Impedindo ataques à cadeia de suprimentos com segmentação Zero Trust

Seção 4 da Ordem Executiva do Governo Biden sobre a melhoria da segurança cibernética do país com foco na cadeia de suprimentos. Eu não fiquei surpreso.

A cadeia de suprimentos é especialmente difícil de proteger devido à sua complexidade.

Considere a fabricação de automóveis como um contraste. Neste setor, os engenheiros projetam cada peça: chassis de automóveis, componentes do motor, peças e subcomponentes — especificamente para cada veículo. Cada elemento tem especificações que garantem durabilidade e segurança.

Por outro lado, pense na Prova de Conceito (POC) e no processo de aquisição de um comprador de segurança. Em muitas circunstâncias, a conformidade exigirá soluções ou estados finais desejados que possam ser abordados por qualquer número de produtos. Raramente existe um conjunto definido de especificações para as quais o fornecedor se baseia. Quando foi a última vez que seu fornecedor de firewall personalizou um produto para você?

Claro, você pode personalizar a configuração, mas ela não é personalizada para sua finalidade específica e nada mais. Em vez disso, o fornecedor cria um produto que tem a maior aplicabilidade possível para capturar a maior parte do mercado. Além disso, cada fornecedor está em uma corrida para criar, lançar e entregar produtos rapidamente para acompanhar um mercado em rápida evolução.

Além disso (e assim como na indústria automobilística), os fornecedores estão sob pressão para gerar lucros. Para fazer isso, algo tem que ceder. No caso da SolarWinds, a busca por lucros fez com que ela comprometesse a segurança. Simplesmente não podemos deixar que isso aconteça novamente.

Os profissionais de segurança confiam em outras soluções para “vigiar” outros produtos, mas, infelizmente, isso também traz desafios. Novamente, no caso da SolarWinds, sua solução de detecção de terminais sempre sinalizou o software SolarWinds como malware, tanto que a SolarWinds recomendou desativar os recursos de monitoramento de seu software em um artigo da Base de Conhecimento.

Então, o que devemos fazer?

Antes da Ordem Executiva, Jonathan Reiber, da AttackIQ, e eu publicamos um blog na Lawfare que descrevia o que esperávamos ver na Ordem Executiva de Biden. Um item que não exploramos é a cadeia de suprimentos. Eu gostaria de examinar algumas ideias aqui:

1. Qualquer ferramenta de monitoramento de terminais precisa ter um programa robusto para monitorar terceiros, mas sem criar falsos positivos. Isso custará caro para os fornecedores de terminais, mas os benefícios podem ser enormes! Infelizmente, as despesas desses programas, juntamente com as sensibilidades de preço dos clientes, tornarão isso difícil de alcançar.
2. A Ordem Executiva reconhece que o desenvolvimento de software carece de transparência, mas a questão é como remover o véu para garantir que a cadeia de suprimentos de um fornecedor não seja comprometida. Para isso, recomendo não reinventar a roda, mas sim olhar para um de nossos pares internacionais: a França.
3. O governo francês desenvolveu uma agência, a ANNSI, que identifica a infraestrutura crítica (não apenas a infraestrutura governamental), define padrões para proteger essa infraestrutura e depois audita os fornecedores que fornecem o software que protege essa infraestrutura.
5. O benefício dessa abordagem é que os fornecedores de software não veem o regulador como um concorrente e a ANNSI não “rouba” software. Em vez disso, garante a segurança da infraestrutura francesa auditando fornecedores.
7. Uma última nota sobre o ANNSI. Conforme afirmado acima, a ANNSI não aplica seus princípios apenas à infraestrutura governamental, mas também à infraestrutura “crítica”. Na Illumio, vimos o envolvimento dessa agência em infraestruturas farmacêuticas, industriais, bancárias e outras infraestruturas francesas que são consideradas “críticas” para o povo francês.
9. Isso também teria ajudado no ataque de ransomware Colonial Pipeline (que obviamente também é uma infraestrutura crítica).

De muitas maneiras, o capitalismo e nossa feroz independência americana podem não tornar os dois itens acima possíveis. Muitos americanos não gostariam que o governo ditasse como administrar seus negócios. Então, o que mais podemos fazer?

A resposta é simples e muitas organizações do setor privado já estão fazendo isso: Zero Trust.

A adoção de uma estrutura Zero Trust garante que, se ocorrer um ataque à cadeia de suprimentos, o evento seja compartimentalizado.

A Ordem Executiva da Administração Biden concordou com esta tese. A seção 4 (i) afirma que a infraestrutura crítica deve ter menos privilégios e segmentação de rede — em outras palavras, ela deve aplicar os princípios do Zero Trust.

A aplicação de uma estrutura Zero Trust não elimina a necessidade de auditar a cadeia de suprimentos de uma organização. Mas mesmo que a cadeia de suprimentos tenha sido totalmente auditada para detectar ataques conhecidos na cadeia de suprimentos, o Zero Trust protege contra ataques desconhecidos da cadeia de suprimentos.

Ao auditar como um fornecedor traz software de terceiros para garantir que ele não seja falsamente sinalizado como malware, analisando práticas de codificação de software e usando senhas complexas, as organizações podem ajudar a proteger a cadeia de suprimentos. Dito isso, os malfeitores de hoje (patrocinados pelo estado-nação ou patrocinados pelo crime organizado) encontrarão uma maneira. A questão é como limitar o raio da explosão quando isso acontece?

A resposta é aplicar o Zero Trust — e a Ordem Executiva da semana passada mostra que o governo está a caminho!

Você deseja atender aos requisitos da Ordem Executiva da Casa Branca com mais rapidez? Saiba como aqui ou participe de um workshop em que você aprenderá a projetar uma arquitetura Zero Trust para sua agência federal.