Entendendo o risco cibernético relacionado ao fornecedor ou de terceiros

No mundo digital interconectado de hoje, a segurança dos dados e sistemas de uma organização não é determinada apenas por suas próprias medidas de segurança cibernética. A ascensão do risco cibernético de terceiros adicionou uma camada de complexidade ao cenário da segurança da informação: fornecedores, fornecedores e parceiros também se tornaram os principais alvos dos cibercriminosos. Vimos isso em incidentes de alto perfil, como o ataque SolarWinds em 2020, a vulnerabilidade Log4j em dezembro de 2021 e o ataque MOVEit mais recente em 2023, que ganharam grandes manchetes e destacaram a importância de proteger esses relacionamentos confiáveis.

‍

O que é risco cibernético de terceiros?

‍

O risco cibernético de terceiros, geralmente chamado de risco cibernético relacionado ao fornecedor, é a ameaça potencial à segurança de dados, sistemas e rede de uma organização que surge das interações com entidades externas. Essas entidades externas podem incluir fornecedores, prestadores de serviços, prestadores de serviços e parceiros com os quais uma organização compartilha informações, recursos ou acesso às suas redes.

‍

Tipos de riscos cibernéticos de terceiros

‍

Compreender os tipos específicos de riscos cibernéticos de terceiros é crucial no desenvolvimento de uma abordagem abrangente para gerenciar essas ameaças. Esses riscos podem assumir várias formas, e reconhecê-los é o primeiro passo para uma mitigação efetiva dos riscos. Nesta seção, exploraremos os riscos comuns associados a entidades externas e forneceremos exemplos de incidentes cibernéticos de terceiros no mundo real.

Identificação de riscos comuns associados a entidades externas

‍

• Violações de dados e Acesso não autorizado: Terceiros podem expor, de forma inadvertida ou deliberada, os dados confidenciais de uma organização. Esse risco pode se manifestar quando parceiros ou fornecedores não têm medidas robustas de proteção de dados.

‍

Exemplo: Em 2013, a Target, gigante do varejo, sofreu uma grande violação de dados quando os atacantes exploraram uma vulnerabilidade nos sistemas de seu fornecedor de HVAC. Esse incidente expôs mais de 40 milhões de detalhes de cartões de crédito de clientes e resultou em danos financeiros e de reputação significativos.

‍

• Malware Injeção: Os adversários podem comprometer o software ou as ferramentas de terceiros, injetando malware que posteriormente afetará a organização. Isso geralmente ocorre por meio de atualizações ou downloads comprometidos.

‍

Exemplo: Em 2021, os invasores adulteraram a cadeia de suprimentos do software Kaseya VSA, inserindo código malicioso nas atualizações do software VSA. Esse código nefasto permitiu que os atacantes criptografassem os dados dos clientes da Kaseya e exigissem o pagamento de um resgate.

‍

• Cadeia de suprimentos Vulnerabilidades: A cadeia de suprimentos é uma rede de fornecedores e fornecedores interconectados. Vulnerabilidades nessa cadeia podem levar a acessos não autorizados, violações de dados ou interrupções no serviço.

‍

Exemplo: A violação da SolarWinds em 2020 é uma excelente ilustração. Os cibercriminosos se infiltraram nos servidores de atualização de software da SolarWinds para distribuir malware para seus clientes, incluindo várias agências governamentais e grandes corporações. Esse ataque à cadeia de suprimentos levou a extensas violações de dados e atividades de espionagem.

‍

• Falhas de conformidade: A não conformidade com os regulamentos de proteção de dados por terceiros pode expor uma organização a riscos legais e regulatórios, especialmente se a violação envolver dados de clientes.

‍

Exemplo: A Uber foi multada por suas falhas de relatórios de violação de dados de terceiros no incidente de 2016, em que hackers roubaram informações pessoais de 57 milhões de usuários e motoristas. A decisão da Uber de pagar aos hackers para manter a violação em segredo e não denunciá-la violou várias leis de notificação de violação de dados.

‍

‍

Avaliação de fornecedores e devida diligência

‍

Quando se trata de gerenciar riscos cibernéticos de terceiros, a avaliação completa do fornecedor e a devida diligência são componentes essenciais de uma estratégia robusta de segurança cibernética. Aqui, vamos nos aprofundar nas melhores práticas para avaliar a prontidão de segurança cibernética de parceiros externos, incluindo a realização de avaliações de risco e auditorias de segurança.

Melhores práticas para avaliar a segurança cibernética de terceiros

‍

• Estabeleça critérios claros: comece definindo os critérios e padrões de segurança cibernética que sua organização espera de seus parceiros terceirizados. Esses critérios devem estar alinhados às políticas de segurança e aos requisitos normativos da sua organização.

‍

• Perfil de risco: categorize seus fornecedores terceirizados com base no nível de risco que eles representam para sua organização. Nem todos os fornecedores têm o mesmo acesso ou lidam com a mesma quantidade de dados confidenciais, portanto, uma abordagem hierárquica pode ajudar a priorizar as avaliações.

‍

• Verificação de conformidade: garanta que seus fornecedores cumpram os padrões relevantes do setor e as regulamentações de conformidade. Isso inclui leis de proteção de dados, como GDPR ou HIPAA, que podem exigir proteções específicas para certos tipos de dados.

‍

• Certificações e atestados: revise todas as certificações, auditorias ou atestados de segurança cibernética pelos quais o fornecedor tenha sido submetido. Isso inclui ISO 27001, SOC 2 ou padrões similares que demonstram seu compromisso com a segurança.

Ferramentas e soluções para gerenciamento de riscos de terceiros

O gerenciamento eficaz de riscos cibernéticos de terceiros geralmente exige o uso de ferramentas e soluções especializadas. Nesta seção, exploraremos o software e os serviços que ajudam as organizações nesse processo, incluindo a implementação de tecnologia para avaliação automatizada de riscos.

Software e serviços para gerenciamento de riscos de terceiros

• Plataformas de avaliação de risco de fornecedores: Essas plataformas foram projetadas para agilizar a avaliação de fornecedores terceirizados. Eles fornecem ferramentas para conduzir questionários de segurança, criação de perfis de risco e verificações de conformidade.

‍

• Sistemas de gerenciamento de eventos e informações de segurança (SIEM): Os sistemas SIEM oferecem recursos de monitoramento e alerta em tempo real, permitindo que as organizações rastreiem atividades de rede de terceiros e respondam rapidamente a possíveis violações de segurança.

‍

• Serviços de classificação de cibersegurança: Esses serviços oferecem classificações objetivas de segurança cibernética para fornecedores terceirizados, permitindo que as organizações tomem decisões informadas.

‍

• Treinamento de conscientização sobre segurança: Muitas violações de terceiros resultam de erro humano. As soluções de treinamento de conscientização sobre segurança, como KnowBe4 e Proofpoint, educam funcionários e parceiros terceirizados sobre as melhores práticas de segurança cibernética.

Monitoramento de risco da cadeia de suprimentos de software

CloudSEK Vigil avalia os riscos e vulnerabilidades introduzidos por fornecedores e fornecedores terceirizados que podem afetar a segurança dos produtos ou serviços de uma organização. O monitoramento de riscos do fornecedor é crucial devido à superfície de ataque expandida, às dependências de sistemas de terceiros, aos riscos da cadeia de suprimentos e à necessidade de detecção oportuna de ameaças e preparação robusta para resposta a incidentes.

Lista de problemas comuns observados e resolvidos pelo SviGil

A plataforma SviGil da CloudSek identificou e ajudou a resolver alguns desses problemas comuns em vários fornecedores, aprimorando assim as medidas de segurança cibernética:

‍

• Exposição de terminais de API: O SviGil detecta proativamente endpoints de API expostos em vários ambientes (teste, desenvolvimento, produção) e trechos de código em plataformas de código de compartilhamento com a menção de entidades específicas.

‍

• Credenciais vazadas: O monitoramento avançado da plataforma se estende à identificação e mitigação de credenciais vazadas, documentos confidenciais e apresentações em plataformas como Scribd, Pastebin e Pdfslide.

‍

• Proteção de segredos comerciais: A SviGil garante a proteção de segredos comerciais, projetos e dados de clientes ao identificar a exposição não intencional em plataformas de dados e buckets de nuvem.

‍

• Segurança de dados de funcionários: A plataforma detecta e aborda a exposição de dados de credenciais e informações de identificação pessoal (PII) de funcionários em despejos de texto enviados em plataformas de compartilhamento de documentos.

‍

• Configurações incorretas do servidor Web: a plataforma identifica e reduz a exposição interna de arquivos relacionados a aplicativos resultante de configurações incorretas do servidor web. Além disso, a plataforma é capaz de identificar mais de 4000 explorações de CVE e novos CVEs sendo adicionados todos os dias.

‍

• Segurança de aplicativos móveis: O SviGil amplia seus recursos para a proteção de aplicativos móveis identificando e abordando vulnerabilidades relacionadas a bibliotecas de terceiros. Ele pode detectar as 10 principais vulnerabilidades do OWASP nos aplicativos, configurações incorretas, malwares e segredos codificados, bem como escanear o código-fonte dos aplicativos para identificar qualquer conteúdo confidencial, como chaves de API, tokens, etc.

‍

• Detecção de malware: A plataforma detectou e mitigou com sucesso casos em que sistemas de parceiros/fornecedores foram infectados com malware ladrão contendo credenciais desatualizadas.

‍

E a plataforma SviGil também permite que você explore mais de 100 integrações que tornam seu fluxo de trabalho diário mais eficiente e familiar. Além disso, nossas extensas ferramentas para desenvolvedores.

Agende uma demonstração personalizada da plataforma CloudSEK clicando aqui.