Verifique seu pipeline para evitar ataques de supply chain

Notícias
fabio

Fabio Sobiecki é analista de sistemas, formado pela Unopar e especialista em Segurança da Informação pelo Senac e possui MBA pela FGV. Desde 2004, trabalha com Segurança da Informação, entre 1998 e 2004, trabalhou com tecnologia da informação, na área de infraestrutura e redes de computadores. Fabio Sobiecki é certificado pelo (ISC) 2 como CISSP e CCSP, desde 2008 e 2017, respectivamente. Atualmente, ele é presidente do capítulo de São Paulo (ISC) 2 e é engenheiro de soluções na RSA.

Read more of my posts.

by fabio

Os ataques de supply chain ficaram em destaque, depois das investigações dos ataques à Solar Winds, e o Centro Nacional de Cibersegurança do Reino Unido, emitiu uma nota, informado que devemos cuidar de nossos pipelines para evitar este tipo de ataque de supply chain.

O ataque de supply chain, ou rede de suprimentos, na tradução livre, é um ataque focado em empresas normalmente menores e que fornecem produtos ou serviços à empresas grandes.

Isto por que as empresas grandes, normalmente investem mais em segurança e com controles efetivos, conseguem bloquear muitos ataques à suas infraestruturas.

Quando um atacante consegue o acesso à uma empresa menor, e que pode ter acessos maiores ou privilegiados em empresas alvo, isto configura o ataque de rede de suprimentos.

Um exemplo foi a rede de supermercados Target, que teve um ataque vindo de uma conta de serviço, utilizada pela empresa que fazia a manutenção dos equipamentos de ar condicionado de algumas lojas.

Uso de pipelines para evitar ataque de supply chain

Segundo a nota do centro de segurança, as empresas que possuem seus ciclos de desenvolvimentos baseados em esteiras CI/CD, podem fazer uso de sistemas de automação para validar testes de segurança, ao longo da esteira.

Além disso, a esteira estaria mais protegida de ataques externos, uma vez que parte dela é automatizada, não havendo a interação humana, acessos pessoais, principalmente de terceiros.

Também é recomendado que seja analisado a forma que o código é armazenado no repositório de código, utilizando criptografia de disco e também sistemas de assinatura para validação de acessos, e códigos, quando o sistema automatizado for obter os códigos.

Sugere-se ainda a aplicação de autenticações com múltiplos fatores, para permitir acessos em partes críticas do pipeline, como código e builds.

Há ainda a necessidade de segmentar builds e versões, pois uma vez que um artefato possa ser contaminado, evitamos o deslocamento horizontal do atacante.

Com todos estes cuidados, aumentamos a segurança, que nunca deve ser esquecida ou deixada de lado, no desenvolvimento de sistemas.

Leia a matéria completa em Supply chain attacks are on the rise: Check your software build pipeline security | ZDNet

Torne-se membro

Já pensou em trabalhar com segurança no Brasil ou em qualquer outro país?

Torne-se membro de nossa comunidade e receba gratuitamente notícias e análise de vagas na área de segurança, e prepare-se para o mercado que dispõe de um grande número de vagas.

Notícias