Compreender o aumento dos ciberataques à cadeia de abastecimento

Cibersegurança e InfoSec Notícias


A Agência da União Europeia para a Cibersegurança (European Union Agency for Cybersecurity) descobriu que 66% dos ciberataques centram-se no código do fornecedor.

Os ataques à cadeia de abastecimento têm sido uma preocupação para os especialistas em segurança informática durante muitos anos porque a reacção em cadeia desencadeada por um ataque a um único fornecedor pode comprometer uma rede de fornecedores. O malware é a técnica de ataque a que os atacantes recorrem em 62% dos ataques.

De acordo com o novo relatório ENISA – Threat Landscape for Supply Chain Attacks, que analisou 24 ataques recentes, uma forte protecção de segurança já não é suficiente para as organizações quando os atacantes já desviaram a sua atenção para os fornecedores.

Isto é evidenciado pelo impacto crescente destes ataques, tais como a inactividade dos sistemas, perda monetária e danos à reputação.

Espera-se agora que os ataques à cadeia de abastecimento se multipliquem por 4 em 2021, em comparação com o ano passado. Esta nova tendência sublinha a necessidade de os decisores políticos e a comunidade ciber-segurança agirem agora.

É por isso que é urgente introduzir novas medidas de protecção para prevenir e responder a potenciais ataques à cadeia de abastecimento no futuro, mitigando ao mesmo tempo o seu impacto.

O que é uma cadeia de abastecimento?

Uma cadeia de abastecimento é a combinação do ecossistema de recursos necessários para conceber, fabricar e distribuir um produto. Em ciber-segurança, uma cadeia de abastecimento inclui hardware e software, mecanismos de armazenamento e distribuição locais ou em nuvem.

Porque é que um bom nível de cibersegurança não é suficientemente bom?

Composto por um ataque a um ou mais fornecedores com um ataque posterior ao alvo final, nomeadamente o cliente, os ataques à cadeia de abastecimento podem demorar meses a ser bem sucedidos. Em muitos casos, um ataque pode mesmo passar despercebido durante muito tempo.

À semelhança dos ataques de APT, os ataques à cadeia de abastecimento são geralmente visados, bastante complexos e dispendiosos, sendo provavelmente planeados com bastante antecedência. Todos estes aspectos revelam o grau de sofisticação dos adversários e a persistência na procura do sucesso.

O relatório revela que uma organização pode ser vulnerável a um ataque de cadeia de abastecimento mesmo quando as suas próprias defesas são bastante boas.

Os atacantes exploram novas potenciais vias para se infiltrarem nas organizações, visando os seus fornecedores. Além disso, com o potencial quase ilimitado do impacto dos ataques à cadeia de abastecimento em numerosos clientes, estes tipos de ataques estão a tornar-se cada vez mais comuns.

A fim de comprometer os clientes visados, os atacantes concentraram-se no código dos fornecedores em cerca de 66% dos incidentes relatados. Isto mostra que as organizações devem concentrar os seus esforços na validação de código e software de terceiros antes de os utilizarem para garantir que estes não foram adulterados ou manipulados.

Em cerca de 58% dos incidentes da cadeia de abastecimento analisados, os bens dos clientes visados eram predominantemente dados de clientes, incluindo dados de Informação Pessoal Identificável (IPI) e propriedade intelectual.

Em 66% dos ataques da cadeia de abastecimento analisados, os fornecedores não sabiam, ou não comunicaram como estavam comprometidos. Contudo, menos de 9% dos clientes comprometidos através de ataques à cadeia de abastecimento não sabiam como os ataques ocorreram. Isto realça a lacuna em termos de maturidade na comunicação de incidentes de cibersegurança entre fornecedores e utilizadores finais.

As recomendações, em poucas palavras:

  • Aplicar as boas práticas e envolver-se em acções coordenadas a nível da UE.
  • O impacto dos ataques aos fornecedores pode ter consequências de grande alcance devido ao aumento das interdependências e complexidades das técnicas utilizadas. Para além dos danos causados às organizações afectadas e a terceiros, há um motivo de preocupação mais profundo quando a informação classificada é exfiltrada e a segurança nacional está em jogo ou quando, como resultado, podem surgir consequências de natureza geopolítica.
  • Neste ambiente complexo das cadeias de abastecimento, o estabelecimento de boas práticas e o envolvimento em acções coordenadas a nível da UE são ambos importantes para apoiar todos os Estados-Membros no desenvolvimento de capacidades semelhantes – para alcançar um nível comum de segurança.

O relatório emite um extenso número de recomendações para os clientes gerirem o risco de cibersegurança da cadeia de abastecimento e para gerirem a relação com os fornecedores.

As recomendações para os clientes incluem:

– identificação e documentação de fornecedores e prestadores de serviços;
– definição de critérios de risco para diferentes tipos de fornecedores e serviços, tais como dependências de fornecedores e clientes, dependências críticas de software, pontos únicos de falha;
– monitorização dos riscos e ameaças da cadeia de fornecimento;
– gestão de fornecedores durante todo o ciclo de vida de um produto ou serviço, incluindo procedimentos para lidar com produtos ou componentes em fim de vida;
– classificação de bens e informações partilhadas com ou acessíveis aos fornecedores, e definição de procedimentos relevantes para o acesso e manuseamento dos mesmos.

O relatório também sugere possíveis acções para assegurar que o desenvolvimento de produtos e serviços esteja em conformidade com as práticas de segurança.

Os fornecedores são aconselhados a implementar boas práticas de gestão da vulnerabilidade e dos patches, por exemplo.

As recomendações para os fornecedores incluem:

  • assegurar que a infra-estrutura utilizada para conceber, desenvolver, fabricar e entregar produtos, componentes e serviços segue práticas de cibersegurança;
  • implementar um processo de desenvolvimento, manutenção e suporte de produtos que seja consistente com os processos de desenvolvimento de produtos comummente aceites;
  • monitorização das vulnerabilidades de segurança relatadas por fontes internas e externas que incluem componentes usados de terceiros
  • manutenção de um inventário de activos que inclua informação relevante para os patche

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.