Por que as cadeias de abastecimento são o elo mais fraco nas defesas cibernéticas atuais
Apesar de anos de alertas, o risco da cadeia de abastecimento continua a ser um dos aspectos mais frágeis e subestimados da segurança cibernética. Muitos dos incidentes cibernéticos mais perturbadores e de alto perfil deste ano partilharam um factor-chave; a rota do invasor para a empresa alvo foi através de um provedor terceirizado.Jon AbbottSocial Links NavigationCEO e cofundador da ThreatAware.Uma verdade fundamental da segurança cibernética é que você não pode controlar o que não pode ver, e esse risco se multiplica quando provém de um provedor, fornecedor ou parceiro externo de terceiros dentro de sua cadeia de suprimentos, e não dentro da rede. As melhores escolhas para você No entanto, muitas organizações ainda dependem de questionários de autoavaliação e certificados de conformidade desatualizados como prova de segurança. Até que as organizações possam verificar a segurança de cada parceiro em tempo real, elas continuarão a depender de suposições em vez de garantias, e essa é uma posição perigosa quando os invasores já entendem os pontos fracos da sua cadeia de suprimentos melhor do que você. Por que os ataques à cadeia de suprimentos continuam acontecendo? Um dos principais motivos é que os invasores desejam obter o melhor retorno de seus esforços e aprenderam que uma das maneiras mais fáceis de ter uma empresa bem defendida é por meio de um parceiro. Nenhum ladrão tentaria arrombar a porta da frente de um prédio bem protegido se pudesse roubar uma chave e entrar pelos fundos. Há também a vantagem da escala: uma empresa que fornece serviços de TI, RH, contabilidade ou vendas a vários clientes pode ter menos recursos para se proteger, esse é o ponto natural do ataque. Inscreva-se no boletim informativo TechRadar Pro para obter todas as principais notícias, opiniões, recursos e orientações que sua empresa precisa para ter sucesso! implementam o mesmo nível de proteção que as organizações maiores que apoiam, mas frequentemente detêm acesso privilegiado a vários ambientes. É um problema generalizado que precisa de um esforço concertado para ser resolvido, mas a resposta até agora tem sido insuficiente. A maioria das verificações de fornecedores ainda gira em torno de planilhas, pesquisas e certificados que são autoverificados e estáticos. Esquemas como Cyber Essentials, ISO 27001 ou SOC 2 oferecem estrutura, mas apenas confirmam que boas intenções já existiram e não dizem o que é verdade hoje. Não perca estes Esses esquemas têm valor, mas oferecem apenas um instantâneo de um momento específico. Na realidade, a postura de segurança muda diariamente. Um certificado em um site não informa nada sobre se a autenticação multifator é aplicada, se os dispositivos são criptografados ou se os endpoints são corrigidos. Quando a natureza dos riscos cibernéticos muda tão rapidamente, as auditorias anuais dos fornecedores não conseguem fornecer a evidência mais precisa de sua postura de segurança. O resultado é um ecossistema baseado na confiança, onde a conformidade muitas vezes se torna mais um cobertor de conforto. Enquanto isso, os invasores aproveitam o intervalo entre cada ciclo de auditoria, avançando muito mais rápido do que os processos de verificação projetados para impedi-los. Cada relacionamento com o fornecedor torna-se então um ponto cego à espera de ser explorado. Se você não medir constantemente a segurança dessas conexões, não as estará melhorando. Você não pode proteger o que não pode ver Mesmo dentro de uma única organização, a maioria das equipes de segurança ainda luta para ter uma visão completa. Em inúmeros ambientes que analisei, sempre há dispositivos, contas ou aplicativos que escaparam. Em alguns casos, descobrimos que as organizações descobrem até 30% mais dispositivos do que imaginavam que existiam. Se não conseguirmos manter visibilidade completa dentro dos nossos próprios muros, não é realista pensar que podemos compreender a postura de segurança de centenas de parceiros externos. Isso significa uma verificação contínua, baseada em dados e indiscutível.Imagine um certificado que seja atualizado automaticamente usando dados em tempo real para mostrar seu status atual – um que não possa ser falsificado, porque está diretamente vinculado aos sistemas que você está executando e às defesas que você possui.A automação torna isso possível. O monitoramento contínuo pode confirmar se controles como proteção de endpoint, MFA ou patches estão ativos e funcionando. Painéis compartilhados entre clientes e fornecedores podem fornecer uma visão transparente da saúde da segurança em toda a cadeia. Nesse mundo, os fornecedores não estão apenas afirmando que estão seguros – eles estão provando isso. Provas, e não promessas, são o que finalmente criará resiliência na cadeia de abastecimento. Mudar a cultura de garantia de terceiros A tecnologia por si só não resolverá o problema da cadeia de abastecimento, e também é necessária uma mudança de mentalidade. Muitos conselhos ainda estão distraídos pela próxima grande tendência de segurança, enquanto negligenciam os princípios básicos que realmente reduzem as violações. A prevenção de violações precisa ser medida, relatada e priorizada como qualquer outro KPI de negócios. Se um fornecedor não conseguir demonstrar que as suas defesas estão instaladas e a funcionar, isso deve ser tratado como uma falha de desempenho e não como um problema técnico. Durante anos, a segurança cibernética foi tratada como uma tarefa de conformidade – algo a ser aprovado uma vez e revisto mais tarde. Essa cultura tem que acabar. O futuro da garantia reside na responsabilidade contínua, onde cada organização na cadeia pode provar que é segura. Provar confiança, não assumi-la A segurança de cada organização é definida pela força do seu elo mais fraco e, em muitos casos, será uma ligação de terceiros. Os invasores já entendem isso, mesmo que muitas empresas não o façam. Auditorias autocertificadas e certificados estáticos não refletem mais a realidade da rapidez com que as ameaças evoluem. A única forma de construir uma verdadeira resiliência é passar da suposição à evidência – da confiança à prova. A verificação contínua baseada em dados deve se tornar o novo padrão para a segurança da cadeia de suprimentos. Até que possamos provar, em tempo real, que nossos parceiros são tão seguros quanto acreditamos que sejam, a cadeia de suprimentos continuará sendo a maneira mais fácil para os invasores passarem direto pela porta da frente. Apresentamos o melhor software de criptografia. Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você tem interesse em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro
Publicado: 2025-12-02 15:26:00
fonte: www.techradar.com
