As equipes forenses ainda estão investigando como os hackers foram capazes de explorar o sistema de patches da SolarWinds para atacar várias organizações comerciais e governamentais de alto nível, incluindo a Microsoft e o Departamento de Justiça dos Estados Unidos, bem como outros clientes do fornecedor de software de monitoramento de segurança.
No dia 13 de dezembro de 2020, foi revelado que a SolarWinds, empresa de software de gerenciamento de TI com sede em Austin nos Estados Unidos, foi atingida por um ataque à cadeia de suprimentos que comprometeu as atualizações de sua plataforma de software Orion. Como parte desse ataque, os cibercriminosos inseriram seu próprio malware, agora conhecido como Sunburst ou Solorigate, nas atualizações, distribuídas para muitos clientes SolarWinds.
Logo foi revelado que os ataques do SolarWinds afetaram outras organizações, incluindo gigantes da tecnologia e agências governamentais dos Estados Unidos. Felizmente, a ameaça imediata do ataque foi atenuada por uma resposta rápida de várias empresas e agências, bem como uma correção foi criada pelas empresas Microsoft e FireEye.
Ao mesmo tempo, especialistas de uma variedade de provedores de serviços de segurança, incluindo aqueles que oferecem testes de penetração, varredura de vulnerabilidade e análises de código de software, aconselham as empresas a agir agora para reforçar a segurança de seu próprio negócio.
A violação do SolarWinds foi revelada pela primeira vez no final de 2020, embora os ataques possam ter começado em 2019, e agora inclui a descoberta de duas backdoors criadas por malware.
O primeiro, denominado Sunburst, foi associado a inúmeras infecções na cadeia de abastecimento e ataques de estado-nação, e o segundo, denominado Supernova, não é um ataque à cadeia de abastecimento, mas sim malware que exigiu a exploração de uma vulnerabilidade no programa de software Orion recentemente corrigido pela SolarWinds.
O governo dos EUA e especialistas em segurança cibernética ainda estão descobrindo os danos causados pelas duas infecções.
Separamos uma lista de cinco lições aprendidas para ajudar as empresas a detectar e evitar um ataque do tipo SolarWinds ou outros semelhantes, a exemplo dos recentes ataques a JBS, a varejista Lojas Renner, laboratórios Fleury e à rede interna da Secretaria do Tesouro Nacional.
Essas práticas recomendadas também reduzem o “ruído de ameaça” em toda a empresa, permitindo que uma organização identifique e trate rapidamente de comportamentos suspeitos.
Simule um ataque de ransomware em sua empresa
Os ataques de ransomware são uma grande preocupação para empresas de todos os tamanhos, mas poucas organizações sabem exatamente simular um ataque em sua própria rede.
Já existem no mercado empresas especializadas em simular ataques reais de ransomware, utilizando um dispositivo remoto para replicar o comprometimento da rede, simulando, por exemplo, uma vulnerabilidade da cadeia de suprimentos, como o que aconteceu com SolarWinds.
A partir daí, a empresa especializada nos testes de segurança procura ver o que podem acessar, movendo lateralmente para depositar cargas úteis de ransomware e replicando os mesmos comportamentos de um cibercriminoso, verificando até onde podem ir em relação à estrutura de rede.
A empresa observa ainda a falta de patches e caminhos inseguros que são vulneráveis a um ataque real de ransomware.
Teste o software de seus fornecedores quanto a vulnerabilidades
Embora as empresas possam solicitar a validação de terceiros do software de um fornecedor para verificar um conjunto de requisitos de conformidade, as próprias organizações devem assumir a responsabilidade pela integridade da solução que trazem para a rede.
Se você, como empresa, não está prestando atenção ao que está introduzindo em termos de código de software ou aplicativos de provedores de serviços, está se deixando vulnerável a um atauqe como o SolarWinds, JBS, Renner, etc.
As avaliações de segurança para todas as compras de software e SaaS devem ser centralizadas para que os aplicativos possam ser testados e validados adequadamente.
Não dependa de desenvolvedores internos para testar software desenvolvido internamente
Os desenvolvedores não devem ter a palavra final sobre a segurança de seu código. Eles não são especialistas em segurança e podem ser aqueles que inseriram código malicioso, intencionalmente ou não.
Para descobrir um tipo de problema da SolarWinds, você precisa pensar de forma diferente do que um desenvolvedor sobre o que você está procurando, incluindo quem tem acesso aos seus sistemas.
Quando os desenvolvedores terminam suas revisões ou atualizações concluídas, o grupo envia para os testadores para procurar código malicioso e ameaças internas. Isso também deve se aplicar a sua arquitetura de rede. Ao implementar qualquer dispositivo ou configuração, ela deve ser avaliada por especialistas em segurança independentes.
Certifique-se de ter registros e pode acessá-los
Normalmente os clientes ligam e dizem: “ocorreu uma violação”, ao questioná-los sobre seus registros, a principal resposta que ouvimos é “não temos registros”. E isso acontece com empresas de todos os tamanhos e em todos os setores.
As empresas precisam ter a capacidade de compartilhar logs de firewall, de estações de trabalho, de servidores, do sistema de detecção de intrusão / prevenção de intrusão. Basicamente qualquer log da organização que mostre o tráfego de entrada / saída.
Caso contrário, as equipes de segurança não podem dizer se todos os patches foram aplicados, se serviços desnecessários foram fechados e se outros esforços de correção funcionaram.
Exija que os fornecedores façam avaliações contínuas de segurança e risco de sua solução, não apenas avaliações pontuais
Essa dica se aplica a soluções de hardware, software e serviços. Uma das desvantagens de uma abordagem tradicional de aquisição de produtos e serviços, é que os fornecedores podem mostrar uma avaliação pontual que reflete uma postura de segurança forte, mas não dá a imagem completa. Você recebe uma avaliação no início de seu contrato e, em seguida, nada mais acontece.
Na prática, as empresas devem exigir avaliações contínuas de segurança e risco de seus fornecedores quando eles assinam seus contratos iniciais e subsequentes. Muitos fornecedores hesitam em divulgar essas informações porque há poucos incentivos para ser transparente.
Conforme essas lições aprendidas são implementadas, as empresas devem tentar reduzir o estigma em torno do uso de serviços de segurança externos
A exemplo de revisões de código, pen testing e varreduras de vulnerabilidade. Os líderes de negócios precisam a quebrar velhos estigmas sobre equipes de TI e desenvolvedores. É preciso lançar uma luz e ajudar a encontrar vulnerabilidades, mitigar e reduzir os riscos de uma organização.
Sobre a Total Links
Criada em 1993, nos princípios da Internet, a empresa foi se desenvolvendo sobre os resultados gerados que foram sendo diretamente reinvestidos na própria rede de atendimento a seus clientes. Como alternativas, a tecnologia foi trazendo opções de novas soluções como por exemplo as redes de rádio microondas. Tecnologia que naquela ocasião era muito simples e suscetível a intempéries e instabilidades.
Com o tempo a Brasilsite percebeu e se preparou para as crescentes necessidades de eficiência real, tais as demandas que a Internet trazia no seu bojo, desde a importância do correio eletrônico até ao acesso a aplicações, a evolução do Internet Banking e emissão de notas fiscais eletrônicas, até o ´mundo´ que a Internet se tornou nos dias de hoje, suas evoluções constantes e dinâmicas.
O que queremos aqui deixar é um compromisso que envolve toda a nossa empresa e a relação com nossos clientes; é o nosso PROPÓSITO de oferecer as melhores soluções, os melhores produtos e o melhor atendimento, no menor prazo possível.
Nosso PROPÓSITO há de refletir-se na melhoria do relacionamento com todos, nossa equipe com dedicação total e nossos clientes plenamente SATISFEITOS.
