Evite violações dispendiosas atualizando o gerenciamento de risco de seu fornecedor terceirizado

De acordo com um Estudo do Ponemon, 59% das empresas pesquisadas sofreram uma violação de dados devido a seus fornecedores terceirizados. Embora as violações de dados possam ser causadas por várias fontes, descobriu-se que aquelas que envolvem terceiros aumentar o custo total de uma violação de dados em aproximadamente $370.000. E considerando que as violações de dados afetam a reputação, a receita e a conformidade de uma organização, o gerenciamento de riscos de fornecedores terceirizados não pode mais ser uma reflexão tardia.

Dado o nível de acesso que a maioria dos fornecedores tem à rede de uma organização, as estruturas tradicionais de gerenciamento de riscos são insuficientes. As estratégias tradicionais se concentram na verificação de fornecedores, em um processo de integração robusto e em avaliações periódicas. No entanto, um cenário de ameaças cibernéticas em rápida evolução torna essas avaliações e descobertas obsoletas em alguns dias ou semanas.

A falha do gerenciamento tradicional de riscos dos fornecedores é evidente nas várias violações de alto perfil. Desde a violação da Target em 2013, até as recentes violações do Facebook e da Airbus, todas elas foram rastreadas até seus respectivos fornecedores terceirizados. Portanto, isso exige uma abordagem mais dinâmica de gerenciamento de risco do fornecedor, que cubra uma ampla gama de riscos relacionados ao fornecedor.

Neste artigo, exploramos:

• Riscos associados a fornecedores terceirizados
• Armadilhas comuns nas estratégias tradicionais de gerenciamento de risco de fornecedores
• Maneiras de atualizar o gerenciamento de riscos do fornecedor e reduzir efetivamente os riscos associados

Riscos associados a fornecedores terceirizados

A terceirização é parte integrante da maioria das empresas porque elas fornecem:

• Flexibilidade: oferecer uma força de trabalho dinâmica e operações adaptáveis.
• Escalabilidade: alcançar novos mercados e atender mais clientes.
• Especialização: Atendendo a diferentes setores e indústrias.
• Corte de custos: economia em custos operacionais e de infraestrutura.

Por esses motivos, a terceirização veio para ficar. No entanto, à medida que fornecedores e organizações se tornam mais interconectados, os riscos de segurança cibernética também se multiplicam. Os fornecedores servem como ponto de entrada para os agentes de ameaças entrarem nas redes de uma empresa ao:

• Explorando vulnerabilidades nos sistemas de um fornecedor

Embora uma empresa tenha controle sobre a correção e a atualização de seus ativos, ela não pode monitorar os sistemas de um fornecedor e garantir que eles façam o mesmo.

A violação de dados da Ticketmaster ocorreu devido a uma vulnerabilidade no sistema do fornecedor:

UM violação de dados na Ticketmaster, uma empresa americana de venda e distribuição de ingressos, foi rastreada até a Inbenta, uma empresa terceirizada que alimenta o agente de suporte ao cliente da Ticketmaster. A Inbenta foi uma das 800 vítimas alvo da campanha digital de espionagem de cartões de crédito da Magecart. Um invasor atacou os servidores front-end da Inbenta, onde eles armazenaram bibliotecas de código usadas pela Ticketmaster. Em seguida, ao explorar várias vulnerabilidades, o atacante modificou o código para roubar os dados do cliente.

• Usando credenciais de rede/sistema expostas pelos fornecedores

Os fornecedores geralmente precisam de acesso remoto aos sistemas de uma empresa para acessar dados e aplicativos ou para realizar atividades de manutenção. E os fornecedores podem deixar suas credenciais de rede expostas, ou os agentes de ameaças podem comprometer a rede de um fornecedor para roubar as credenciais. Isso é especialmente prejudicial se não houver uma segmentação de rede adequada, dando ao agente da ameaça acesso desenfreado à empresa.

Os agentes de ameaças usaram credenciais de fornecedores roubadas para acessar a rede PoS da Target

Em uma das primeiras grandes violações, os agentes de ameaças enviaram o BlackPOS para a rede de ponto de venda (PoS) da Target, permitindo que eles roubassem informações de cartão de crédito e outros detalhes pessoais. Posteriormente, descobriu-se que os agentes de ameaças foram capazes de comprometer os servidores Target usando credenciais roubadas da Fazio Mechanical Services. Fazio, fornecedor de HVAC da Target, teve acesso aos servidores da Target. E devido à segmentação inadequada da rede, os agentes de ameaças conseguiram comprometer a rede PoS da Target.

• Usando código-fonte vazado por fornecedores

A maioria das empresas mantém seu código-fonte confidencial. Portanto, diferentemente do software de código aberto, o público não pode visualizar ou modificar seu código-fonte. O código-fonte vazado geralmente chega a sites obscuros, onde o código estará disponível para hackers mesmo depois de ter sido retirado do local original. Os hackers então usam o código-fonte para encontrar vulnerabilidades que podem ser exploradas para lançar ataques cibernéticos contra a empresa e seus clientes.

Parceiros vazaram o código-fonte do Team Fortress 2 e os códigos-fonte do CS:GO

Códigos-fonte do Team Fortress 2 e Counter-Strike: Global Offensive (CS:GO) foram encontrados online e depois enviado para sites de torrent. O CS:GO confirmou que o código foi originalmente compartilhado com seus parceiros em 2017 e, posteriormente, vazou. E apesar das garantias de que o vazamento não afeta os jogadores atuais, várias capturas de tela e vídeos circularam, alegando serem explorações de Execução Remota de Código (RCE) com base no código vazado. Isso impacta a reputação dos jogos.

• Informações confidenciais expostas pelos fornecedores

Recentemente, houve vários casos de fornecedores expondo baldes de armazenamento e bancos de dados da Amazon que podem ser acessados pela Internet. Isso dá aos agentes de ameaças acesso fácil a informações confidenciais, que depois vendem na dark web, pelo maior lance.

Fornecedores expuseram registros de 540 milhões de usuários do Facebook

A empresa de mídia digital Cultura Colectiva, sediada no México, expôs 146 GB de dados de usuários do Facebook, incluindo comentários, curtidas, nomes de contas, reações e IDs do Facebook, em um bucket inseguro do Amazon S3. Outro bucket do S3, pertencente ao aplicativo integrado do Facebook At The Pool, expôs listas de amigos, interesses, fotos, associações a grupos e check-ins de 22.000 usuários do Facebook.

Armadilhas comuns nas estratégias tradicionais de gerenciamento de risco de fornecedores

Embora as estruturas tradicionais de gerenciamento de risco de fornecedores sejam um bom ponto de partida, há algumas áreas que elas precisam abordar para serem eficazes em um mundo hiperconectado. O gerenciamento dinâmico de riscos de terceiros deve:

• Dirija-se a fornecedores terceiros/enésimos

Uma pesquisa de 2019 descobriram que apenas 2% das organizações identificam e monitoram todos os seus subcontratados. E 8% das organizações monitoram subcontratados somente em relação à infraestrutura crítica e à TI. Os 90% restantes disseram que não tinham as habilidades necessárias para monitorar a quarta/enésima parte.

• Adapte-se a um cenário de ameaças cibernéticas em constante evolução

As organizações geralmente realizam avaliações de risco do fornecedor, no momento da integração e em intervalos regulares a partir de então. Durante os intervalos entre as avaliações, novas vulnerabilidades, explorações e cepas de malware e ransomware aparecem. E a avaliação não leva em conta essas incógnitas.

• Aproveite a automação e a tecnologia

As estruturas padrão de gerenciamento de risco do fornecedor não oferecem uma plataforma comum e integrada que acompanhe o processo de ponta a ponta, desde a identificação e priorização de riscos até o rastreamento e mitigação de problemas. Também não fornece inteligência acionável, que as organizações possam aproveitar para tomar melhores decisões de segurança cibernética.

Maneiras de atualizar o gerenciamento de riscos do fornecedor e reduzir efetivamente os riscos associados

As empresas precisam atualizar seu processo padrão de gerenciamento de risco de fornecedores para garantir que seus fornecedores não coloquem seus dados e sua rede em risco. As organizações podem fazer isso incorporando algumas ferramentas e processos eficazes, como:

• Atualização dos padrões contratuais

Atualize os contratos para atender aos novos requisitos regulatórios e de privacidade de dados. E garanta que seu fornecedor seja obrigado a divulgar riscos e violações de dados em tempo hábil. Também ajudaria ter processos definidos para mitigar riscos e responder às violações de dados.

• Focando no gerenciamento de riscos de terceiros

Garanta que você tenha visibilidade total dos fornecedores do seu fornecedor. Determine se os produtos e serviços são fornecidos diretamente pelo fornecedor ou por um subcontratado. E tenha acordos contratuais com fornecedores que exijam tais divulgações.

• Monitoramento contínuo do risco do fornecedor

Incorpore processos e ferramentas que garantam que os riscos relacionados ao fornecedor sejam monitorados mesmo entre avaliações regulares. Isso inclui monitoramento em tempo real da Surface Web, Deep Web e Dark Web, para obter código-fonte, informações confidenciais e credenciais. Um Estudo da IBM descobri que a O tempo médio para identificar (MTTI) uma violação é de 197 dias. É durante esse intervalo que uma plataforma SaaS abrangente, como a do CloudSEK XV Vigília, vai ajudar. O mecanismo baseado em IA do xVigil vasculha a Internet em busca de ameaças relacionadas à sua organização, prioriza-as por gravidade e fornece alertas em tempo real. Assim, você tem tempo suficiente para mitigar as ameaças, antes que elas possam ter impactos adversos em seus negócios.