De acordo com um estudo recente da Forrester, os ataques à cadeia de fornecimento de software são atualmente a causa número um de violações externas. Sabemos que a percentagem de código-fonte aberto em aplicações cresce de ano a ano, mas o que será do cenário da cibersegurança em 2024?
O cenário de software não está diminuindo, então não é surpresa que as vulnerabilidades e a superfície geral de ataque de bibliotecas e componentes de terceiros também não estejam diminuindo. Os ataques à cadeia de fornecimento de software são atraentes para os agentes de ameaças por dois motivos principais:
1) Os comprometimentos da cadeia de fornecimento de software e as vulnerabilidades da biblioteca compartilhada oferecem uma oportunidade de obter maior retorno sobre o investimento na descoberta/exploração de vulnerabilidades, pois uma vulnerabilidade pode ser estendida por centenas ou milhares de aplicativos, e
2) As organizações confiam no software que escolhem instalar em seus ambientes. Abusar de vulnerabilidades ou comprometer o código-fonte nesses aplicativos confiáveis pode permitir que um invasor viva fora da terra e evite a detecção, misturando-se a soluções confiáveis.
A indústria está focada em abordar estas questões, e uma abordagem principal é a iniciativa “Secure by Design” impulsionada pela CISA. Isso enfatiza uma abordagem proativa e a responsabilidade do desenvolvedor em fornecer produtos de software e tecnologia projetados tendo a segurança em mente e com recursos de segurança habilitados por padrão. Esta iniciativa procura reduzir a carga sobre os consumidores de produtos tecnológicos e estabelecer uma cultura de segurança incorporada no primeiro dia de instalação de uma nova solução de software ou hardware. Isso vai além do software empresarial e inclui itens como equipamentos de rede para pequenos escritórios/escritórios domésticos e também software de consumo. O panorama tecnológico continuará a expandir-se, pelo que reduzir a carga operacional e os custos de configurações complexas para garantir a segurança é um passo essencial para a resiliência e a sustentabilidade.
A enorme quantidade de dados que adicionamos ao mundo todos os dias tornou a proteção e classificação de dados um problema muito difícil de resolver. Vejo que isto continua, e até agora não vi qualquer forma de gerir isto de forma mais eficaz.
Até agora, os “geradores de malware de IA” disponíveis são muito alardeados por muito pouca substância, mas acredito que à medida que surgirem melhores modelos e casos de uso, a IA permitirá que os atores de ameaças escalem suas operações mais rapidamente, com menos contribuições de indivíduos. Acredito que a IA pode ser aproveitada de maneiras igualmente poderosas para a segurança, e estou ansioso por mais exposição com soluções que aproveitam a IA de maneiras criativas e inovadoras para fazer a triagem e contextualizar dados de segurança e operações.
O uso de tecnologia e dados é a base de toda organização. A proteção desses dados é uma responsabilidade que toda organização tem para com seus clientes, funcionários e investidores. Espero que este alerta resulte no abandono da cultura do “questionário de segurança” e nos faça mudar para resultados e respostas baseadas em dados para análise de risco para organizações e seus fornecedores. Espero que os requisitos de responsabilização e responsabilidade impulsionem o investimento proativo na prevenção de violações e nas oportunidades de deteção precoce, bem como na formação e no pessoal adequados para gerir os dados e as ferramentas. Embora o CISO tenha a responsabilidade de proteger os dados e gerir os riscos, não quero ver a função do CISO tornar-se um bode expiatório. As organizações devem levar a sério as recomendações dos líderes de segurança e ver o investimento em segurança como uma despesa essencial de segurança e resiliência, essencial para a longevidade dos seus negócios.
*Por Miguel Llerena, Vice-presidente da Tanium para América Latina.
