Os riscos da cadeia de suprimentos de software não mostram sinais de diminuição. Em 2023, a taxa desses ataques foi o dobro do total combinado de ataques observados de 2019 a 2022.
A proteção da cadeia de suprimentos é notoriamente complicada, mas por que especificamente? De acordo com o Annual State of the Software Supply Chain Report da Sonatype, 96% dos ataques se basearam em uma vulnerabilidade de software de código aberto (OSS) que já tinha uma correção disponível, enquanto apenas 4% dos ataques foram considerados "inevitáveis". Considerando as diversas consequências do comprometimento do OSS, por exemplo coleta de credenciais e perda de dados financeiros, por que tantos desses ataques "evitáveis" ainda são bem-sucedidos?
Muitas vezes, o verdadeiro problema é de visibilidade, ter um sistema para proteger adequadamente os pacotes OSS e entender quais são vulneráveis em primeiro lugar. E, como esses ataques continuam a aumentar exponencialmente, esse problema mais amplo se torna mais importante do que nunca. Continue lendo para descobrir:
O que torna os pacotes OSS suscetíveis à exploração
Por que as organizações frequentemente ignoram o software comprometido e se colocam em risco
Quatro práticas recomendadas para evitar vulnerabilidades comuns de OSS e reduzir a probabilidade de ataques
Manter-se à frente dos ataques a OSS pode ser um desafio assustador para as organizações. De acordo com uma estimativa, um de cada oito downloads de componentes de código aberto em 2023 continha um risco de segurança conhecido, além dos mais de 200 milhões de pacotes maliciosos que foram detectados no mesmo ano.
Aqui estão vários motivos pelos quais esses ataques continuam sendo tão predominantes (e difíceis de evitar):
À medida que continuam a evoluir, os ataques a OSS frequentemente passam despercebidos pelas medidas de segurança comuns. Por exemplo, um ataque a OSS usou scripts de pré-instalação e táticas de personificação de funcionários para atingir um banco e instalar software malicioso nos sistemas do alvo. Em seguida, o invasor entregou um conteúdo malicioso de segundo estágio usando um subdomínio legítimo, que incorporava o nome do banco visado e, portanto, tinha maior probabilidade de evitar ser sinalizado pelos sistemas de segurança.
Os invasores não só estão usando métodos sofisticados para não serem detectados, como também mudaram seu foco de sistemas isolados e aplicativos para pontos fracos em ferramentas de DevOps, plataformas, repositórios de código aberto e componentes de software. Um exemplo é visar scripts de código aberto executados no lado do cliente, já que a maioria das ferramentas de segurança de OSS se concentra no código do lado do servidor. Em um exemplo dessa tática, os pesquisadores de segurança descobriram que rastreadores JavaScript de terceiros incorporados em sites que usam o Login com Facebook poderiam ser usados para coletar dados de login do Facebook.
Os ataques a OSS podem ser realizados por meio de vários métodos, desde enganar as vítimas para que façam o download de pacotes maliciosos até comprometer as atualizações de software. E, considerando o tempo que esses ataques permanecem sem serem detectados,às vezes, semanas ou meses, corrigir as vulnerabilidades o mais rápido possível é de extrema importância.
No entanto, quando as organizações usam software desatualizado ou sem manutenção, a realização de atualizações essenciais se torna um processo trabalhoso e demorado, o que pode aumentar o risco de comprometimento e ataque.
Até que ponto esse problema pode ser evitado? De acordo com o relatório de 2023 da Sonatype, há aproximadamente "10 versões superiores [de componentes de software] disponíveis" para cada atualização arriscada que as organizações fazem.
Em casos ainda mais insidiosos, as atualizações automáticas de software são comprometidas por invasores, fazendo com que usuários desavisados acionem inadvertidamente ações maliciosas. Em um ataque, cerca de três milhões de usuários foram alvo de atualizações maliciosas de pacotes Python e PHP, que tentaram colher credenciais da AWS.
Outras atualizações maliciosas podem levar meses ou até anos para serem executadas, induzindo os usuários a uma falsa sensação de segurança, uma vez que eles já examinaram e confiaram em determinados pacotes de software, como o pacote npm inativo que tentou exfiltrar as chaves privadas do Ethereum após oito meses de relativo desuso.
Dada a prevalência e a natureza multifacetada dos ataques a OSS, é quase impossível para as organizações corrigir todos os programas, rastrear todos os componentes de software e catalogar todas as possíveis vulnerabilidades em seu ambiente. No entanto, ainda há várias medidas que as organizações podem adotar para mitigar as maiores ameaças, incluindo:
Na maioria das vezes, as práticas inadequadas de verificação abrem a porta para riscos e ataques a OSS. Ao avaliar projetos e softwares de código aberto, as organizações devem tomar medidas para garantir que não estejam apenas implementando a versão mais atual do software, mas também que tenham tempo para avaliar se esse software está sendo ativamente revisado quanto a vulnerabilidades e atualizado de acordo.
Em 2023, mais de dois bilhões de downloads de OSS tinham vulnerabilidades conhecidas e correções disponíveis para elas. Embora nem todas as vulnerabilidades possam ser exploradas por invasores, as organizações devem tomar medidas para melhorar sua postura de segurança, avaliando os pacotes de OSS em seu ambiente e aplicando correções sempre que possível.
A correção de todas as vulnerabilidades pode ser uma meta irreal para a maioria das organizações, mas a priorização dos riscos e das atualizações mais importantes pode ajudar a mitigar os ataques que provavelmente causarão os maiores danos.
Uma estrutura de segurança abrangente, como a Zero Trust, pode ajudar a reduzir a superfície de ataque de uma organização e mitigar os riscos de vulnerabilidades de OSS não corrigidas. Em uma arquitetura Zero Trust, nenhuma entidade é inerentemente confiável por padrão e cada solicitação a cada recurso é verificada com base na identidade e em outros sinais contextuais. Isso significa que, mesmo que um invasor comprometa um dispositivo ou uma parte da infraestrutura, é muito difícil para ele se mover lateralmente ou escalar privilégios em um ambiente de TI. Além disso, ao estender a abordagem "não confiar por padrão" para a atividade web, as organizações podem isolar a navegação na internet e os dispositivos de códigos on-line potencialmente arriscados.
A proteção contra os ataques modernos a OSS exige que as organizações examinem e protejam cada estágio do ciclo de vida de desenvolvimento de software, bem como desenvolvam um entendimento completo do software que adotam: primeiro, para identificar correções críticas para vulnerabilidades identificadas anteriormente e, em seguida, para priorizar os maiores riscos e fazer as atualizações necessárias.
A Cloudflare foi projetada para ajudar as organizações a se manterem à frente das ameaças modernas e emergentes, incluindo ataques à cadeia de suprimentos de software, e a recuperar o controle e a visibilidade em todos os lugares, nos ambientes de TI, no ciclo de vida dos ataques e em todo o mundo. Especificamente, as organizações podem adotar a plataforma unificada e inteligente da Cloudflare para fortalecer a segurança em áreas críticas como:
Descoberta de scripts de terceiros de código aberto do lado do cliente usados pelos aplicativos web
Proteção dos aplicativos web contra explorações de vulnerabilidade em software de código aberto e contra scripts maliciosos de código aberto no lado do cliente
Melhorar a visibilidade e o controle da ameaça em todo o portfólio digital
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Obtenha o e-book Fortaleça a segurança em todos os lugares onde você faz negócios para saber como a Cloudflare ajuda as organizações a proteger seus dados contra vulnerabilidades e explorações de software.
Após ler este artigo, você entenderá:
Em 2023, houve duas vezes mais ataques à cadeia de suprimentos do que nos quatro anos anteriores juntos
Por que as organizações não detectam vulnerabilidades críticas de OSS
Quatro dicas para minimizar os riscos de OSS