A segurança de Supply Chain está mais vulnerável do que pensamos

A maioria das empresas não tem ideia de que são alvos fáceis para atacantes comuns de habilidade moderada, muito menos adversários apoiados por um Estado-nação com recursos ilimitados.

Editorial convidado por Haroon Meer. Meer é o fundador da Thinkst, a empresa por trás do conceituado Thinkst Canary. Haroon contribuiu para vários livros sobre segurança da informação e publicou uma série de artigos e ferramentas sobre vários tópicos relacionados ao campo. Ao longo da última década (ou duas últimas), ele apresentou pesquisas, palestras e conferências em todo o mundo.
O recente mega-hack SolarWinds conseguiu ganhar as manchetes da mídia em todo o mundo, mas quanto mais eu leio, mais acho que a cobertura da imprensa enterrou o lede.

O incidente é chamado de ataque de “supply chain”, que sugere táticas de tempo de guerra e, aposto, lançará uma dúzia de startups apoiadas por VC. As pessoas estão (com razão) preocupadas com o efeito de arrastamento, já que os invasores do SolarWinds tiveram acesso a várias outras casas de desenvolvimento e também poderiam ter as hackeado.

Isso é definitivamente assustador, mas há uma verdade dura e séria abaixo que na verdade torna isso um pouco pior do que você possa imaginar.

Um resumo resumido de baixa resolução para aqueles (muito poucos) que não prestaram atenção ao incidente:

• A SolarWinds fabrica um produto de gerenciamento de rede chamado Orion, implantado em centenas de milhares de redes em todo o mundo;
• Os invasores invadiram o SolarWinds e chegaram ao ambiente de compilação do SolarWinds;
• Eles comprometeram os pipelines de construção para injetar código malicioso no processo de atualização do SolarWinds;
• Redes em todo o mundo se atualizaram com essa atualização envenenada;
• (Agora comprometidos) Os servidores SolarWinds em todo o mundo atacaram redes internas de organizações selecionadas;
• Quase ninguém descobriu nada disso durante meses, até que uma empresa de segurança descobriu seu próprio compromisso.
Aqui estão as quatro principais razões pelas quais é realmente pior do que pensamos.

O estado da segurança corporativa: embora tenhamos progredido em algumas áreas de segurança da informação (por exemplo, o grau de conhecimento e habilidade necessários para explorar bugs de corrupção de memória em sistemas operacionais modernos), a segurança corporativa ainda está presa com firmeza no início dos anos 2000. Uma rede corporativa consiste em um número incontável de produtos diferentes, unidos com fita isolante por meio de interfaces mal documentadas, onde muitas vezes o padrão para integração de produto é “esta configuração funciona, não toque nisso!”. Qualquer invasor moderadamente habilidoso dizimará uma rede corporativa interna muito antes de ser descoberto, e o tempo médio necessário para obter o Admin do Domínio é medido em horas e dias, em vez de semanas ou meses.

A maioria das organizações, infelizmente, não sabe disso. Eles sabem que gastam dinheiro em segurança e que veem gráficos com caixas vermelhas e verdes e setas acompanhando o progresso. A maioria não tem ideia de que são alvos fáceis para atacantes comuns de habilidade moderada, muito menos adversários apoiados por Estados-nação com recursos ilimitados.

Produtos corporativos: mesmo ignorando a fraqueza que vem com a combinação de muitos produtos (segurança nas juntas), a maioria dos produtos corporativos não resistirá muito bem a testes de segurança sérios. Fornecedores de peso, como Adobe e Microsoft, foram publicamente espancados a melhorar seu jogo anos atrás, mas a queda é acentuada depois deles. Há um carve out interessante para empresas de SaaS online que precisam desenvolver competência em segurança, uma vez que executam sua própria infraestrutura e comprometer seus produtos é o mesmo que comprometê-los. Mas, para produtos instalados em uma rede corporativa, os incentivos são terrivelmente desalinhados. Possuir, digamos, o agente antivírus da Symantec não compromete a Symantec, mas sim você (quem o está executando) e essa separação faz toda a diferença.

As redes corporativas têm muitas partes móveis: nos últimos anos, hackers criativos exploraram software em lugares que nunca sabíamos que estavam executando software. A equipe Thunderstrike executou código em adaptadores VGA da Apple. Ang Cui escreveu exploits para monitores e telefones de escritório. Bunnie e xobs executaram código em cartões SD e várias pessoas já executaram Linux em controladores de disco rígido. Isso deixa claro que a rede média de um escritório está conectada a dezenas e dezenas de tipos de dispositivos que nunca passarão por uma auditoria regular, mas que são capazes de ocultar invasores e injetar danos em sua rede.

Avaliações de risco de terceiros: a piada que rolou após o incidente foi que a SolarWinds havia impactado negativamente centenas de empresas, mas definitivamente passou nas avaliações de risco de terceiros. É um pouco injusto, mas também é verdade. Simplesmente não temos uma boa maneira para a maioria das organizações testar um software como este, e questionários de terceiros sempre foram um substituto fraco. Mesmo se pudéssemos dizer se um produto estava atendendo a uma barra de segurança mínima (usando padrões de segurança, evitando chamadas inseguras, usando redes de segurança em tempo de compilação, etc.), as atualizações automáticas significam que a versão de amanhã do produto pode não ser o produto que você testou hoje. E se o fornecedor não souber quando foi comprometido, provavelmente não saberá quando seu mecanismo de atualização for usado para converter seu produto em um invasor.
Não estou dizendo que as atualizações automáticas são ruins. Acreditamos que eles resolvem problemas importantes, mas introduzem um novo conjunto de variáveis que precisam ser consideradas.
O foco atual na segurança da “cadeia de suprimentos” sem dúvida verá a criação apoiada pelo VC de start-ups de última geração alegando resolver o problema, mas essa parte do problema parece intratável. Este é o pacote “fácil” de software que você conhece: aplicativos instalados em sua infraestrutura e suas dependências. Mas, por um lado, isso ignora os próprios fornecedores do seu fornecedor. Além disso, qual produto fornecerá orientação sobre a proveniência do código em execução em seus monitores (em processadores que nem sabíamos que existiam?). Vamos examinar o firmware no microfone que as pessoas estão usando agora para suas chamadas de Zoom? Vamos reexaminá-lo após a atualização automática? Existem muitos trechos de código conectados para resolver o problema desse ângulo.
Se levar apenas horas ou dias para comprometer com sucesso uma rede interna e se a rede média tiver esconderijos suficientes para invasores qualificados se aprofundarem, o que você acha que acontece quando os invasores podem se mover sem serem detectados por meses?
Vários analistas observando o incidente da SolarWinds apontam (corretamente) que os servidores SolarWinds comprometidos foram instalados em tantas redes que as ondas desse ataque podem ser loucamente exponenciais. O que essa análise omite é que a empresa média executa dezenas e dezenas de SolarWinds semelhantes em todos os lugares.
O ransomware não surgiu da noite para o dia. As redes atingidas por ransomware costumavam ficar vulneráveis por anos e funcionavam sem saber o que fazer até que os invasores descobrissem uma maneira de monetizar esses comprometimentos. A maioria das empresas também está completamente vulnerável à terrível insegurança de seus fornecedores. O incidente da SolarWinds acaba de publicar um plano de como abusar dela.
A situação é terrível não porque estejamos lutando contra algumas leis fundamentais da física, mas porque nos iludimos por muito tempo. Se há uma fresta de esperança nisso, é que os clientes vão exigir mais de seus fornecedores. Prova de que eles passaram por mais do que listas de verificação de conformidade e prova de que eles teriam uma chance de saber quando foram comprometidos. Que mais empresas perguntarão “como nos sairíamos se aquelas caixas no canto se tornassem más? Será que saberíamos?”


Sobre o autor:

Seal
A Seal Sistemas é a maior integradora de soluções de mobilidade do Brasil e atua há mais de três décadas no mercado de computação móvel e captura automática de dados, dando suporte à construção de uma relação de confiança entre o usuário final e mais de 2.000 empresas que integram a sua carteira de clientes dentro e fora do Brasil. Com a missão de apoiar a transformação dos negócios em linha com as mudanças do mercado de consumo, a Seal Sistemas desenvolve e implementa soluções completas de mobilidade e automação para toda a cadeia de suprimentos, em mercados como varejo, indústria, logística e saúde. Seu amplo portfólio conta com tecnologias avançadas como IOT, ESL (etiquetas eletrônicas de prateleira), Voice Picking (coletores de dados por comando de voz), o middleware Kairos Warehouse e o software para automação de chão de lojas Kairos Store, além de soluções tradicionais para captura automática de dados, como impressoras, leitores de código de barras e infraestrutura para redes sem fio locais e metropolitanas. Mais informações: seal.com.br

Deixe um comentário