Estamos prontos para atualizações maliciosas em massa?

Bem-vindo à segunda publicação da série Future Insights da Forcepoint, que oferece ideias e previsões sobre cibersegurança que podem se tornar preocupações urgentes em 2022.
Esta é a publicação seguinte de Stuart Taylor, Senior Director do Forcepoint X-Labs.
Em novembro de 2020, o incidente do Sunburst chocou o setor. Usando um malware altamente sofisticado escondido em atualizações de software legítimas, os atacantes não apenas exfiltraram dados direcionados, mas também espalharam o malware por um grande número de vítimas.
Foi um ataque excepcionalmente complexo e sofisticado. O malware de exfiltração de dados denominado Sunburst foi entregue por meio do software Solarwinds Orion, uma atualização confiável que chegou a mais de 18.000 organizações públicas e privadas. Permanecendo inativo por até 14 meses, o malware começou então seu trabalho de exfiltração de dados. Este é reconhecido atualmente como o maior exemplo até o momento de um ataque à cadeia de suprimentos, impactando organizações governamentais dos EUA, grandes empresas como FireEye, Microsoft e Deloitte, e milhares de empresas menores. Ainda não entendemos totalmente o quadro completo e, apesar de um patch estar disponível, o malware ativo ainda pode estar à solta.
Olhar em retrospecto é maravilhoso, mas esse ataque à cadeia de suprimentos não foi o primeiro. Em 2017, o Petya alavancou este método, os usuários de Asus Live Update sofreram o mesmo destino em 2019, e e-mails de phishing têm usado iscas de atualização de software para enganar as pessoas para que façam download de malware há vários anos.
Após a comprovação de que uma técnica funciona, e com resultados dramáticos e destacados em manchetes, ataques semelhantes ocorrerão. Nós já vimos a Kaseya, fornecedora de soluções de TI irlandesa, ser atingida por uma técnica similar em meados de 2021, quando sua ferramenta de monitoramento remoto foi infiltrada com malware, permitindo que os atacantes acessassem vários clientes finais.
Assim, em 2022, esperamos ver um aumento significativo nos imitadores criminosos que entregam uma variedade de malwares por meio de atualizações de software.
Uma olhadinha mais atenta para os vetores de ataque de software
Está claro que tanto os Estados-nação quanto os grupos de hackers continuarão a visar fornecedores da cadeia de suprimentos em vários setores. Eu escrevi sobre como a dívida técnica pode tornar as organizações vulneráveis. Essa é uma consideração. Mas como e onde os criminosos estão lançando novos ataques? Quais outros vetores de ataque poderiam ser explorados?
Enquanto ataques como Sunburst e ataques de ransomware perpetrados pelo grupo REvil, como contra a Kaseya e outros, continuam a chamar a atenção do público, um ataque menos relatado em 2021 chamou minha atenção: as quatro vulnerabilidades OMIGOD que afetam o agente de software Open Management Infrastructure (OMI) em máquinas Linux do Azure.
Os projetos de código aberto continuam a crescer exponencialmente. É verdade que a segurança de softwares de código aberto melhorou drasticamente nos últimos 10 anos e não há dúvidas de que as vulnerabilidades dos softwares de código aberto estão sendo corrigidas em um ritmo muito mais rápido. Essas são as notícias boas. Mas também é verdade que os ataques de cadeia de suprimentos de código aberto estão aumentando em ritmo alarmante. No relatório de 2021 sobre o Estado da Cadeia de Suprimentos de Software, a Sonatype estima que 12.000 ataques a projetos de código aberto ocorreram—um aumento de 650% em relação ao ano anterior.
A prioridade competitiva dedicada à inovação e o foco implacável na redução do tempo de colocação no mercado levam as organizações de todos os portes a adotarem projetos de código aberto. Tanto as agências governamentais quanto as organizações do setor privado sentem a pressão para inovar e implementar projetos de software em ritmo cada vez mais rápido. Mas o ditado de "fazer, depois pensar" tem um custo, especialmente do ponto de vista da cibersegurança.
Assim, é fundamental para cada um de nós, tanto no setor público como no privado, priorizar a segurança em todos os projetos de código aberto. O uso de código aberto está em parte relacionado a inovação e tempo de chegada ao mercado. Mas as organizações devem fazer diligência prévia em várias fases ao longo de um projeto. Isso resulta em várias camadas de revisão de código, tanto no início de um projeto quanto ao longo do processo de desenvolvimento e implementação. Não é uma tarefa pequena, é verdade. E fica ainda mais complicada quando consideramos que os exploits podem vir de agentes mal-intencionados externos ou por meio de recursos internos que trabalham nesses projetos.
Como podemos nos proteger?
Uma arma fundamental na luta contra as atualizações de software maliciosas é abordar a dívida técnica. Dívida técnica é a diferença entre o “preço” (tempo, recursos humanos, investimento em tecnologia) que um projeto técnico precisa custar para ser perfeito e preparado para o futuro, e o “preço” que uma organização está preparada para pagar no período. Os produtos podem ficar atrás da curva devido ao investimento reduzido, mas muito dessa dívida gira em torno da aplicação de atualizações de software – absolutamente necessárias, e tantas vezes negligenciadas.
Mesmo que haja a possibilidade de que agentes mal-intencionados (que podem ser Estados-nações ou criminosos com motivação financeira!) entreguem malwares por meio de atualizações de software, os administradores de TI devem se manter em dia com a aplicação de atualizações e patches à medida que chegam.
Se a dívida técnica se acumular, as vulnerabilidades e brechas de segurança fornecerão um caminho para os atacantes – e a combinação de novas técnicas de entrega de malware com vulnerabilidades não corrigidas causa preocupação.
Além disso, com o aumento do trabalho híbrido, os usuários finais estão assumindo a responsabilidade por corrigir e atualizar seus sistemas. Isso pode fazer com que as atualizações não aconteçam ou sejam aplicadas por pessoas que não estão acostumadas com a tarefa, o que significa que têm mais probabilidade de aceitar comportamentos que as equipes de TI considerariam suspeitos. Os líderes devem garantir que o treinamento de cibersegurança seja implementado e atualizado regularmente, para garantir que os funcionários atuem como a primeira linha de defesa.
O Solarwinds não foi o primeiro incidente a tirar proveito de atualizações de software maliciosas, e certamente não será o último. No entanto, com conscientização de toda a empresa e gerenciamento rigoroso dos patches, podemos aumentar nossas defesas.