.
O hack do software da SolarWinds há mais de dois anos colocou a ameaça de ataques à cadeia de suprimentos de software no centro das conversas sobre segurança, mas será que algo está sendo feito?
Em questão de dias nesta semana, pelo menos quatro esforços díspares para reforçar a segurança da cadeia de suprimentos foram declarados, um exemplo de como esses riscos se tornaram prioritários e um esforço de fornecedores e desenvolvedores para reduzi-los.
A ameaça está crescendo. Gartner espera que até 2025, 45 por cento das organizações em todo o mundo terão sofrido um ataque à cadeia de suprimentos de software, um salto de três vezes em relação a 2021. Não é uma surpresa, de acordo com Neatsun Ziv, CEO da startup Ox Security que está construindo uma estrutura aberta do tipo MITRE ATT&CK para as empresas verificarem as cadeias de suprimentos de software.
“Esses tipos de ataques se tornam super, super lucrativos apenas porque o [hits] que você pode obter de uma única arma não é proporcional a qualquer outra coisa que você vê na indústria”, disse Ziv Strong The One.
Assim como no ataque da SolarWinds, um malfeitor pode injetar código malicioso em um software antes que o software comprometido seja enviado aos clientes e comprometa esses sistemas. As organizações parecem ser lentas em alcançar isso.
Mais recentemente, os invasores têm como alvo repositórios de código como GitHub e PyPI e empresas como fornecedora de plataformas de CI/CD CírculoCIum incidente que expandiu a definição de um ataque à cadeia de suprimentos, de acordo com Matt Rose, CISO de campo do fornecedor de segurança cibernética ReversingLabs.
“O que o incidente do CircleCI ilustra é que as organizações não devem se preocupar apenas com o malware sendo injetado em um objeto compilado ou entregue, mas também com as ferramentas usadas para criá-los”, escreveu Rose em um postagem no blog. “É por isso que o hack do CircleCI é uma revelação para muitas organizações por aí.”
Uma estrutura para todos eles
OSC&R (Referência de ataque à cadeia de suprimentos de software aberto) foi lançado esta semana, fundado por Ziv – ex-vice-presidente de segurança cibernética da Check Point – e outros profissionais de segurança com experiência em lugares como Google, Microsoft, GitLab e Fortinet.
A ideia é dar às empresas uma estrutura comum para avaliar e mensurar o risco de suas cadeias de suprimentos, algo que tradicionalmente tem sido feito com intuição e experiência. O OSC&R fornecerá às organizações uma linguagem e ferramentas comuns para entender as táticas e defesas de ataque, priorizar ameaças e rastrear o comportamento do grupo de ameaças.
Ele será atualizado à medida que novas táticas surgirem, ajudará nos exercícios de penetração da equipe vermelha e receberá contribuições de outros fornecedores. O grupo pegou os conceitos de ransomware e endpoints usados no MITRE ATT&CK e os aplicou à cadeia de suprimentos.
“O desafio era que não havia estrutura para nos levar de um entendimento básico à nossa capacidade de verificar nosso ambiente se fôssemos suscetíveis a ataques à cadeia de suprimentos”, disse Ziv.
A estrutura aborda nove áreas principais – como segurança de contêiner e código aberto, higiene de segredos e postura de CI/CD – e descreve as técnicas usadas pelos invasores em áreas como acesso inicial, persistência, escalonamento de privilégios e evasão de defesa. Ele crescerá tanto em recursos quanto em colaboradores, disse ele.
A especificação OpenVEX
Com o mesmo espírito, a Chainguard, fornecedora de segurança da cadeia de suprimentos, está liderando um grupo que inclui HPE, VMware e The Linux Foundation para impulsionar a adoção do Visibility Exploitability eXchange (VEX), uma ferramenta para lidar com vulnerabilidades em software corporativo. É apoiado por agências como a Administração Nacional de Telecomunicações e Informações dos EUA (NTIA) e a Agência de Segurança de Infraestrutura de Cibersegurança (CISA).
Introduzir o especificação OpenVEX e cadeia de ferramentas de referência
“Até hoje, o VEX tem sido um conceito que a indústria investiu tempo debatendo e construindo requisitos mínimos”, disse o fundador e CEO da Chainguard, Dan Lorenc escreveu. “Com o lançamento do OpenVEX, as organizações agora podem colocar o VEX em prática.”
O OpenVEX funcionará como um companheiro para a lista de materiais de software, que ajuda na transparência, mas pode criar “ruído” na indústria, escreveu Lorenc. Com o OpenVEX, os fornecedores podem descrever com mais precisão o quão exploráveis são os produtos e ajudar os usuários finais a filtrar os falsos positivos.
A Chainguard colocou o OpenVEX em alguns de seus produtos, incluindo sua distribuição Linux específica para contêineres Wolfi e imagens de base de contêiner seguras por padrão.
Por sua vez, o fornecedor de segurança cibernética Checkmarx está desenvolvendo a oferta de segurança da cadeia de suprimentos lançada em março de 2022 com uma ferramenta de inteligência de ameaças para se concentrar na cadeia de suprimentos. Inclui informações como a identificação de pacotes maliciosos pelo tipo de ataque – como typosquatting ou confusão de dependências – análise dos operadores por trás do ataque, como os pacotes operam e os dados históricos por trás deles.
“Esta informação é sobre o rastreamento de pacotes maliciosos criados para fins específicos que geralmente contêm ransomware, código de criptomineração, execução remota de código e outros tipos comuns de malware”. escreveu Stephen Gates, gerente principal de marketing de conteúdo da Checkmarx.
CISA em movimento
A CISA está criando um escritório para tratar da segurança da cadeia de suprimentos e trabalhar com os setores público e privado para implementar políticas federais. De acordo com um relatório no Rede Federal de Notícias, Shon Lyublanovits está liderando a iniciativa. Ela dirige o escritório de gerenciamento de projetos para gerenciamento de riscos da cadeia de suprimentos cibernéticos (C-SCRM), que faz parte da divisão de segurança cibernética da CISA.
Os problemas que o escritório abordará variam de componentes falsificados a vulnerabilidades de software de código aberto.
É o passo mais recente da CISA, que tem foco na segurança da cadeia de suprimentos desde a criação de um força tarefa para tarefa de tecnologia de TI e comunicações para 2018.
Varun Badhwar, cofundador e CEO da fornecedora de segurança da cadeia de suprimentos Endor Labs, aplaudiu a decisão da CISA de criar o escritório, dizendo Strong The One que estabelecer “uma nova capacidade em um nível tão alto se destaca como um marco”.
No entanto, é importante entender as complexidades do problema, disse Badhwar. Existem componentes de código aberto ao longo do ciclo de vida do software e as organizações precisam primeiro proteger o software de código aberto que usam. Empresas e agências usam em média mais de 40.000 pacotes de software de código aberto baixados por desenvolvedores, e cada um deles pode trazer outras 77 dependências.
“Isso causa uma expansão massiva e desgovernada que aumenta a superfície de ataque da cadeia de suprimentos em várias dimensões”, disse ele, acrescentando que o Endor Labs descobriu que 95% das vulnerabilidades de código aberto são encontradas nas dependências transitivas. ®
.
