As melhores práticas segundo especialistas, são os softwares confiáveis

Segundo Dados da empresa de segurança digital Fortinet, em 2022 o Brasil foi o segundo País mais afetado por ataques cibernéticos em toda a América Latina, com mais de 103 bilhões de tentativas – um aumento de 16% em relação a 2021, o que coloca o País atrás do México sozinho (com 187 bilhões).

A digitalização acelerada da economia latino-americana faz desta região um dos maiores alvos das gangues de criminosos digitais. Um relatório da SonicWall, empresa de segurança cibernética, revela que os criminosos tiveram uma evolução para realizar seus ataques cibernéticos em comparação aos anos anteriores na América Latina.

As tentativas de invasão de máquinas pessoais e empresariais na América Latina aumentaram 14%. Isso se deve ao fato de os hackers encontrarem pontos de entrada fracos, colaboradores com pouca proteção em seus dispositivos de trabalho e pessoais e pouco treinamento para lidar com eventuais ataques. Da mesma forma, mais de 8 milhões de ataques à IoT foram registrados na região; um aumento de 164% (3.232.664) em relação ao mesmo período do ano anterior naquela região.

Mas há algo específico sobre os riscos da cadeia de abastecimento que levanta uma bandeira vermelha subnotificada. No ano passado, o número de ataques documentados à cadeia de abastecimento envolvendo componentes maliciosos de terceiros aumentou uns impressionantes 633% a nível global, atingindo mais de 88.000 casos conhecidos. É o que aponta um relatório da Sonatype, empresa especializada em segurança digital para o mercado logístico.

Isto prova que os ataques à cadeia de fornecimento de software estão aumentando, com os atacantes incorporando malware de formas novas e sofisticadas, incluindo a utilização de tecnologias emergentes, como a IA generativa. Para tornar as coisas ainda mais complexas, o software que as organizações estão desenvolvendo e usando é composto por um amálgama de muitas peças constituintes diferentes, incluindo componentes de código aberto e de terceiros.

Um recente webinar patrocinado pela DigiCert intitulado Digital Trust in Software Supply Chains & AI Models, abordou os desafios na prevenção de ataques à cadeia de fornecimento de software. Apresentado pelo CEO da DigiCert, Amit Sinha, contou com três especialistas reconhecidos do setor na área: Mario Vuksan, CEO da ReversingLabs . Saša Zdjelar, sócio operacional da Crosspoint Capital e ex-vice-presidente sênior de garantia de segurança da Salesforce  e Dr. Hugh Thompson, sócio-gerente da Crosspoint Capital e presidente do comitê do programa na RSA Conference.

Esses três especialistas descreveram vários dos desafios que as organizações enfrentam e, em seguida, ofereceram diversas práticas recomendadas para as organizações adotarem no futuro.

Os desafios
De acordo com o Relatório de Segurança e Análise de Risco de Código Aberto, 96% das bases de código digitalizadas contêm código aberto. Isto contribui para o risco geral porque este código não está sob o controle da organização e expande a superfície de ataque que os malfeitores podem manipular. Embora sempre tenham existido problemas na cadeia de fornecimento de software, essa expansão no tamanho e na complexidade do software fez com que as cargas de ataque aumentassem. Um relatório do ReversingLabs de 2023 descobriu que quase 90% das empresas detectaram riscos na cadeia de fornecimento de software somente no ano passado, e mais de 70% afirmam que as soluções atuais de segurança de aplicativos não fornecem as proteções necessárias contra esses tipos de ataques.

Mário explica:
“Componentes de terceiros têm sido cada vez mais usados ​​[por malfeitores] para evasão e movimento lateral, especialmente em violações maiores e mais importantes. Os ataques à cadeia de fornecimento de software podem acontecer através de código aberto e comprometimentos de terceiros, ou como foi o caso do ataque à SolarWinds, através da exploração do sistema de construção.”

As melhores práticas para confiança de software
No webinar, os três líderes do setor compartilharam seus insights sobre as melhores práticas que as organizações devem adotar para proteger a cadeia de fornecimento de software:

Execute uma verificação profunda de detecção de ameaças
Use assinatura de código segura
Fornece transparência de software
Execute uma verificação profunda de detecção de ameaças

Durante o webinar, Mario destacou que quando a maioria das pessoas pensa em ataques à cadeia de suprimentos de software, elas pensam em ataques públicos, como o ataque Sunburst, mais conhecido por seu impacto na SolarWinds, que mostrou às organizações de forma dramática que um único ataque pode impactar dezenas de milhares de empresas de uma só vez. “Muito foi feito para garantir que construímos nossa resiliência a um nível completamente diferente para resistir a grandes ataques no futuro”, disse ele.

Ao mesmo tempo, o foco no Sunburst e em outros ataques divulgados, como Codecov e Kaseya, talvez tenha levado as organizações a acreditar erroneamente que não sofreram um ataque à cadeia de fornecimento de software, quando poderiam muito bem ter sofrido. Mas todos correm risco desse tipo de ataque.
Hugh disse que isso tem a ver com a complexidade da maioria dos softwares em uso atualmente.

“O software é composto não apenas por código que você escreve internamente, mas por todas essas bibliotecas de terceiros e componentes constituintes que você extrai dinamicamente ao compilar o sistema. Portanto, mesmo que o ataque não tenha sido exatamente focado em você como empresa , você ainda tem a capacidade de um invasor manipular uma dessas bibliotecas comumente usadas e se infiltrar em software. E acho que esse é um dos maiores desafios que estamos enfrentando no momento.”

Para se protegerem contra esses ataques, as organizações precisam implementar análises profundas de detecção de ameaças e vulnerabilidades. Além da verificação do código, isso requer a busca por padrões de ameaças e vulnerabilidades nos binários de software finais, como malware, vazamento de segredos, adulteração de software e outros CVEs (vulnerabilidades e exposições comuns).

A importância da assinatura de código segura
Nos últimos anos, vimos vários exemplos do que acontece quando as chaves de assinatura de código são protegidas incorretamente. Hugh observou que invasores sofisticados normalmente descobrem que o elo mais fraco da cadeia está em torno da criptografia. Por exemplo, a violação de assinatura de código da ASUS resultou de hackers que violaram os servidores web inseguros onde os desenvolvedores armazenaram suas chaves de assinatura de código e os infectaram com malware. E uma rápida varredura na dark web revelará não apenas credenciais de assinatura de código roubadas, mas também kits de malware que compradores não técnicos podem usar para explorar chaves desprotegidas.

Concordando, Hugh completa:
“Há muito que agrada em uma infraestrutura de assinatura de código porque sua premissa é que, como fabricante de software, você está atestando que este é o software que você produziu. Mas isso depende de algumas coisas. Primeiro, depende do fato de você manter a chave privada de maneira segura para que um invasor não possa exfiltrá-la e assinar software disfarçado como você. A outra é garantir que os sistemas ao seu redor, que enviam automaticamente o software através da infraestrutura de assinatura, não tenham ou não foram comprometidos. Porque se eles tiverem sido comprometidos, um invasor pode pegar o software deles, que pode ser uma versão modificada do seu software, e enviá-lo através de sua própria infraestrutura de assinatura sem que você saiba. E parece legítimo.”

“Décadas atrás, tornou-se amplamente aceito que era uma boa ideia saber o que estamos colocando em nossos corpos. Então, o FDA lançou este rótulo nutricional para que saibamos o que há nas coisas. Agora é uma prática completamente comum irmos ao ir à loja, olhe a lista de ingredientes e se tiver problemas glicêmicos, diga: “Gostaria de algo com menor concentração de açúcar”.

Da mesma forma, existe agora uma necessidade crescente de sabermos o que estamos colocando em nossos sistemas empresariais. Posso tomar uma decisão deliberada de evitar certas bibliotecas ou tipos de licença porque eles poderiam me colocar em responsabilidade legal. Se algo acontecer no futuro, quero saber rapidamente onde tenho o Log4j, onde estou usando infragística e onde outras coisas estão em meu ambiente.
Portanto, é essencial que você verifique tudo o que compõe o software cuja legitimidade e segurança você atesta.
Adiciona Hugo:

“Não é apenas o código-fonte aberto, não é apenas o código que você mesmo escreveu, são os modelos que podem estar lá, mas também os binários. Muitas pessoas param nos binários e não os escaneiam. Eles apenas enumeram que esses binários existem, mas, na verdade, enormes riscos também podem advir desses binários.”

Abraçar a confiança do software é a chave para concretizar a confiança digital
A confiança digital é mais do que apenas as tecnologias que a tornam possível. Para que as organizações sejam campeãs da confiança digital, devem compreender e implementar ativamente a estrutura, os processos e as atividades que tornam isso possível. Isto inclui acompanhar as mudanças nos padrões da indústria, manter a conformidade com os requisitos regulamentares em cada geografia, gerir o ciclo de vida das tecnologias de confiança digital e alargar a confiança aos ecossistemas digitais.

A confiança no software é fundamental para concretizar a confiança digital. Para alcançar a confiança do software, uma organização deve garantir que seu software seja:

Livre de malware, vulnerabilidades e outras ameaças (detecção de ameaças)
Legitimamente da sua organização, sem qualquer modificação por terceiros (assinatura de código seguro)
Composto por componentes que são todos contabilizados (SBOM)

Perto do final do webinar, Amit disse: “Atualmente, a importância da confiança digital nas cadeias de fornecimento de software e, em particular, nos modelos de IA nunca foi tão grande”. Para esse efeito, ele anunciou uma grande evolução na confiança do software graças à nova parceria da DigiCert com a ReversingLabs.

A DigiCert integrou a análise binária avançada e a detecção de ameaças do ReversingLabs aos fluxos de trabalho do DigiCert Software Trust Manager para garantir que o software esteja livre de malware, adulteração e outros CVEs em um único painel de vidro que uma organização pode controlar centralmente. Essa integração também gera um SBOM abrangente.

O DigiCert Software Trust Manager oferece proteção total de chaves privadas, juntamente com todos os controles e padrões necessários em uma solução madura de confiança de software. Amit prosseguiu dizendo que esta solução conjunta pode ser resumida em três palavras: inspecionar, assinar e enviar.

Serviço
digicert.com