Como proteger sua empresa contra ataques à cadeia de suprimentos

Muitas empresas e MSPs ainda estão se recuperando do ataque à cadeia de suprimentos que ocorreu em dezembro de 2020. Até mesmo agências governamentais dos EUA, como o Departamento de Justiça (DOJ), não foram poupadas, pois os hackers violaram seus sistemas de TI usando o aplicativo SolarWinds Orion como ponto de entrada. No caso do DOJ, os hackers conseguiram acessar as contas de e-mail de alguns de seus funcionários.

As informações mais recentes sobre esse ataque à cadeia de suprimentos, conforme descrito neste artigo da ZDNet, indicam que os hackers usaram um total de quatro cepas de malware: Sunspot, Sunburst (Solorigate), Teardrop e Raindrop. Essas linhagens de malware foram usadas em uma sequência sofisticada de ataques escalonados. Primeiro, o Sunspot foi usado para atacar o processo de criação de software do fornecedor e inserir o malware Sunburst no software Orion. O malware Sunburst coletava dados em redes infectadas e os enviava a um servidor remoto.

Nos casos em que os invasores desejavam intensificar ainda mais o ataque, eles utilizavam o Sunburst para instalar o malware Teardrop ou Raindrop. Ambos são backdoors que os invasores usavam para “ampliar seu acesso dentro de uma rede de TI invadida”. Portanto, as equipes de segurança devem verificar seus ambientes de TI em busca dessas quatro variantes de malware.

Dicas eficazes para proteger melhor sua empresa 

Com base em sua investigação sobre o ataque, a empresa de segurança Cycode sugere seis medidas de segurança que sua organização deve adotar para reduzir sua exposição ao risco.

A Cycode recomenda reforçar os controles de acesso da sua infraestrutura com:

• Visibilidade e inventário completos de todos os ativos - Qualquer ativo que não seja monitorado pode se tornar uma vulnerabilidade para o seu ecossistema.
• Autenticação multifator (MFA) - As senhas, por si só, não podem proteger as contas, especialmente aquelas que são tão simples como "password123". A MFA oferece uma camada extra de proteção, dificultando o acesso dos hackers aos seus sistemas.
• Auditoria de sistemas - Livre-se das credenciais padrão em seus sistemas e aplique políticas rigorosas de senha.
• Aplicação de políticas de privilégios – Um usuário com privilégios tem acesso administrativo a todos os seus sistemas críticos. Gerenciar e monitorar todas as contas com privilégios é essencial para uma segurança melhor.

Outra empresa de segurança, a Tempered Networks, sugere que uma abordagem de “confiança zero” deve ser implementada para reforçar a segurança organizacional. Esse mecanismo inclui:

• Microsegmentação de rede – O acesso à rede com modelo Zero Trust (ZTNA) aplica políticas que determinam o que um usuário pode acessar. Como as aplicações ficam separadas nessa arquitetura, os administradores podem definir permissões de acesso em um nível muito granular.
• Verificação de dispositivos e autenticação de usuários – O acesso só é concedido quando o usuário comprova sua identidade e se está protegido. Por meio de várias validações, o ZTNA permite o acesso apenas a usuários verificados.

Como os MSPs podem proteger seus clientes?

Os MSPs podem adotar uma abordagem proativa e oferecer serviços de centro de operações de segurança (SOC), tais como:

Segurança de terminais 

Os MSPs podem proteger os endpoints de seus clientes com -

• Monitoramento de logs de eventos - o monitoramento de logs de eventos para todas as máquinas Windows e MacOS é crucial para rastrear eventos em todos os dispositivos a partir de um console unificado.
• Detecção proativa de ameaças – Identificar proativamente incidentes de segurança antes que causem danos pode proteger seus clientes contra perdas significativas para seus negócios.
• Detecção de intrusão - os MSPs podem definir alertas para detectar atividades suspeitas e impedir que invasores assumam o controle de outros sistemas.
• Antivírus/antimalware de última geração (NGAV) de terceiros - a integração com soluções NGAV oferece detecção avançada de ameaças em terminais, em vez de simplesmente procurar assinaturas de malware conhecidas.

Segurança de rede

Os MSPs podem fornecer monitoramento de registros de firewall e dispositivos de borda integrados a serviços de reputação de ameaças (TRS) e serviços de pesquisa de Whois e DNS.

O TRS inclui a realização de avaliações frequentes de ameaças contra sites, arquivos, nomes de domínio e outras entidades semelhantes para categorizar o número de vezes que essas entidades foram associadas a atividades mal-intencionadas, com base no comportamento passado observado e na inteligência compartilhada.

Segurança na nuvem

Os serviços de segurança em nuvem mencionados abaixo podem ser fornecidos por MSPs para manter os dados em nuvem de seus clientes protegidos.

• Monitoramento do log de eventos de segurança do Microsoft 365
• Backup de dados do Microsoft Office 365, Google G Suite e Salesforce
• Monitoramento do Azure Active Directory (AD)
• Logins maliciosos do Microsoft 365 e
• Pontuação de segurança do Azure

Embora ainda não saibamos a extensão do ataque do Orion, as organizações temem que algo mais esteja por vir. Durante esses tempos de incerteza, é essencial que as empresas redobrem seus esforços de segurança cibernética.

Saiba mais sobre como você pode melhorar sua postura de segurança participando do nosso webinar “Reforçando a segurança de TI em 2021”. Inscreva-se agora!