As infraestruturas cloud, têm mantido um ritmo de adoção elevado pelas organizações, pois as empresas reconhecem o potencial da cloud. Nos últimos anos, o aumento de ataques realizados às cadeias de fornecimento tem alcançado rácios sem precedentes quer em escala quer na sua sofisticação.
Desde o ataque à cadeia de fornecimento do SolarWinds até à vulnerabilidade do Apache Log4j, os hackers prepararam a sua estratégia para este espaço, visando vulnerabilidades críticas tanto nos fornecedores de serviços cloud como nas cadeias de fornecimento.
O Cloud Computing, por si só, tem assistido a um conjunto de vulnerabilidades expostas nos últimos tempos – e as organizações continuam a adotar tecnologias cloud, com mais de 35% das empresas a utilizar e contendo 50% dos seus processos em plataformas como o Azure, AWS e GCP, estes apresentam dificuldades na gestão das várias e complexas infraestruturas que possuem, ao mesmo tempo que apresentam falhas de conhecimento e de Cyber-Skills, isto de acordo com o Check Point 2022 Cloud Security Report. Este relatório, teve com base um inquérito a 775 profissionais de cibersegurança, revelou também que os incidentes de segurança na cloud registaram um aumento de 10% em relação ao ano anterior, com 27% das organizações a citarem má configuração dos sistemas como o principal incidente, muito acima de questões como a exposição de dados ou o compromisso de contas.
Ao que parece, a evolução tem visto os cibercriminosos a mudar o foco para as infraestruturas cloud, em vez dos ataques às cadeias de fornecimento. Testemunhámos isto em Março quando o conhecido grupo de ransomware Lapsus$ emitiu uma declaração afirmando ter obtido acesso à plataforma Okta, uma plataforma de gestão de identidade, através da obtenção de acesso a uma conta administrativa. O Okta é um software baseado na cloud, utilizado por milhares de empresas para gerir e assegurar processos de autenticação de utilizadores. É também utilizado por programadores para construir controlos de identidade. Isto significa que centenas de milhares de utilizadores em todo o mundo poderiam ter sido afetados pelo ataque do Lapsus$.
No entanto, quantos, exatamente, permanecem abertos à discussão. Os próprios hackers afirmaram ter obtido acesso a 95% dos clientes da Okta, enquanto a Okta sugeriu que apenas 2,5% dos detalhes dos utilizadores estavam comprometidos. Seja como for, o incidente deveria servir como um sinal de aviso para os potenciais riscos colocados pelos ataques da cadeia de abastecimento.
O que coloca uma cadeia de fornecimento em risco?
A indústria tem registado um número crescente de ciberataques que aproveitam as metodologias frágeis das cadeias de fornecimento. Atualmente, o risco mais proeminente das cadeias de fornecimento a que as organizações estão expostas provém do software “open-source”. A comunidade de Software Open Source fornece diversos módulos e pacotes que são regularmente adotados por empresas em todo o mundo, incluindo as que fazem parte da sua cadeia de fornecimento.
O problema com o Software Open Source, porém, é que ele é inerentemente inseguro. Isto deve-se em parte ao facto de ser escrito por indivíduos que podem não ter os conhecimentos ou o orçamento necessário para os tornar completamente seguros. A outra questão com o código open-source resume-se à propriedade. Afinal, uma vez que um pacote é divulgado à comunidade, é impossível determinar quem o possui e quem é responsável pela sua manutenção.
Isto cria uma lacuna na sua arquitetura de segurança porque os pacotes open-source que importou podem apresentar dependências das quais simplesmente não está ciente. Foi exatamente isso que aconteceu com a NotPetya: uma evolução de um malware padrão. A NotPetya conseguiu infiltrar-se em sistemas em todo o mundo recorrendo a um pedaço de software de contabilidade Open-Source amplamente utilizado. Isto significou que se espalhou como fogo selvagem, provocando o caos na Ucrânia, bem como em vários países importantes, incluindo o Reino Unido, França, Alemanha, Rússia e os EUA.
A ubiquidade dos softwares Open Source e dos seus códigos significa que pode ser difícil para as organizações saberem se elas ou os seus fornecedores são vulneráveis a este tipo de ataque. Isto torna as cadeias de fornecimento um alvo atraente para os cibercriminosos que investirão tempo e recursos nestes ataques, no entendimento de que, ao violarem um sistema, podem aceder rapidamente a muitos mais.
Como pode prevenir potenciais ataques
Até agora, em 2022, assistimos a uma mudança no panorama das ameaças na medida em que cada vez mais grupos visam vulnerabilidades críticas tanto nos fornecedores de serviços cloud como nas cadeias de fornecimento. O que é que isto significa para o seu negócio, e como pode evitar esta ameaça crescente?
Infelizmente, quando se trata do seu fornecedor de serviço cloud, não importa quem escolha, a sua plataforma terá vulnerabilidades. Poderá conduzir toda a investigação no mundo e recorrer ao know-how dos melhores especialistas da indústria, mas não poderá controlar a segurança da plataforma do seu fornecedor escolhido.
Portanto, se não formos capazes de impedir uma falha dentro dos próprios fornecedor de serviço cloud, o que podem as organizações fazer para se protegerem? Ajudamos a dar alguns passos importantes a tomar:
Segurança multi-camadas: A resposta reside na criação de múltiplas camadas sobrepostas de segurança que ajudam a reduzir a sua exposição ao risco. As organizações tendem a construir mitigações de segurança como um único ponto de controlo de proteção, e os hackers tentarão contornar tal situação.
A implementação de medidas segurança que pressupõe que o primeiro nível possa falhar, sendo reforçado com múltiplas camadas terá uma maior probabilidade de sobreviver a um ciberataque mais complexo. Isto significa que mesmo que uma vulnerabilidade no seu fornecedor seja explorada, teria um ecossistema de segurança suficientemente robusto para afastar ataques e mitigar qualquer potencial impacto.
Automate DevSecOps: Outra forma de as empresas assegurarem que as entradas das suas redes permanecem firmemente fechadas é automatizar o seu DevSecOps, assegurando que as operações de segurança podem ser aplicadas em tempo real e em total consonância com outros objetivos empresariais. Por exemplo, o Check Point CloudGuard inclui ferramentas de segurança automatizadas para programadores, a fim de garantir que todo o código é protegido desde antes da sua implementação. Analisa a infrastructure-as-code e a fonte de código, para eliminar ameaças numa fase inicial.
Com a enorme velocidade do malware e das variantes de ransomware, o crescimento generalizado de dispositivos empresariais e pessoais, bem como o modelo de trabalho híbrido, é quase impossível que os modelos tradicionais criados pelo homem forneçam uma segurança holística e atualizada que detete ameaças tais como a exploração da vulnerabilidade Apache Log4j e os ataques às cadeias de fornecimento. As organizações devem considerar uma abordagem de cibersegurança que se concentre na prevenção de ameaças e que proporcione uma visão de 360 graus de toda a sua rede, independentemente da distância e amplitude da sua distribuição.
Adoção de uma mentalidade de segurança zero trust: Um ponto de partida para ajudar as organizações a protegerem-se é a adoção de uma mentalidade de segurança zero-trust. Dessa forma, mesmo que haja uma falha, os seus dados comerciais são protegidos, contendo qualquer ameaça representada por um ataque baseado na cloud e assegurando que não se pode espalhar dentro dos seus próprios sistemas.
Rui Duro
Country Manager da Check Point Software em Portugal
