Blog WatchGuard

Proteger a cadeia de fornecimento de software

De acordo com um estudo recente, 82% das empresas acreditam que a segurança da cadeia de fornecimento de software deve ter algum grau de prioridade, enquanto apenas 7% afirmam que não é de todo prioritária. Esta é uma das conclusões principais do inquérito da Pulse a 298 responsáveis tecnológicos de empresas norte-americanas, europeias, africanas e asiáticas.

Complexidade da cadeia

Nos dias de hoje, as empresas usam ferramentas provenientes de diferentes origens. Além do software de grandes organizações, como a Microsoft, SAP ou a Salesforce, as empresas dependem cada vez mais de software proveniente de projetos Open-Source. Em última análise, esta diversidade confere vantagens às empresas, visto permitir uma maior escalabilidade e adequação às necessidades específicas de negócio. Mas também dá origem a uma cadeia de fornecimento complexa e esta complexidade torna-se um vetor para ciberataques.

Incidentes como o da Solarwinds, sobre o qual já escrevemos, têm destacado este aspeto e as empresas parecem compreender a necessidade de se empenharem mais na prevenção destas situações. No entanto, estas intenções não se confirmam na prática: apenas 51% dos inquiridos referem que a sua cadeia de fornecimento de software está coberta pela estratégia de cibersegurança da empresa. Isto é preocupante, visto que 35% afirmam que conhecem alguém cuja empresa sofreu um ciberataque à cadeia de fornecimento.

Enviesamento de ameaças e erro humano

Existe também um enviesamento em termos de perceção do risco de ameaça. Segundo o inquérito, este será menor para as organizações dos inquiridos do que para outras empresas, com 94% dos responsáveis a acreditarem que estes ciberataques irão aumentar nos próximos 12 meses, mas quase um terço (32%) convicto que isso não acontecerá à sua organização.

Como forma de prevenção, a maioria das organizações (57%) está a usar ferramentas SIEM, 51% utilizam ferramentas de deteção de ameaças e de cibersegurança externas e quase metade (47%) está a implementar uma arquitetura de rede baseada numa abordagem Zero-Trust.

Porém, a adoção desta abordagem e a implementação de ferramentas de deteção têm de ser mais generalizadas, uma vez que a formação dos colaboradores em boas práticas de cibersegurança é necessária, mas insuficiente por si só. Até os colaboradores bem treinados podem ser vítimas de esquemas de engenharia social, se estes forem altamente personalizados ou sofisticados, como, por exemplo, os ‘Esquemas CEO’. As organizações estão conscientes disto, razão pela qual 72% acreditam que os erros dos colaboradores são o principal vetor de entrada para os ciberataques à cadeia de fornecimento. 

Ferramentas de cibersegurança avançadas

O software de terceiros é ele próprio um grande vetor de ataque para 62% das empresas, e se for de open-source o seu código é um vetor importante para 42% das organizações questionadas. É por isto que os profissionais avaliam o risco em instalar software de terceiros através de várias medidas. As mais frequentemente referidas foram as certificações (59% das respostas), seguidas pela análise de documentação (56%) e o uso de questionários (50%). No entanto, os inquiridos estão de forma geral confiantes (59%) de que as empresas de software irão revelar que sofreram um ataque cibernético desta natureza assim que tenham conhecimento do mesmo. 

Finalmente, uma das conclusões mais importantes do survey é sobre o que recai a culpa nestes incidentes. Metade (50%) citou más práticas de cibersegurança, 56% culparam a falta de uma estratégica coordenada, mas 60% referiram especificamente o uso de ferramentas de cibersegurança inadequadas.

Com os hackers a procurarem comprometer a cadeia de fornecimento, é primordial que os MSP tenham uma carteira de soluções avançadas fáceis de gerir a partir da cloud, apoiadas por garantias totais, para oferecer aos seus clientes. Trabalhar a partir de uma plataforma de segurança unificada para parceiros melhora a usabilidade global e torna os ciberataques a cadeias de fornecimento, como os incidentes Solarwinds ou Kaseya, muito menos suscetíveis de ter impacto.