SSDF: A chave para a defesa contra ataques cibernéticos na cadeia de suprimentos
Por razões que todos sabemos, os ataques à cadeia de suprimentos de software adquiriram um novo significado perto do final de 2020.
Isso não mudou ao longo deste ano. Uma das melhores maneiras modernas de combater esses ataques cibernéticos é integrar uma estrutura de desenvolvimento de software seguro (SSDF) ao ciclo de vida de desenvolvimento de software (SDLC) de um fornecedor. Por que essa é uma forma tão importante de evitar ataques à cadeia de suprimentos de software? E como você pode colocá-lo no lugar?
Ataques cibernéticos recentes mostram as táticas dos atacantes
Para ilustrar, os três ataques a seguir à cadeia de suprimentos foram manchetes no primeiro semestre do ano.
Ao longo de dezembro de 2020 e janeiro de 2021, um fornecedor de firewall lançou um patch para quatro vulnerabilidades que afetam seu aplicativo de transferência de arquivos. O novo ano começou com dezenas de empresas e entidades governamentais anunciando que sofreram uma violação como resultado das falhas de software. A Wired relatou que muitos desses incidentes envolveram extorsão nas mãos da gangue de ransomware Clop.
Outros invasores encontraram quatro falhas de dia zero em um produto de servidor de e – mail . O desenvolvedor de software lançou patches para corrigir as falhas em 2 de março – depois que um “ator altamente qualificado e sofisticado” começou a explorar as falhas como parte de uma série de campanhas de ataque. As correções de software não impediram outros agentes de ameaças de aproveitar os pontos fracos e espalhar mais cepas de malware.
Em junho, os pesquisadores descobriram ataques cibernéticos à cadeia de suprimentos de software envolvendo um emulador de Android para PCs e Macs. Os atores da ameaça comprometeram o mecanismo de atualização e o usaram para distribuir três famílias de malware diferentes. Ao fazer isso, os invasores infectaram um número incontável de usuários que usaram o emulador para jogar jogos Android em seus computadores.
Todos os três ataques à cadeia de suprimentos envolveram técnicas semelhantes. Cada um deles envolveu alguma tentativa de atores de ameaças de realizar reconhecimento de rede das máquinas de suas vítimas. Isso deu aos invasores digitais informações cruciais que eles poderiam ter usado para exfiltrar dados confidenciais ou se envolver em outros ataques.
Como o SSDF entra na cadeia de suprimentos de software
O governo dos EUA está prestando atenção a ataques cibernéticos à cadeia de suprimentos de software como esses. A Casa Branca fez da melhoria da segurança da cadeia de suprimentos de software um dos principais objetivos de uma ordem executiva lançada em maio de 2021. Além disso, a Cybersecurity & Infrastructure Security Agency (CISA) fez parceria com o Instituto Nacional de Padrões e Tecnologia (NIST) para publicar um recurso em torno do tópico de ataques à cadeia de suprimentos de software.
Vamos examinar isso em mais detalhes abaixo.
Defesa contra ataques cibernéticos na cadeia de suprimentos de software
Em seu guia, o CISA e o NIST discutem alguns dos tipos mais comuns de ataques cibernéticos à cadeia de suprimentos. Uma dessas táticas é sequestrar os mecanismos de atualização, como o que vimos acima. O recurso continua recomendando diretrizes que os clientes podem usar para se manterem seguros antes de discutir como os fornecedores de software podem minimizar o risco de comprometer a cadeia de suprimentos.
É aí que entra o SSDF. É fundamental incluir um SSDF no SDLC de um fornecedor. Um SSDF consiste em quatro tipos de práticas que ajudam a proteger o SDLC.
- Prepare a organização : neste estágio, a empresa ou agência afetada deve garantir que seu pessoal, processos e tecnologia possam oferecer suporte ao desenvolvimento de software seguro. Eles podem fazer isso definindo regras relevantes para o desenvolvimento de software, adicionando funções e responsabilidades relevantes e implementando uma cadeia de ferramentas de suporte, bem como definindo critérios para verificações seguras de software.
- Proteja o software : em seguida, é hora de proteger o software contra tentativas de adulteração e instâncias de acesso indesejado. Como parte desse processo, você precisa proteger o código, criar um pipeline para garantir que as novas versões de software sejam confiáveis e arquivar e proteger cada versão de software.
- Produza um software bem protegido: Em seguida, é hora de desenvolver um software seguro com um número mínimo de falhas. Para isso, seus funcionários precisam projetar um software que corresponda às suas necessidades de segurança e reparar os riscos, verificar se o projeto do software está em conformidade com os requisitos de software e reutilizar o software seguro (quando possível) em vez de dobrar.
- Responder a vulnerabilidades : A tarefa final é identificar falhas em versões de software, resolvê-las e evitar que bugs semelhantes apareçam no futuro. Isso envolve um processo contínuo de localização e confirmação dessas falhas. A partir daí, você precisa fazer a triagem e corrigir esses pontos fracos, bem como encontrar suas causas raízes.
Aumentando o SSDF com controles humanos
O SSDF fornece aos fornecedores de software uma estrutura pela qual eles podem implementar medidas de segurança e reduzir os ataques cibernéticos. Mas, usar um SSDF não fará muito, a menos que os fornecedores de software garantam a adesão de algumas partes interessadas importantes.
Em particular, os fornecedores precisam trabalhar com seus desenvolvedores para garantir que eles envolvam a segurança em seu trabalho. Uma das melhores maneiras de fazer isso é investindo em treinamento de segurança . Isso pode começar treinando algumas pessoas como mentores para elevar a importância da segurança em todo o departamento. Eles podem aproveitar o treinamento contínuo para educar seus desenvolvedores sobre alguns dos tipos de riscos mais comuns.
Uma vez que essa cultura esteja estabelecida, os fornecedores podem procurar desenvolvê-la. Eles podem fazer isso revisando suas ofertas de emprego para enfatizar a necessidade de treinamento e habilidades de segurança entre os candidatos. Eles também podem criar um conjunto de benchmarks de desempenho para recompensar os desenvolvedores por seu comportamento seguro no local de trabalho.
Uma estrutura coerente em torno da segurança da cadeia de suprimentos de software
Os ataques cibernéticos à cadeia de suprimentos de software não irão desaparecer tão cedo. Como tal, cabe aos fornecedores de software proteger seus produtos. Isso requer uma abordagem holística. Se as organizações unirem seu pessoal, processos e tecnologia, elas podem construir uma cultura coerente centrada em torno da segurança da cadeia de suprimentos de software.