À medida que o ano de 2023 chega ao fim, o cenário da segurança cibernética está em chamas com relatórios e análises. Entre eles, o NSA 2023 Revisão do Ano da Segurança Cibernética atraiu atenção. A Xygeni, neste ano tumultuado, visa contribuir para a compreensão e mitigação de ameaças à cadeia de suprimentos de software. Em uma era em que a complexidade do software é avassaladora, nossa dependência de componentes de código aberto e a evolução do DevSecOps e abordagens nativas da nuvem atingiram novos patamares. Esta prévia de Relatório de Xygeni fornece insights sobre os principais desafios enfrentados por software supply chain security em 2023 e oferece estratégias para enfrentá-los em 2024.
Conteúdo
A complexa rede de Software Supply Chain Security
No estado atual do SSCS, as ameaças cibernéticas se avolumam, gerando preocupações significativas para empresas e indivíduos. O aumento do trabalho remoto e a crescente dependência de serviços baseados em nuvem expandiram a superfície de ataque, tornando a proteção da cadeia de suprimentos de software um desafio ainda mais formidável. A percepção de que a cadeia de suprimentos se tornou um vetor de ataque deliberado está lentamente se tornando evidente na indústria de software. Surgem perguntas: Como protegemos essa rede intrincada? Podemos confiar em softwares tanto de comunidades de código aberto quanto de provedores comerciais? Como as organizações podem inspirar confiança em seus consumidores de software quanto à ausência de vulnerabilidades ou malware?
O que o relatório da Xygeni irá revelar
O relatório de Xygeni visa lançar luz sobre os eventos e tendências que definiram software supply chain security em 2023 e oferece um vislumbre inicial do que 2024 pode trazer. O relatório cobrirá:
Destaques: “Por números”
Denominado o ano de 'incêndios florestais digitais,' 2023 testemunhou incidentes que ganharam manchetes, incluindo aqueles que afetaram PyTorch, 3CX e MOVEit Transfer. A dura realidade é que 82% das organizações estão atualmente vulneráveis a ataques à cadeia de suprimentos de software, com o número médio de componentes vulneráveis em uma cadeia de suprimentos aumentando em mais de 50% anualmente. A NTT Ltd relata que o setor de tecnologia é a indústria mais visada, respondendo por 28% de todos os ataques à cadeia de suprimentos.
Software de código aberto, compreendendo 70% a 90% das pilhas de aplicativos contemporâneas, enfrenta um aumento de pacotes maliciosos em registros públicos – impressionantes 245,032 ocorrências, dobrando os números dos anos anteriores.
A paisagem de ataque
Em 2023, os ataques cibernéticos estavam em ascensão, com a Agência da UE para a Cibersegurança registrando 2,580 incidentes de segurança, 220 dos quais visaram especificamente vários estados-membros. Ataques de ransomware e negação de serviço dominaram, mas ataques direcionados à cadeia de suprimentos de software também foram observados. Notavelmente, os chatbots de IA entraram no cenário de ameaças à segurança cibernética, introduzindo preocupações sobre 'falsificações baratas' e manipulação de informações habilitada por IA.
Técnicas de Ataque em 2023
Os invasores continuaram a alavancar técnicas familiares, como spear phishing e engenharia social, credenciais roubadas e ataques de dependência, como pacotes typosquat. No entanto, 2023 testemunhou um aumento em métodos sofisticados, incluindo vishing (Voice Phishing) usando mensagens de imitação de voz geradas por IA. Pacotes maliciosos implantados em registros públicos atingiram alarmantes 245,032 instâncias, enfatizando a necessidade de medidas preventivas robustas.
Atores de ameaças avançadas
A geopolítica influenciou as operações cibernéticas, com APTs apoiados pelo estado se envolvendo em desinformação, espionagem e sabotagem. A guerra ucraniana se tornou um ponto focal, exibindo operações cibernéticas de atores russos, iranianos e norte-coreanos. A China solidificou sua posição como uma CyberPower global, enquanto o crime cibernético continuou a evoluir, exemplificado pelo Evasive Panda da China mirando uma ONG internacional.
Voltando nosso foco para conflitos recentes, o confronto cibernético entre o Hamas e Israel envolveu ataques DDoS recíprocos. Alguns analistas conectam o Hamas à atividade de ameaça iraniana. O APT Agrius vinculado ao Irã, também conhecido como “Agonizing Serpens”, notório por seus limpadores destrutivos, tem visado predominantemente organizações israelenses em vários setores e países. Em 2023, os esforços do Agrius foram concentrados nos setores de educação e tecnologia em Israel.
Impacto dos ataques
O impacto digital dos ataques cibernéticos, como sistemas danificados, corrupção de dados e invasões, superou os impactos financeiros e sociais. Pesquisa do Splunk destacou o tempo e os recursos significativos gastos na limpeza, com apenas 4% dos entrevistados relatando nenhuma consequência significativa.
Resumo de Ataques Relevantes em 2023
O ano testemunhou ataques paradigmáticos, incluindo o PyTorch nightly InfoStealer, o incidente CircleCI, o ataque multietapas 3CX, a violação de dados MOVEit Transfer, a suspensão temporal PyPI, o NPM Manifest Confusion, o ataque JumpCloud e a campanha VMConnect. Cada incidente ressaltou a natureza diversa e evolutiva dos ataques SSC.
Evolução do Standards e Regulamentos
O quadro regulatório para o SSC está em construção. Com intensidades altamente diferentes entre as regiões, parece que os EUA têm o quadro mais maduro, com a União Europeia ficando para trás. A publicação do Estratégia Nacional de Cibersegurança e Roteiro de segurança de software de código aberto foram os principais eventos nos EUA. Na UE, o Cyber Resilience Act chegou a um acordo político, mas a maioria das organizações trabalhou na diretiva NIS2 e no Digital Operational Resilience Act (DORA).
Talvez o evento mundial mais significativo tenha sido o guia conjunto Mudando o equilíbrio do risco de segurança cibernética: princípios e abordagens para software seguro por design liderada por CISA e acompanhado por muitas autoridades de segurança cibernética ao redor do mundo.
Vislumbre de 2024
O relatório oferece algumas previsões: até 2025, 45% das organizações em todo o mundo sofrerão pelo menos um ataque SSC. Veremos grupos criminosos organizados se envolvendo em crimes cibernéticos, alavancando ofertas mais maduras de crimes cibernéticos como serviço. Os regulamentos que entrarão em vigor durante o ano melhorarão a transparência sobre incidentes de segurança, com mais detalhes de ataques e lições aprendidas divulgadas. O seguro de risco cibernético mostrará limites e excessos. E os avanços tecnológicos se alinharão com o segurança por design tendência, com mais ônus do lado dos fabricantes de software.
A onda da IA atraiu muitos fornecedores de segurança em 2023 para adicionar um "toque de IA" aos seus produtos. No entanto, a IA deverá desempenhar um papel crucial no futuro da software supply chain security. A IA desempenhará um papel cada vez mais importante em áreas como inteligência de ameaças e avaliação de riscos, detecção de anomalias em repositórios de código, avaliação e priorização de vulnerabilidades e Phishing ataque detecção, mas principalmente em remediação inteligente e automação de revisão de código.
Mas os maus atores começaram a usar a IA como arma, e veremos novas técnicas como reconhecimento alimentado por IA, ataques de lança altamente convincentes Phishing, ferramentas de IA de jailbreak ou serviços de resolução de CAPTCHA.
Conclusão
Enquanto a Xygeni se prepara para revelar seu relatório abrangente sobre o estado da software supply chain security em 2023, os desafios e ameaças que a indústria enfrenta são aparentes. A cadeia de suprimentos de software, antes considerada um processo de bastidores, surgiu como um alvo principal para adversários cibernéticos. A resposta da indústria a esses desafios moldará a trajetória da segurança de software nos próximos anos. Fique ligado no relatório completo, pois nos aprofundamos nos detalhes e fornecemos insights que podem ajudar a navegar no cenário complexo de software supply chain security.
