O setor de segurança coletivamente perde a cabeça quando novas vulnerabilidades são descobertas no software. OpenSSL não é exceção, e duas novas vulnerabilidades sobrecarregaram os feeds de notícias no final de outubro e início de novembro de 2022. A descoberta e a divulgação são apenas o começo desse ciclo de vulnerabilidade sem fim. As organizações afetadas enfrentam uma remediação, o que é especialmente doloroso para quem está na linha de frente da TI. Os líderes de segurança devem manter uma estratégia eficaz de segurança cibernética para ajudar a filtrar parte do ruído sobre novas vulnerabilidades, reconhecer os impactos nas cadeias de suprimentos e proteger seus ativos de acordo.
Os ataques à cadeia de suprimentos não vão desaparecer
Em aproximadamente um ano, sofremos graves vulnerabilidades em componentes, incluindo log4j, Spring Framework e OpenSSL. A exploração de vulnerabilidades mais antigas também nunca cessa de implementações mal configuradas ou que usam dependências vulneráveis conhecidas. Em novembro de 2022, o público soube de um campanha de ataque contra o Poder Executivo Federal Civil (FCEB), atribuível a uma ameaça iraniana patrocinada pelo Estado. Essa entidade federal dos EUA estava executando a infraestrutura VMware Horizon que continha a vulnerabilidade Log4Shell, que serviu como o vetor de ataque inicial. O FCEB foi atingido por uma cadeia de ataque complexa que incluía movimento lateral, comprometimento de credenciais, comprometimento do sistema, persistência de rede, bypass de proteção de endpoint e cryptojacking.
As organizações podem perguntar "por que consumir OSS?" após incidentes de segurança de pacotes vulneráveis como OpenSSL ou Log4j. Os ataques à cadeia de suprimentos continuam aumentando porque a reutilização de componentes faz “bom sentido comercial” para parceiros e fornecedores. Nós projetamos sistemas reaproveitando o código existente em vez de construir do zero. Isso é para reduzir o esforço de engenharia, dimensionar operacionalmente e entregar rapidamente. O software de código aberto (OSS) é geralmente considerado confiável em virtude do escrutínio público que recebe. No entanto, o software está em constante mudança e surgem problemas devido a erros de codificação ou dependências vinculadas. Novos problemas também são descobertos por meio da evolução das técnicas de teste e exploração.
Lidando com as Vulnerabilidades da Cadeia de Suprimentos
As organizações precisam de ferramentas e processos adequados para proteger projetos modernos. Abordagens tradicionais, como gerenciamento de vulnerabilidades ou avaliações pontuais, sozinhas, não conseguem acompanhar. Os regulamentos ainda podem permitir essas abordagens, o que perpetua a divisão entre “seguro” e “conforme”. A maioria das organizações aspira obter algum nível de maturidade em DevOps. “Contínuo” e “automatizado” são características comuns das práticas de DevOps. Os processos de segurança não devem diferir. Os líderes de segurança devem manter o foco durante as fases de construção, entrega e tempo de execução como parte de sua estratégia de segurança:
- Digitalizar continuamente em CI/CD: Procure proteger os pipelines de construção (ou seja, shift-left), mas reconheça que você não poderá verificar todo o código e o código aninhado. O sucesso com abordagens shift-left é limitado pela eficácia do scanner, correlação da saída do scanner, automação das decisões de lançamento e conclusão do scanner dentro das janelas de lançamento. As ferramentas devem ajudar a priorizar o risco das descobertas. Nem todas as descobertas são acionáveis e as vulnerabilidades podem não ser exploráveis em sua arquitetura.
- Digitalizar continuamente durante a entrega: O comprometimento do componente e o desvio do ambiente acontecem. Aplicativos, infraestrutura e cargas de trabalho devem ser verificados durante a entrega, caso algo seja comprometido na cadeia de suprimentos digital ao ser obtido de registros ou repositórios e inicializado.
- Verificar continuamente em tempo de execução: A segurança em tempo de execução é o ponto de partida de muitos programas de segurança, e o monitoramento de segurança sustenta a maioria dos esforços de segurança cibernética. Você precisa de mecanismos que possam coletar e correlacionar a telemetria em todos os tipos de ambientes, incluindo ambientes de nuvem, contêiner e Kubernetes. Os insights coletados em tempo de execução devem retroalimentar os estágios anteriores de construção e entrega. Identidade e interações de serviço
- Priorize as vulnerabilidades expostas em tempo de execução: Todas as organizações lutam para ter tempo e recursos suficientes para digitalizar e consertar tudo. A priorização baseada em risco é fundamental para o trabalho do programa de segurança. A exposição na Internet é apenas um fator. Outra é a gravidade da vulnerabilidade, e as organizações geralmente se concentram em problemas de gravidade alta e crítica, pois são considerados os de maior impacto. Essa abordagem ainda pode desperdiçar ciclos de engenharia e equipes de segurança porque elas podem estar perseguindo vulnerabilidades que nunca são carregadas no tempo de execução e que não são exploráveis. Use inteligência de tempo de execução para verificar quais pacotes realmente são carregados em aplicativos e infraestrutura em execução para saber o risco de segurança real para sua organização.
Nós criamos orientação específica do produto para orientar os clientes na recente loucura do OpenSSL.
A mais recente vulnerabilidade OpenSSL e Log4Shell nos lembram da necessidade de preparação para segurança cibernética e estratégia de segurança eficaz. Devemos lembrar que os CVE-IDs são apenas aqueles problemas conhecidos em software ou hardware público. Muitas vulnerabilidades não são relatadas, particularmente fraquezas no código interno ou configurações incorretas do ambiente. Sua estratégia de segurança cibernética deve levar em conta a tecnologia distribuída e diversificada de designs modernos. Você precisa de um programa de gerenciamento de vulnerabilidades modernizado que use insights de tempo de execução para priorizar o trabalho de correção para as equipes de engenharia. Você também precisa de recursos de detecção e resposta a ameaças que correlacionam sinais entre ambientes para evitar surpresas.
Sobre o autor
.png?width=690&quality=80&format=webply&disable=upscale "Os riscos da cadeia de suprimentos o deixaram para baixo? Mantenha a calma e seja estratégico!")
Michael Isbitski, diretor de estratégia de segurança cibernética da Sysdig, pesquisou e aconselhou sobre segurança cibernética por mais de cinco anos. Ele é versado em segurança de nuvem, segurança de contêiner, segurança de Kubernetes, segurança de API, teste de segurança, segurança móvel, proteção de aplicativos e entrega contínua segura. Ele orientou inúmeras organizações em todo o mundo em suas iniciativas de segurança e no suporte a seus negócios.
Antes de sua experiência em pesquisa e consultoria, Mike aprendeu muitas lições difíceis nas linhas de frente de TI com mais de 20 anos de experiência profissional e de liderança focada em segurança de aplicativos, gerenciamento de vulnerabilidades, arquitetura empresarial e engenharia de sistemas.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
