Verifique seu pipeline para evitar ataques de supply chain

Notícias
Fabio Sobiecki

Fabio Sobiecki is a systems analyst, graduated from Unopar and a specialist in Information Security from Senac, with an MBA from FGV. He has worked with Information Security since 2004, and between 1998 and 2004, he worked with information technology, in the area of ​​infrastructure and computer networks. Fabio Sobiecki has been certified by (ISC) 2 as CISSP and CCSP, since 2008 and 2017, respectively. He is currently president of the São Paulo (ISC) 2 chapter and is a solutions engineer at RSA.

Read more of my posts.

by Fabio Sobiecki

Os ataques de supply chain ficaram em destaque, depois das investigações dos ataques à Solar Winds, e o Centro Nacional de Cibersegurança do Reino Unido, emitiu uma nota, informado que devemos cuidar de nossos pipelines para evitar este tipo de ataque de supply chain.

O ataque de supply chain, ou rede de suprimentos, na tradução livre, é um ataque focado em empresas normalmente menores e que fornecem produtos ou serviços à empresas grandes.

Isto por que as empresas grandes, normalmente investem mais em segurança e com controles efetivos, conseguem bloquear muitos ataques à suas infraestruturas.

Quando um atacante consegue o acesso à uma empresa menor, e que pode ter acessos maiores ou privilegiados em empresas alvo, isto configura o ataque de rede de suprimentos.

Um exemplo foi a rede de supermercados Target, que teve um ataque vindo de uma conta de serviço, utilizada pela empresa que fazia a manutenção dos equipamentos de ar condicionado de algumas lojas.

Uso de pipelines para evitar ataque de supply chain

Segundo a nota do centro de segurança, as empresas que possuem seus ciclos de desenvolvimentos baseados em esteiras CI/CD, podem fazer uso de sistemas de automação para validar testes de segurança, ao longo da esteira.

Além disso, a esteira estaria mais protegida de ataques externos, uma vez que parte dela é automatizada, não havendo a interação humana, acessos pessoais, principalmente de terceiros.

Também é recomendado que seja analisado a forma que o código é armazenado no repositório de código, utilizando criptografia de disco e também sistemas de assinatura para validação de acessos, e códigos, quando o sistema automatizado for obter os códigos.

Sugere-se ainda a aplicação de autenticações com múltiplos fatores, para permitir acessos em partes críticas do pipeline, como código e builds.

Há ainda a necessidade de segmentar builds e versões, pois uma vez que um artefato possa ser contaminado, evitamos o deslocamento horizontal do atacante.

Com todos estes cuidados, aumentamos a segurança, que nunca deve ser esquecida ou deixada de lado, no desenvolvimento de sistemas.

Leia a matéria completa em Supply chain attacks are on the rise: Check your software build pipeline security | ZDNet

Torne-se membro

Já pensou em trabalhar com segurança no Brasil ou em qualquer outro país?

Torne-se membro de nossa comunidade e receba gratuitamente notícias e análise de vagas na área de segurança, e prepare-se para o mercado que dispõe de um grande número de vagas.

Notícias