Vulnerabilidades na cadeia de suprimentos são uma alternativa fácil e, na maioria das vezes, eficaz para cibercriminosos, mesmo nas empresas mais seguras.
Mais de 80% das empresas sofreram uma violação de dados devido a vulnerabilidades de segurança em suas cadeias de suprimentos, uma vez que cibercriminosos têm se aproveitado da segurança frágil de fornecedores menores como meio de obter acesso às redes de grandes organizações.
Os dados são de uma pesquisa realizada pela empresa de segurança cibernética BlueVoyant.
Nos resultados, compartilhados recentemente, o grupo de pesquisadores descobriu que as empresas têm uma média de 1.013 fornecedores em seu ecossistema de suprimentos – e que 82% de todas as organizações já sofreram alguma violação de dados nos últimos 12 meses devido à fragilidade da segurança cibernética nessa cadeia de abastecimento.
Mas, apesar do risco representado por essas vulnerabilidades de segurança – que, como se pode ver, é preocupantemente alto -, um terço das organizações têm pouca ou nenhuma noção se hackers invadiram em sua cadeia de suprimentos, o que significa que elas podem não saber que foram vítimas de um incidente até ser tarde demais.
Fornecedores são uma alternativa para penetrar nas empresas mais seguras
Uma das principais razões para esse tipo de ataque é que as grandes empresas provavelmente são muito mais protegidas do que as pequenas. Logo, grupos de cibercriminosos estão cada vez mais se voltando para os fornecedores dessas organizações como um meio alternativo de se infiltrar em sua rede corporativa.
E o pior: muitas vezes passando completamente despercebidos.
"Geralmente as pessoas pensam, ‘bem, quais são os nossos fornecedores mais importantes?’ e, inevitavelmente, terminam listando os dez principais, sendo alguns dos maiores nomes do mundo, como os provedores de nuvem. Mas não é daí que vem a ameaça", disse Robert Hannigan – presidente da BlueVoyant International, que conduziu a pesquisa.
“É muito mais provável que a ameaça venha de uma empresa muito menor, da qual você nunca ouviu falar, mas que está conectada à sua rede e é responsável por uma parte pouco significativa, mas necessária, da sua operação”, completou.
Um exemplo disso aconteceu em 2017, quando o NotPetya – o ciberataque mais devastador da história – infectou organizações em todo o mundo.
Aparentemente, o malware começou a se espalhar usando o mecanismo de atualização de um software sequestrado da Linkos Group, uma empresa ucraniana de recursos contábeis que prestava serviços para uma série de empresas dos mais diferentes países.
"Quem teria pensado, na época do NotPetya, que a atualização de um software de contabilidade causaria prejuízos e desestruturaria empresas ao redor do mundo. Especialmente porque não se tratava de um fornecedor importante para nenhuma das empresas que foram atingidas, mas causou enormes danos e interrupções", disse Hannigan.
Mas, embora não devamos ignorar a dimensão do NotPetya, é preciso ter em mente que o caso é uma exceção. Outros ataques contra a cadeia de suprimentos são muito mais sutis, com cibercriminosos se infiltrando no fornecedor via malwares ou e-mails de phishing e se apropriando de contas de usuário – que eles usam como porta de entrada para violar a organização de maior interesse, especialmente se já houver uma relação de confiança entre a empresa e seus fornecedores.
Esse foi o caso quando uma empresa de serviços públicos sofreu uma violação de dados após criminosos cibernéticos se infiltrarem em sua rede por meio de um escritório de advocacia, comprometendo a conta de um colaborador do escritório e usando essa conta para ter acesso à empresa.
"O que o invasor fez foi comprometer a caixa de entrada de alguém nesta empresa específica e, como o invasor estava usando a identidade de uma pessoa real e sua caixa de entrada real, a proteção normal contra e-mails de phishing não funcionou, porque é apenas um e-mail de um pessoa normal de confiança. Infelizmente, e não tinha como saberem disso, era um invasor ", explicou Hannigan.
Conscientizar também é parte da prevenção
Um dos principais motivos pelos quais as vulnerabilidades da cadeia de suprimentos podem passar despercebidas é porque, muitas vezes, não está claro quem é o responsável pelo gerenciamento de riscos quando se trata de relacionamentos com fornecedores terceirizados.
Mesmo que se saiba que um fornecedor pode ter vulnerabilidades, resolver o problema pode ser muito mais complexo e talvez nunca aconteça, pois não há uma pessoa ou equipe dedicada, responsável por este fornecedor em específico.
"Até hoje, nunca conheci um CISO que não soubesse que existe um enorme ecossistema para entender e proteger. Mas encontrar uma maneira de fazer isso é um desafio. Mesmo as maiores organizações têm uma equipe limitada para lidar com o risco cibernético e há um limite para o que eles podem fazer. Você não pode esperar que uma equipe pequena gerencie os riscos de 10.000 fornecedores", comenta Hannigan.
Para gerenciar melhor o risco representado pelas vulnerabilidades da sua cadeia de suprimentos, o relatório recomenda que as organizações devem decidir quem é o proprietário do risco cibernético de terceiros, a fim de adotar uma estratégia eficaz para gerenciá-lo, bem como melhorar a visibilidade de toda o ecossistema de fornecedores.
O relatório também recomendou que as organizações podem e devem alertar e ajudar terceirizados a lidar com vulnerabilidades em potencial – pois isso também é uma forma de se proteger.
"Os criminosos não desistem, simplesmente; eles só procuram formas mais fáceis de entrar. É inevitável que, quando os perímetros das empresas forem melhor defendidos, os criminosos comecem a procurar alternativas mais vulneráveis – e a cadeia de suprimentos é uma forma óbvia e, na maioria das vezes, eficaz de fazer isso”, finaliza Hannigan.
O relatório completo você pode ler aqui.
Mantenha todas as superfícies de ataque da sua empresa segura. Entre em contato com os especialistas da Compugraf!
