.
Em resumo O Google lançou uma nova ferramenta de software de código aberto para ajudar as empresas a entender melhor os riscos para suas cadeias de suprimentos de software, agregando metadados de segurança em um banco de dados padronizado e consultável.
O Graph for Understanding Artifact Composition, ou “GUAC” – pronunciado como o molho de abacate – “agrega e sintetiza metadados de segurança de software em escala e os torna significativos e acionáveis”, Google disse em uma postagem de blog.
Embora as modernas cadeias de suprimentos de software upstream tenham se tornado ricas em metadados e atestados, é “difícil ou impossível” para a maioria das empresas colocar essas informações em uma visão unificada, afirma o Google.
“Para entender algo complexo como o raio de explosão de uma vulnerabilidade, é preciso traçar a relação entre um componente e tudo o mais no portfólio – uma tarefa que pode abranger milhares de documentos de metadados em centenas de fontes”, disse o Google.
Os ataques à cadeia de suprimentos de software têm sido centrais para muitos dos principais incidentes de segurança cibernética nos últimos anos, como SolarWinds, Kaseyae Log4je envolvem invasores que injetam código malicioso no software antes de sua entrega aos clientes.
Na RSA 2022, Aanchal Gupta, da Microsoft, chefe do Security Response Center da empresa, disse que os ataques à cadeia de suprimentos continuarão a se tornar mais prevalentes devido à dependência do mundo da tecnologia de software de terceiros e de código aberto, que ele disse que “não vai acontecer para baixo em breve.”
Como um agregador de metadados, o GUAC foi projetado para coletar dados de várias fontes, incluindo plataformas de lista de materiais de software, bancos de dados de vulnerabilidade e atestados assinados, como o próprio Google apropriadamente chamado SLSA (pronuncia-se “salsa”).
O GUAC é capaz de coletar dados, ingeri-los de fontes upstream, reuni-los em uma única fonte normalizada e permitir que os usuários os consultem para obter uma lista de materiais de software, proveniência, cadeia de construção, scorecard de segurança do projeto, uma lista de vulnerabilidades e informações recentes eventos do ciclo de vida, afirma o Google.
O Google diz que o GUAC pode ajudar a responder questões de segurança proativas, como quais componentes em um ecossistema de software são usados com mais frequência ou quais dependências podem ser arriscadas, bem como questões operacionais, como se o novo software atende às políticas de segurança e questões reativas, como como uma organização é afetada por uma nova vulnerabilidade.
O projeto GUAC é de código aberto e disponível no GitHub. O Google disse que ainda está nos primeiros dias de desenvolvimento e está disponível apenas como uma prova de conceito que pode ingerir dados de SLSA, listas de materiais de software e documentos do Scorecard. Você pode experimentá-lo – ou injetar algum de seu próprio código útil – agora.
FBI diz que hackers iranianos que ameaçam Israel podem vir atrás dos EUA novamente
O FBI divulgou uma notificação do setor privado alertando as empresas para tomarem cuidado com um grupo de hackers iranianos conhecido como Emennet Pasargad, que anteriormente assediou eleitores dos EUA e lançou campanhas de desinformação durante as eleições presidenciais de 2020.
Emennet é conhecido por usar operações de hack-and-leak contra vítimas, o FBI disse, bem como usar personas de bandeira falsa para transferir a culpa para outro lugar. O grupo parece ser oportunista e geralmente parece ter o objetivo de minar a confiança pública em organizações privadas e instituições governamentais.
Mais recentemente, o grupo foi visto visando organizações israelenses usando táticas semelhantes, mas o FBI disse que estava ativo nos EUA no início deste ano, quando realizou um ataque contra uma organização sediada nos EUA ligada a um grupo de oposição iraniano.
Embora oportunista, o Emennet mostra alguma preferência por suas vítimas. Aqueles em risco incluem qualquer grupo ligado a grupos de oposição iranianos, empresas com sites executando PHP ou um banco de dados mysql acessível externamente, bem como grandes empresas com tráfego significativo na web e uma grande base de clientes.
Autoridades dos EUA alertaram para o aumento do potencial de ataques cibernéticos no período que antecede as eleições de meio de mandato dos EUA no próximo mês, mas também disseram que estão não preocupado sobre governos estrangeiros ou seus agentes que representam uma ameaça real às eleições.
A CISA quer mergulhar no SCuBA na nuvem do Microsoft 365
A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou uma ferramenta de código aberto projetada para auditar as implantações do Microsoft 365 em relação aos padrões de segurança na nuvem da agência.
Disponível no GitHub como um script do PowerShell, o software analisa Teams, SharePoint, Power Platform, Power BI, OneDrive, Exchange, Defender e Azure AD e os compara com os Secure Cloud Business Applications (SCUBA) padrões CISA anunciados em abril.
As diretrizes do SCuBA foram desenvolvidas para agências civis do poder executivo para “fornecer recomendações facilmente adotáveis que complementam os requisitos exclusivos de cada agência e os níveis de tolerância ao risco”, disse a CISA, e admite que as ferramentas podem não funcionar perfeitamente para organizações privadas.
Ainda assim, “a CISA recomenda que todas as organizações que utilizam serviços em nuvem revisem as linhas de base e implementem práticas quando apropriado”. Nos testes, a agência executou o software em locatários com licenças E3 ou G3 e E5 ou G5 do Microsoft 365 e disse que ainda pode funcionar, mas não foi testado, em outras implantações.
Embora o “ScubaGear” suporte apenas o Microsoft 365 por enquanto, a CISA disse que planeja publicar também as linhas de base de configuração para o Google Workspaces. “A publicação das linhas de base GWS e M365 irá promover a missão da CISA de proteger a empresa federal, abordando as lacunas de segurança cibernética e visibilidade em aplicativos de negócios baseados em nuvem”, disse a CISA.
TSA extrai carvão para atender aos requisitos de segurança cibernética das ferrovias
A Transportation Security Administration (TSA) emitiu uma diretriz para os operadores ferroviários dizendo-lhes que é hora de levar a sério a segurança cibernética – e não é uma opção.
Citando “a ameaça contínua de segurança cibernética aos sistemas de transporte de superfície” e ataques que podem levar à “degradação, destruição ou mau funcionamento” de tais sistemas, o A TSA está exigindo [PDF] todas as transportadoras ferroviárias e ferrovias designadas para cumprir quatro regras:
- Um coordenador de segurança cibernética deve estar sempre de plantão
- Todos os incidentes de segurança cibernética devem ser relatados à CISA dentro de 24 horas
- Os operadores devem desenvolver um plano de resposta a incidentes de segurança cibernética
- Os operadores devem realizar avaliações de vulnerabilidade e denunciá-las à TSA dentro de 90 dias da diretiva
Para cumprir seus objetivos, a TSA é exigindo operadores ferroviários para desenvolver políticas de segmentação de rede, melhorar os controles de acesso, construir plataformas de monitoramento contínuo e desenvolver um processo de correção padrão para minimizar os riscos de exploração.
Os EUA exigiram de forma mais ampla que as empresas enviem relatórios de incidentes cibernéticos em 72 horasmas parece estar impondo requisitos mais rígidos aos operadores ferroviários, o que não surpreende, dado que o transporte ferroviário está incluído no CISA Lista de setores de infraestrutura crítica.
Os requisitos não devem ser muito difíceis de implementar, de acordo com o administrador da TSA, David Pekoske, porque porta-vozes do setor ajudaram a desenvolver as regras. “Estamos encorajados pela significativa colaboração entre a TSA, [Federal Railroad Administration]CISA e a indústria ferroviária no desenvolvimento desta diretiva de segurança.” ®
.
