forklift-835340_1280.jpg

NSA fornece dicas de segurança à cadeia de suprimentos

A Agência de Segurança Nacional compartilha um novo conjunto de práticas sugeridas que os fornecedores de software podem seguir para proteger a cadeia de suprimentos
Da Redação
31/10/2022

A Agência de Segurança Nacional (NSA), a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Escritório do Diretor de Inteligência Nacional (ODNI) dos EUA compartilharam um novo conjunto de práticas sugeridas que os fornecedores de software podem seguir para proteger a cadeia de suprimentos.

A orientação foi desenvolvida por meio do Enduring Security Framework (ESF), uma parceria público-privada que trabalha para lidar com ameaças aos sistemas de segurança nacional e infraestrutura crítica dos EUA.

“A prevenção é muitas vezes vista como responsabilidade do desenvolvedor de software, pois eles são obrigados a desenvolver e entregar código com segurança, verificar componentes de terceiros e fortalecer o ambiente de construção. Mas o fornecedor também tem uma responsabilidade crítica em garantir a segurança e integridade de nosso software”, disse a NSA nesta segunda-feira, 31.

“Afinal, o fornecedor de software é responsável pela ligação entre o cliente e o desenvolvedor de software. É por meio desse relacionamento que recursos de segurança adicionais podem ser aplicados por meio de acordos contratuais, lançamentos e atualizações de software, notificações e mitigações de vulnerabilidades.”

O ESF lançará mais uma assessoria focada no cliente, parte do ciclo de vida da cadeia de fornecimento de software após a publicação do primeiro capítulo em setembro com orientação para desenvolvedores de software.

O guia completo de práticas recomendadas para fornecedores, incluindo planejamento de requisitos de segurança e manutenção da segurança de software, pode ser encontrado no comunicado emitido nesta segunda-feira [PDF].

A orientação foi lançada após vários ataques cibernéticos recentes de alto perfil, incluindo o hack à SolarWinds, que destacou os pontos fracos da cadeia de suprimentos de software que os operadores de ameaças apoiados por governos podem explorar facilmente.

O perigo por trás dos ataques à cadeia de suprimentos ficou evidente em ataques do mundo real várias vezes desde que os agentes de ameaças russos comprometeram a SolarWinds para infectar clientes downstream, inclusive pelo software MSP da Kaseya, usado para criptografar milhares de empresas em todo o mundo, e pela forma como os agentes de ameaças usou módulos npm comprometidos para executar comandos remotamente. Npm é o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar vários módulos e gerenciar suas dependências.

Veja isso
350 mil projetos da cadeia de suprimentos estão sob risco
52% da cadeia de suprimentos das empresas já foram atacadas

Depois que o ataque à cadeia de suprimentos da SolarWinds levou ao comprometimento de várias agências governamentais dos EUA, o presidente Biden assinou uma ordem executiva em maio de 2021 para modernizar as defesas dos EUA contra futuros ataques cibernéticos.

Uma nova estratégia federal foi divulgada pela Casa Branca em janeiro deste ano, pressionando o governo dos EUA a adotar um modelo de segurança de “confiança zero”. Essa medida foi motivada pela ordem executiva de Biden e pela NSA e pela Microsoft recomendando essa abordagem em fevereiro de 2021 para redes críticas (Sistemas de Segurança Nacional, Departamento de Defesa, Base Industrial de Defesa) e grandes empresas.

O anúncio da Casa Branca foi seguido logo depois, em maio, pelo Instituto Nacional de Padrões e Tecnologia (Nist) dos EUA, que divulgou orientações atualizadas sobre como as empresas podem se defender contra ataques à cadeia de suprimentos.Mais evidências de que a cadeia de suprimentos de software é um alvo popular e constante veio de um relatório da Microsoft publicado em outubro de 2021.

A empresa revelou que o grupo de hackers Nobelium, apoiado pela Rússia, continuou mirando no sistema global de TI após violar a SolarWinds e hackear ao menos 14 provedores de serviços gerenciados (MSPs) e provedores de serviços em nuvem após atacar 140 desde maio de 2021.

Compartilhar:

Últimas Notícias