- Empresas investem em segurança cibernética, mas frequentemente ignoram a segurança de seus fornecedores.
- Ataques à cadeia de suprimentos digital, como os de SolarWinds e Kaseya, mostram a vulnerabilidade desses fornecedores.
- Os atacantes exploram brechas em sistemas terceirizados, que muitas vezes são mal configurados ou têm código vulnerável.
- É essencial realizar testes ofensivos regulares em fornecedores para validar a segurança das conexões externas.
- Empresas devem exigir auditorias técnicas e testes de penetração a cada seis meses e após atualizações significativas.
Empresas estão investindo milhões em segurança cibernética, mas frequentemente negligenciam a segurança de seus fornecedores, que podem ser pontos vulneráveis. Ataques à cadeia de suprimentos digital, como os casos da SolarWinds e Kaseya, evidenciam a necessidade de testes ofensivos regulares em fornecedores.
Os atacantes não buscam invadir diretamente empresas com segurança robusta. Em vez disso, exploram brechas em sistemas terceirizados. Esses fornecedores, muitas vezes mal configurados ou com código vulnerável, podem ser a porta de entrada para ataques devastadores. A maioria das empresas não valida tecnicamente esses acessos externos, o que as torna alvos fáceis.
Esses ataques à supply chain estão se tornando o novo padrão. Casos como SolarWinds e Kaseya mostram como vulnerabilidades em fornecedores podem afetar milhares de empresas simultaneamente. Mesmo fora dos holofotes, ataques desse tipo ocorrem diariamente em ambientes corporativos que confiam cegamente em sistemas de terceiros.
Para garantir a segurança, é essencial que as empresas realizem testes ofensivos em seus fornecedores. Não basta um contrato ou um selo de conformidade; é necessário simular ataques reais e validar as conexões como parte da superfície de ataque. Sem essa abordagem, a segurança pode ser ilusória.
Empresas que levam a segurança a sério devem exigir auditorias técnicas e pentests recorrentes de seus fornecedores, com uma periodicidade mínima de duas vezes por ano. Após atualizações significativas, novas validações devem ser apresentadas. Exibir resultados de forma clara é fundamental para evitar que o ecossistema digital seja explorado por vulnerabilidades não detectadas.
Entre na conversa da comunidade