estabelecer contato com equipes que trabalham para seus fornecedores.
8. Considere a implementação de padrões da indústria. ISO 27001 e ISO 28000 temos muitas maneiras úteis de realizar algumas das etapas listadas acima para minimizar o risco do fornecedor.

Nos EUA, no ano passado, ocorreram 40% mais ataques à cadeia de abastecimento do que ataques baseados em malware, de acordo com um relatório. Eles resultaram em violações que afetaram mais de 10 milhões de indivíduos. É hora de retomar o controle por meio de uma gestão de riscos de fornecedores mais eficaz.