O aumento do uso de terceiros para execução de atividades nas empresas hoje é surpreendente. As empresas estão terceirizando cada vez mais funções e operações internas e serviços externos.
De acordo com um estudo do governo Britânico, um quarto das empresas afirmou que usa mais de 100 fornecedores terceirizados, principalmente exigindo acesso a ativos internos, dados e aplicativos de negócios para operar de forma eficaz e cumprir seus contratos.
O estudo também descobriu que 90% dos entrevistados permitem que terceiros acessem não apenas recursos internos, mas também recursos internos críticos. Isso deve ser uma causa rápida de atenção para qualquer CISO.
As empresas que trabalham com fornecedores externos podem ter implementado excelentes medidas de segurança cibernética, mas isso não significa nada quando os controles de acesso do fornecedor são inseguros.
Para muitas organizações, proteger o acesso de fornecedores terceirizados é extremamente complexo – muitas vezes exigindo soluções como autenticação multifator, suporte VPN, laptops corporativos enviados para empresas, serviços de diretório, agentes e muito mais.
E isso além de gerar confusão e sobrecarga para os profissionais de segurança, também cria rotas emaranhadas e muitas vezes inseguras para terceiros acessarem os sistemas de que precisam para realizar seu trabalho.
Os ataques relacionados a terceiros estão aumentando
Terceiros podem não levar a segurança de rede tão a sério quanto você deseja. Sabendo disso, os hackers podem optar por não atacar sua empresa diretamente. Em vez disso, eles podem procurar um alvo mais fácil entre seus fornecedores terceirizados.
Um subcontratado comprometido pode ser facilmente transformado em um ponto de entrada para cibercriminosos. É assim que funciona um ataque à cadeia de suprimentos.
Enquanto isso, o número de organizações terceirizadas com as quais trabalham, bem como a quantidade de dados confidenciais divulgados a elas, aumenta a cada ano. O mesmo vale para violações de dados causadas por terceiros.
Veja alguns exemplos de incidentes de segurança cibernética envolvendo terceiros.
Ataques Magecart
Desde 2015, um grupo de criminosos cibernéticos chamado Magecart executou vários ataques a grandes varejistas em todo o mundo.
Acredita-se que o grupo seja responsável pelos recentes ataques às lojas Ticketmaster, British Airways, Newegg, Feedify e Magento. Os hackers Magecart geralmente infectam serviços da Web de terceiros usados por suas vítimas para roubar informações valiosas, principalmente dados de cartão de crédito.
Violação de dados da Atrium Health
Em 2018, a Atrium Health sofreu uma violação de dados que resultou na exposição de informações pessoais de mais de 2,65 milhões de pacientes. A violação foi causada por um comprometimento de servidores usados por um dos fornecedores de cobrança da Atrium Health.
Vazamento de dados da Amazon
Em 2020, Amazon, eBay, Shopify e PayPal foram vítimas de um grande vazamento de dados. Um banco de dados de terceiros com aproximadamente oito milhões de transações de compras online no Reino Unido foi publicado online.
Violação de dados da General Electric (GE)
Em 2020, a GE relatou uma violação de dados causada por um dos seus provedores de serviço. Uma conta de e-mail comprometida levou à exposição pública de informações de identificação pessoal de beneficiários e funcionários da GE, atuais e antigos.
Quais são os riscos envolvendo acesso de terceiros?
As habilidades financeiras e técnicas de pequenos prestadores de serviços e subcontratados nem sempre correspondem às capacidades de seus clientes. Portanto, enquanto buscam obter sucesso em suas iniciativas, os cibercriminosos podem começar pequenos e procurar um alvo fácil em sua cadeia de suprimentos.
Um fornecedor terceirizado comprometido pode levar a vários riscos que podem ser divididos em quatro categorias principais:
Riscos de segurança cibernética: Os invasores podem usar um fornecedor terceirizado como ponto de entrada para tentar obter seus ativos valiosos.
Riscos operacionais: Os cibercriminosos podem ter como alvo seus sistemas internos e os serviços que você usa em vez de apenas seus dados. Isso pode levar a interrupções parciais de suas operações ou até mesmo interrompê-las completamente.
Riscos de conformidade: Normas e regulamentações internacionais, locais e específicas do setor definem critérios rígidos de segurança cibernética que as organizações devem atender. Além disso, terceiros que trabalham com essas organizações também precisam cumprir esses requisitos. A não conformidade geralmente leva a multas substanciais e danos à reputação.
Riscos de reputação: Ter seus valiosos dados e sistemas comprometidos serve como uma bandeira vermelha para seus parceiros e clientes, atuais e futuros. Recuperar sua confiança levará muito tempo e esforço. E, infelizmente, não há garantia de que você conseguirá recuperar sua reputação com sucesso após um grave incidente de segurança cibernética.
Quais são as ameaças específicas envolvendo acesso de terceiros?
Uso indevido de privilégios: Os funcionários do seu subcontratado podem voluntariamente passar suas credenciais para outras pessoas. Ou, se as permissões de acesso em sua rede não estiverem configuradas corretamente, um fornecedor terceirizado poderá obter acesso a dados que não deveriam ser compartilhados com eles.
Erros humanos: Erros comuns incluem a exclusão ou compartilhamento acidental de arquivos e informações, a inserção de dados incorretos e a configuração incorreta de sistemas e soluções. Embora não intencionais, esses erros ainda podem levar a vazamentos de dados, interrupções de serviço e perdas significativas de receita.
Roubo de dados: Sem uma política adequada de gerenciamento de fornecedores terceirizados, existe o risco de funcionários terceirizados roubarem informações comerciais valiosas e usá-las a seu favor.
Riscos de terceiros dos seus terceiros: Garantir que seus fornecedores terceirizados atendam aos seus requisitos de segurança cibernética e sigam as práticas recomendadas de segurança cibernética não é suficiente. Você também precisa entender como eles gerenciam suas próprias cadeias de suprimentos.
Quais os controles técnicos para mitigar o acesso de terceiros?
Os controles técnicos incluem:
Autenticação multifator (MFA)
Ao acessar os sistemas, não há motivo para não usar o MFA. É vital, pois é um obstáculo difícil para os invasores superarem. Isso deve ser usado como primeira linha de defesa e controle de acesso obrigatório de terceiros.
Gerenciamento de acesso centralizado
Gerenciar o acesso de forma centralizada auxilia nas ações técnicas e administrativas que precisam ser executadas. Se o acesso pode ser visto e controlado centralmente, é mais fácil de gerenciar.
Gateway de acesso centralizado
Um gateway usado por terceiros para acessar sistemas é útil. Isso ajuda no gerenciamento do acesso, pois fornece um ponto central de foco. É equivalente ao portão de um castelo onde os guardas estão estacionados.
Redes privadas virtuais (VPN)
Garantir que o acesso aos sistemas seja seguro do ponto de vista da rede também é essencial. Usar uma segurança de nível VPN ou SSL/TLS para o ponto central é uma maneira mais segura do que não ter essa proteção.
Acesso gravado
O acesso gravado é um ótimo controle para se implementar no ambiente. Ele protege tanto a organização quanto o terceiro. Se a organização tiver um registro do que aconteceu, ela poderá rastrear as etapas e reverter o problema ou pelo menos solucioná-lo.
Além disso, com acesso gravado, não deve haver dúvidas sobre o que aconteceu. Está tudo registrado no registro digital.
Os controles técnicos acima só são eficazes se usados corretamente e se realmente usados. Sem os recursos para implementar, operar, monitorar e gerenciar as defesas, seus benefícios não serão alcançados.
Entre em contato com nossa equipe e conheça soluções que podem te ajudar a implementar todas as ferramentas necessárias para manter sua empresa devidamente protegida.
fonte:https://senhasegura.com/pt-br/acesso-de-terceiros-um-problema-crescente-para-as-organizacoes-de-hoje/
