Prevenção de Ataques à Cadeia de Suprimentos

A segurança da cadeia de suprimentos é uma preocupação crescente em meio ao cenário geopolítico cada vez mais complicado. A maioria das organizações trabalha com terceiros – geralmente em países diferentes – para gerenciar seus sistemas e criar, fabricar e entregar seus produtos. No entanto, isso significa que a vulnerabilidade da cadeia de suprimentos é uma ameaça real que pode afetar as operações de uma empresa. A questão é particularmente pertinente agora, pois as empresas dependem cada vez mais de serviços em nuvem, como os da Open AI e Meta, os quais podem criar ameaças significativas.

Muitos países estão agora colocando o gerenciamento seguro da cadeia de suprimentos na agenda nacional, aprovando recomendações e legislações para garantir a integridade dessas redes globais cruciais. No entanto, o ônus continua sendo das empresas para gerenciar suas redes de fornecimento de forma eficaz, especialmente quando muitas funções de negócios são gerenciadas on-line e na nuvem.

Vejamos quais vulnerabilidades da cadeia de suprimentos são mais críticas no ambiente de negócios atual e como mitigar esses riscos.

O que é um ataque da cadeia de suprimentos?

Os ataques da cadeia de suprimentos são ameaças cibernéticas específicas que levam os invasores a violar a rede de uma organização, explorando vulnerabilidades em sua cadeia de suprimentos. Embora a maioria das empresas precise trabalhar com fornecedores terceirizados, esses fornecedores externos geralmente exigem dados confidenciais da empresa para integrá-los em seus sistemas. Se o fornecedor for comprometido, todos os seus clientes – as empresas com as quais eles trabalham – também podem sofrer violações de dados .

Tipos de ataques cibernéticos à cadeia de suprimentos

Um ataque à cadeia de suprimentos pode assumir várias formas, dependendo exatamente de onde na cadeia – e como – um invasor decide atacar uma empresa. Alguns exemplos de ataques da cadeia de suprimentos são:

• Malware : muitos ataques da cadeia de suprimentos são executados através de vírus, ransomware e outros softwares maliciosos.
• Ataques de phishing : podem envolver o uso de técnicas de engenharia social para manipular os funcionários de uma empresa para que revelem dados confidenciais ou credenciais do usuário.
• Negação de serviço distribuída (DDoS) : os ataques DDoS bloqueiam a rede de uma organização com tráfego intenso, causando grandes interrupções que paralisam as cadeias de suprimentos.
• Comprometimento de fornecedores : neste caso, a segurança da cadeia de suprimentos é comprometida ao visar pontos fracos nas redes de fornecedores de uma empresa.
• Fraude do fornecedor : fornecedores não confiáveis podem oferecer produtos e serviços com a segurança da cadeia de suprimentos comprometida.
• Adulteração de software : os invasores podem manipular software autêntico, introduzindo vulnerabilidades que podem ser posteriormente exploradas para realizar ataques.
• Manipulação de dados : onde os invasores falsificam propositadamente dados dentro da cadeia de suprimentos de uma empresa.
• Violações de rede : comprometem as redes, ou dispositivos interconectados, entre fornecedores e clientes; isso pode incluir dispositivos IoT e hardware de rede.

Vulnerabilidades da cadeia de suprimentos

À medida que as cadeias de suprimentos se tornam cada vez mais complicadas, há um aumento correspondente nos desafios da segurança cibernética nas cadeias de suprimentos. Aqui estão algumas das questões mais urgentes no gerenciamento seguro da cadeia de suprimentos hoje:

1. Desempenho abaixo da média do fornecedor, resultante de dependência política ou financeira ou exposição a desastres naturais.
2. Planejamento de demanda complexo, resultante da incapacidade de prever a demanda com precisão.
3. Escassez de mão de obra qualificada em todo o mundo, mais criticamente na compreensão do monitoramento de segurança da cadeia de suprimentos e nas melhores práticas.
4. Uma economia volátil com aumento da inflação e preços previsíveis dificulta a negociação com fornecedores e o gerenciamento eficaz do estoque.
5. Rede de difícil navegação de sanções e regulamentações globais e locais.
6. As tensões geopolíticas podem interromper ou complicar as cadeias de suprimentos.
7. Potencial para danos à reputação de práticas ambientais, sociais e de governança (ESG) abaixo da média entre fornecedores.
8. Potenciais desastres naturais decorrentes de mudanças climáticas.
9. Aumento dos riscos cibernéticos resultantes de uma dependência excessiva da nuvem e de outras tecnologias digitais entre fornecedores e organizações.

Employees e a vulnerabilidade da cadeia de suprimentos

Os funcionários devem ser uma linha de defesa crítica na prevenção de ataques da cadeia de suprimentos para as empresas. Eles podem ter acesso aos dados confidenciais de uma empresa ou credenciais de login que concedem acesso a esses dados. Por esse motivo, alguns ataques da cadeia de suprimentos têm como alvo os funcionários e os transformam em vetores de ataque involuntários. Esses ataques geralmente usam e-mails de phishing e engenharia social para acessar a rede de um fornecedor terceirizado e se infiltrar na rede da empresa alvo.

Por esse motivo, é essencial que as empresas – e os fornecedores que trabalham na cadeia de suprimentos – assegurem que os funcionários entendam as práticas recomendadas de segurança da cadeia de suprimentos. Isso protege a empresa e seus clientes.

Muitas empresas implementam programas rigorosos de treinamento de conscientização dos funcionários como parte de suas estratégias de resiliência da cadeia de suprimentos. Estes podem incluir:

• Exemplos do mundo real para ilustrar como os ataques da cadeia de suprimentos funcionam.
• Golpes de phishing comuns e técnicas de engenharia social.
• Treinamento interativo para impulsionar o aprendizado.
• Ameaças específicas, como malware .
• Implementar o controle de acesso para que os funcionários saibam quem deve ter acesso a quais dados.
• Aprender a trabalhar com segurança com fornecedores terceirizados, como estabelecer requisitos de segurança e realizar auditorias regulares.
• Como gerenciar e compartilhar dados confidenciais de forma apropriada, incluindo a verificação de identidades.
• A importância dos métodos de comunicação seguros.

A Kaspersky oferece vários programas de treinamento e ferramentas que os fornecedores podem achar úteis para aumentar a conscientização dos funcionários sobre a segurança cibernética nas cadeias de suprimentos. Por exemplo, a Kaspersky Security Awareness Tool avalia as habilidades de segurança cibernética dos funcionários, enquanto a Kaspersky Automated Security Awareness Platform oferece conhecimento valioso sobre como mitigar ameaças cibernéticas como phishing e prevenir danos à reputação.

Etapas principais para a segurança da cadeia de suprimentos

Há várias coisas que as empresas podem fazer para aprimorar a segurança da cadeia de segurança em seus negócios. Abaixo estão algumas das ações mais recomendadas:

1. Implemente honeytokens, que atuam como iscas em caso de ataques e alertam as organizações sobre tentativas de violação.
2. Use uma solução de segurança de nuvem robusta.
3. Use uma estrutura de gerenciamento de acesso privilegiado eficaz para impedir a sequência de ataque comum de mover-se lateralmente através de uma rede para encontrar contas privilegiadas para acessar dados confidenciais; isso pode incluir detectar vazamentos de terceiros, implementar o Gerenciamento de Acesso de Identidade e criptografar todos os dados internos .
4. Eduque a equipe sobre ameaças comuns à segurança da cadeia de suprimentos, incluindo golpes de phishing, engenharia social, ataques DDoS e ransomware.
5. Implemente uma arquitetura Zero Trust, que permite o acesso à propriedade intelectual somente após as solicitações de conexão passarem por avaliações rigorosas – isso também é útil para o trabalho remoto.
6. Identifique e mitigue possíveis ameaças internas – embora o envolvimento regular dos funcionários e a cultura de trabalho aberta possam ser úteis para identificar problemas em toda a empresa antes que os funcionários se tornem hostis e potencialmente maliciosos.
7. Identifique recursos vulneráveis conversando com fornecedores e mapeando possíveis vetores de ataque.
8. Limite o acesso a dados confidenciais minimizando o acesso privilegiado e registre todos os funcionários e fornecedores que têm acesso a dados confidenciais.
9. Assegure-se de que os fornecedores tenham medidas de segurança internas delineando padrões e requisitos para acesso e uso de dados em contratos – declare explicitamente que a organização deve ser notificada se o fornecedor sofrer uma violação de dados.
10. Diversifique os fornecedores para mitigar a potencial vulnerabilidade da cadeia de suprimentos.
11. Assuma que as violações de dados são inevitáveis e proteja funcionários, processos e dispositivos contra comprometimento – isso pode incluir o uso de software antivírus, autenticação multifator e soluções de monitoramento da superfície de ataque.
12. Entenda como a escassez global de mão de obra pode afetar as cadeias de suprimentos e encontre estratégias de resiliência da cadeia de suprimentos para isso.

Legalização e segurança da cadeia de suprimentos

Embora a maioria das considerações sobre a cadeia de suprimentos se concentre em empresas, muitos governos estão tomando conhecimento e implementando medidas de segurança em nível nacional. Isso ocorre porque os problemas da cadeia de suprimentos podem ter grandes implicações nacionais.

Abaixo está uma visão geral de como alguns países estão se movendo para aumentar a segurança da cadeia de suprimentos:

A UE

A UE está se movendo para impulsionar o gerenciamento seguro da cadeia de suprimentos com sua nova Diretiva NIS2 . Isso descreve três mecanismos para aumentar a segurança da cadeia de suprimentos: avaliação de risco coordenada a nível da UE; avaliação de risco nacional em nível nacional para os estados membros; e avaliações internas de risco para os negócios.

A conformidade com a Diretiva NIS2 pode exigir que as empresas:

• Considere as vulnerabilidades de cada fornecedor, incluindo suas práticas de segurança cibernética.
• Realizar avaliações de risco das cadeias de abastecimento críticas, conforme descrito no artigo 22.º, n.º 1, e – mais importante ainda – ter em conta os resultados; penalidades financeiras podem resultar se os estados membros/empresas não o fizerem.
• Estabeleça e atualize uma lista de operadores essenciais e assegure-se de que cumprem os requisitos da diretiva.
• Compreender as estratégias nacionais de segurança cibernética.
• Entenda o escopo da rede CSIRT da UE, que pode monitorar ativos habilitados para a Internet.
• Preste atenção à ênfase da diretiva em provedores de software de armazenamento e processamento de dados, gerenciamento de segurança cibernética e editores de software.
• Identifique os riscos e implemente as medidas de mitigação apropriadas.
• Tenha um processo claro para relatar incidentes – e fazê-lo em tempo hábil
• Colabore com os fornecedores para identificar e mitigar os riscos de segurança cibernética.
• Defina as expectativas para a segurança da cadeia de suprimentos com os fornecedores e realize auditorias regulares de conformidade.

O Reino Unido

O Reino Unido dá ênfase significativa à segurança cibernética, especialmente nas cadeias de suprimentos. O Centro Nacional de Segurança Cibernética criou uma Estrutura de Avaliação Cibernética que descreve as estratégias de mitigação de ameaças cibernéticas. O Princípio 8 da Orientação de Segurança na Nuvem da estrutura refere-se especificamente às melhores práticas de segurança da cadeia de suprimentos e serviços em nuvem, que são especialmente vulneráveis a ataques.

O conselho aqui sugere que as empresas entendam:

• Como seus dados são compartilhados e usados pelos fornecedores
• Se os dados do cliente fazem parte disso
• Como o hardware e o software do fornecedor têm medidas de segurança apropriadas
• Como avaliar o risco de um fornecedor
• Como aplicar a conformidade de segurança com os fornecedores

Para garantir acima, a orientação do governo sugere várias abordagens de implementação ao usar serviços em nuvem, incluindo:

• Noções básicas sobre a separação em serviços em nuvem, que podem ser criados em produtos IaaS ou PaaS de terceiros.
• A sensibilidade dos dados deve ser considerada ao fazer avaliações de risco, especialmente ao usar serviços de terceiros.
• Analisar como os serviços de terceiros descrevem a relação de compartilhamento de dados e garantir que ela esteja em conformidade com o GDPR.

Dicas de práticas recomendadas para evitar ataques à cadeia de suprimentos

Embora não seja possível eliminar as ameaças à segurança da cadeia de suprimentos, existem maneiras de mitigar os riscos, especialmente prestando atenção aos fornecedores. Pode ser útil para as organizações:

1. Conduzir e monitorar regularmente avaliações de risco da cadeia de suprimentos para fornecedores terceirizados.
2. Identifique e mitigue quaisquer violações ou vazamentos de dados de terceiros que possam resultar em ataques à cadeia de suprimentos.
3. Descreva um perfil de risco para cada fornecedor e, em seguida, agrupe os fornecedores por nível/tipo de ameaça.
4. Classifique os fornecedores por vulnerabilidade, acesso aos dados e impacto nos negócios.
5. Avalie o gerenciamento da cadeia de suprimentos com pesquisas e visitas ao local.
6. Identifique vulnerabilidades nos sistemas de um fornecedor e solicite melhorias.
7. Avalie a segurança dos produtos e serviços fornecidos pelos fornecedores.

O uso de programas antivírus e de segurança confiáveis, como o Kaspersky Hybrid Cloud Security , também deve fazer parte de uma primeira linha de defesa para cadeias de suprimentos.

Artigos relacionados:

• O que é roubo de dados e como evitá-lo
• Como evitar ataques cibernéticos
• Como proteger a sua privacidade pessoal online

Produtos relacionados:

• Kaspersky Hybrid Cloud Security
• Kaspersky Next
• Kaspersky Managed Detection and Response