Hacking da SolarWinds é um dos mais devastadores da história

Hacking da SolarWinds é um dos mais devastadores da história. Hackers violaram software e infiltraram em milhares de empresas e governos. 

Ainda estão surgindo detalhes sobre o escopo total e a escala do ataque cibernético que teve como alvo o fornecedor de software  e comprometeu os sistemas de várias das maiores empresas públicas e agências governamentais dos Estados Unidos, mas as lições que ele transmite sobre onde as vulnerabilidades ainda se escondem na cadeia de suprimentos de terceiros que ainda não pode ser compreendida. 

Hackers supostamente financiados por um governo estrangeiro comprometeram as redes de computadores do fabricante de software americano SolarWinds e implantaram uma atualização maliciosa em seu software Orion, para infectar redes do governo americano e de organizações comerciais que o utilizam. Várias agências do governo federal Americano, incluindo os departamentos do Tesouro e do Comércio dos EUA, tiveram alguns de seus sistemas de computador violados como parte dessa campanha de espionagem.

Em um de segurança, a SolarWinds informou que as versões desde 2019.4 HF 5 até 2020.2.1 de seu software Orion foram afetadas e aconselhou os clientes a atualizá-las para a versão 2020.2.1 HF 1 o mais rápido possível. A empresa informou que outra atualização (versão 2020.2.1 HF 2) deve ser publicada amanhã, terça-feira, 15 de dezembro de 2020, que substituirá o componente comprometido e fornecerá melhorias de segurança adicionais.

O governo dos EUA está ciente desses fatos e estamos tomando todas as medidas necessárias para identificar e corrigir quaisquer problemas potenciais associados a esta situação”, disse o porta-voz do Conselho de Segurança da Casa Branca, John Ulliott. Depois que o ataque cibernético foi descoberto, a Casa Branca convocou o Conselho de Segurança Nacional dos EUA para discutir as consequências do roubo de dados. A comunidade de inteligência dos EUA teme que os hackers que realizaram os ataques possam usar um método semelhante para invadir outras agências governamentais.

Em seu relatório, os especialistas da FireEye chamam o malware de Sunburst. A Microsoft o chamou de Solorigate e adicionou regras de detecção ao Windows Defender. De acordo com o relatório FireEye, a campanha de espionagem não visa somente os EUA, podendo atingir “organizações públicas e privadas em todo o mundo. As vítimas incluem organizações governamentais, empresas de consultoria, tecnologia, telecomunicações e mineração na América do Norte, Europa, Ásia e Oriente Médio. É esperado que haja mais vítimas em outros países e áreas ”, disse.

A notícia do ataque cibernético – suspeito de ter sido perpetrado por hackers russos – veio em 8 de dezembro, quando a firma de segurança cibernética FireEye divulgou  que havia sido hackeado por “um atacante patrocinado pelo estado altamente sofisticado“. Os hackers “operaram clandestinamente, usando métodos que se opõem a ferramentas de segurança e exames forenses. Eles usaram uma nova combinação de técnicas não testemunhada por nós ou nossos parceiros no passado ”, disse FireEye.

O ataque cibernético remonta ao fornecedor de software de gerenciamento de rede de terceiros SolarWinds, no qual os hackers implantaram código malicioso em uma atualização de software para produtos SolarWinds Orion, permitindo que os hackers ganhem uma posição na rede e ganhem credenciais elevadas, de acordo com a análise da Microsoft do ataque. Depois de implantado, o software se conectava a um servidor controlado pelos hackers, permitindo-lhes lançar novos ataques contra os clientes da SolarWinds e roubar seus dados.

Entre seus mais de 300.000 clientes, a SolarWinds disse em um documento regulatório de 14 de dezembro que acredita que “menos de 18.000” clientes podem ter instalado os produtos Orion que continham essa vulnerabilidade. No mesmo processo regulamentar, a SolarWinds disse que suas ferramentas de e-mail e produtividade de escritório do Microsoft Office 365 também foram comprometidas.

A vulnerabilidade foi instalada em atualizações lançadas pela primeira vez em março, mas um documento de uma agência federal indica que os hackers invadiram o sistema há um ano. A escala potencial da violação é alarmante, visto que os clientes da SolarWinds incluem 425 empresas da Fortune 500, 10 das maiores empresas de telecomunicações dos EUA, as cinco principais empresas de contabilidade dos EUA, centenas de universidades e faculdades e várias agências de defesa federais.

O ciberataque da SolarWinds está longe de ser um incidente isolado. De acordo com seu Relatório de Defesa Digital de 2020 , a Microsoft disse que “entregou mais de 13.000 notificações a clientes atacados por países nos últimos dois anos e observou um rápido aumento na sofisticação e nos recursos de segurança operacional. A divulgação recente da FireEye é consistente com os ataques que observamos.

Os sistemas das agências federais dos EUA também foram comprometidos no ataque, forçando a Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna dos EUA (CISA) a emitir uma diretiva de emergência ordenando que todas as agências federais desconectem imediatamente os produtos Orion afetados de suas redes. No setor privado, aqueles que são particularmente vulneráveis ​​são empreiteiros de defesa, empresas de tecnologia, telecomunicações, bancos e muito mais.

Contramedidas de segurança cibernética

Segundo o site Compliance Week A proliferação de ciberataques de estado-nação como este, e o fato de que os hackers estão cada vez mais sofisticados nos métodos que estão usando, destaca a necessidade crítica de que o setor privado e os governos compartilhem atividades de ameaças entre si. – dizem especialistas em segurança. Conforme declarou a Microsoft , “isso exige que os legisladores, a comunidade empresarial, as agências governamentais e, em última instância, os indivíduos façam uma diferença real, e só podemos ter um impacto significativo por meio do compartilhamento de informações e parcerias”.

Além da necessidade de melhores técnicas de compartilhamento de informações entre os setores público e privado, “Respondendo à pergunta, ‘o que poderíamos ter feito de forma diferente?’ é meio evasivo agora ”, diz Dan Petro, pesquisador-chefe da Bishop Fox, uma consultoria de segurança cibernética. É provável que isso resulte em um maior escrutínio de fornecedores terceirizados, diz ele.

Talvez uma maior visibilidade sobre o que as empresas realmente fazem para manter a segurança seja algo em que insistimos após esse tipo de evento”, acrescenta Petro. Dito isso, nada indica negligência por parte da SolarWinds. Até que saibamos mais sobre a intrusão inicial, é difícil concluir o que poderia ter sido feito de forma diferente, diz ele.

O ataque cibernético da SolarWinds serve como um alerta terrível sobre a necessidade de estar constantemente vigilante sobre as ameaças que se escondem nas profundezas da cadeia de suprimentos de terceiros, e que começa com a higiene básica da segurança cibernética. No mínimo, as empresas devem garantir que tomarão as seguintes medidas para fortalecer suas próprias práticas de segurança cibernética:

Reúna os fatos imediatamente. FireEye , Microsoft , SolarWinds e CISA compartilham informações para os profissionais da indústria de segurança usarem para encontrar e mitigar atividades mal-intencionadas em potencial relacionadas ao ataque cibernético da SolarWinds. A FireEye, por exemplo, disse que desenvolveu mais de 300 contramedidas para seus clientes e a comunidade de segurança em geral usarem para minimizar o impacto potencial.

Reavalie sua higiene de segurança cibernética. Empresas de todos os tamanhos devem “certificar-se de que entendem onde seus dados estão, se os dados são classificados, se os controles de acesso corretos estão em vigor e que ferramentas fortes para auditoria e detecção de anomalias são colocadas em prática“, diz Kunal Anand, chefe diretor de tecnologia da Imperva. As equipes de segurança precisam saber onde seus dados estão o tempo todo em todos os ambientes, como eles são usados ​​e quem tem acesso a eles para aplicar os controles apropriados.”

Não ignore as enésimas partes. “O risco da cadeia de suprimentos de software está longe de ser um conceito novo”, diz Anand. “Ao longo da última década, vimos muitos casos do que acontece quando a cadeia de suprimentos é adulterada e subsequentemente contaminada. O que torna esse problema intratável é que todas as empresas, quer reconheçam ou não, dependem de uma cadeia de suprimentos de software para aplicativos internos e de terceiros.

Como o hack da SolarWinds ilustra, não é apenas o próprio aplicativo de terceiros que pode representar uma ameaça cibernética para as empresas. “São todos os componentes que entram na entrega, execução e verificação da função do aplicativo, incluindo serviços e componentes que interagem com ele”, diz Anand.

Em sua essência, o ataque cibernético da SolarWinds destaca as partes mais profundas da cadeia de fornecimento de fornecedores terceirizados que as empresas geralmente ignoram em termos de devida diligência. “Uma empresa pode ter os melhores controles de segurança do mundo, mas isso não significa que seus fornecedores em sua cadeia de suprimentos de software tenham”, diz Anand. O ataque cibernético da SolarWinds destaca a importância de supervisionar adequadamente não apenas os fornecedores de primeira linha, mas também os fornecedores dos fornecedores – os chamados enésimos partes.

Aproveite a tecnologia. Para descobrir vulnerabilidades e ameaças cibernéticas que estão incorporadas nas camadas mais profundas da cadeia de suprimentos de terceiros e mitigar ataques como os métodos secretos usados ​​no ataque SolarWinds, as empresas precisam aproveitar o poder da inteligência artificial, diz Jennifer Bisceglie , CEO da empresa de análise de cadeia de suprimentos Interos. Isso quer dizer que as empresas precisam alavancar ferramentas que permitam “resiliência operacional voltada para o futuro“, diz ela, onde você está mapeando a cadeia de suprimentos de terceiros maior e estendida até as enésimas partes em tempo real e monitorando-as continuamente fornecedores. Esses recursos simplesmente não são viáveis ​​em escala por meio de processos manuais dirigidos por humanos, diz Bisceglie.

Embora não exista uma solução mágica para prevenir totalmente os ataques cibernéticos sofisticados de estado-nação como os que vitimaram a SolarWinds e seus clientes, aumentando o compartilhamento de informações entre os setores público e privado e adotando tecnologias de IA que podem mapear e monitorar todo o terceiro O ecossistema da cadeia de suprimentos de terceiros em tempo real, além de seguir as melhores práticas no espaço de segurança cibernética – como as orientações mais recentes do Instituto Nacional de Padrões e Tecnologia (NIST) – é um bom ponto de partida. Além disso, este documento do NIST fornece uma lista útil de perguntas de segurança cibernética a serem feitas para determinar o nível de vulnerabilidade das práticas de segurança cibernética de seus fornecedores.

 

Fonte: CISO Advisor & Compliance Week & Dark Reading 

 

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Hacking da SolarWinds é um dos mais devastadores da história – Neotel Segurança Digital
  2. Importância do aprendizado contínuo de cibersegurança e privacidade
  3. Implantação do trabalho remoto exige estratégia e gerenciamento de risco
  4. O que é microssegmentação!

Deixe sua opinião!