home Tecnologia de manufatura Equipamentos de Fabricação
Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Manufacturing Technology >> Tecnologia industrial

O que o hack da SolarWinds nos diz sobre a IoT e a segurança da cadeia de suprimentos


Não importa o setor, as violações de segurança cibernética parecem estar aumentando em tamanho e escala.

A ampla campanha de hackers lançada pela Rússia três meses atrás - que impactou até 18.000 clientes da fabricante de software SolarWinds Corp. com sede no Texas - é um exemplo flagrante do alcance de um possível ataque à cadeia de suprimentos.

O termo “risco da cadeia de suprimentos” é um grande guarda-chuva que cobre muitas ameaças e vulnerabilidades de segurança. No caso da SolarWinds, os atores da ameaça, que se acredita estarem trabalhando em nome de um governo estrangeiro, trocaram as atualizações de software para uma ferramenta popular SolarWinds Orion. O ataque deixou potenciais pontos de acesso backdoor para centenas de empresas e nove agências federais. E isso é apenas o que sabemos - provavelmente descobriremos os efeitos dessa violação nos próximos anos.

Outros riscos da cadeia de suprimentos podem se manifestar como falhas de segurança embutidas em dispositivos eletrônicos. Os fabricantes de smartphones, impressoras, roteadores, dispositivos de internet das coisas e sistemas de infraestrutura crítica compram componentes de terceiros. Esses componentes são enviados com firmware integrado que pode ter falhas de segurança existentes. Além do mais, parte desse firmware não foi escrito pelo fabricante, mas vem de código-fonte aberto mantido por voluntários no I.T. comunidade.

Aqui está o que a indústria da cadeia de suprimentos mais ampla precisa saber sobre ataques cibernéticos.

Software Veiled

Há um movimento crescente de compradores que exigem listas abrangentes do software em um dispositivo - mas, por enquanto, é raro que os fabricantes forneçam. Essa lista, conhecida como lista de materiais de software (SBOM), é a chave para a segurança da cadeia de suprimentos, mas é importante observar que não é uma panaceia. Por exemplo, um SBOM não teria capturado a porta dos fundos da SolarWinds. O que era necessário era que um membro da equipe de segurança analisasse os arquivos finais do software por conta própria, antes de serem liberados para os clientes.

Um banco traseiro

Os desenvolvedores de software e fabricantes de dispositivos mudaram para processos de desenvolvimento rápido. No lado do software, esta estrutura de desenvolvimento ágil empurra várias e rápidas atualizações, às vezes para adicionar novos recursos, às vezes para corrigir falhas de segurança. Há um impulso semelhante no lado do dispositivo da equação - e isso é especialmente verdadeiro para dispositivos IoT vendidos como commodities a granel.

Em qualquer dos casos, a segurança muitas vezes acaba ficando para trás. Cabe à liderança da organização reconhecer o risco de não priorizar a segurança e às equipes de desenvolvimento ser proativas na mitigação desses riscos antes que eles possam ser explorados. A realidade é que os invasores estão bem à frente da indústria. Isso colocou as organizações em uma postura reativa e deu origem a vários regulamentos e padrões. É mais importante do que nunca para empresas, fabricantes e compradores, adotar uma abordagem proativa.

Potencial de acesso

As cadeias de suprimentos globais tornaram-se alvos particularmente atraentes devido aos seus sistemas amplamente conectados e, muitas vezes, mal protegidos. É uma prática comum duplicar software em mais de um dispositivo - ou seja, se um hacker encontrar uma vulnerabilidade em uma câmera de campainha, também pode ser possível explorar outra marca de campainha, uma smart TV, uma geladeira conectada ou um termostato doméstico.

Para os hackers, uma vulnerabilidade que afeta um único dispositivo é insignificante, porque é difícil monetizar esses tipos de hacks, mas vulnerabilidades generalizadas da cadeia de suprimentos podem ser muito mais valiosas. Para executivos da cadeia de suprimentos, é importante pensar em todos os dispositivos em sua empresa que podem permitir pivôs para outros sistemas.

A violação da SolarWinds foi um alerta para muitos dentro e fora da comunidade de segurança cibernética. Para outros, foi uma confirmação do que já sabíamos e do que temos trabalhado tanto para prevenir.

A lição mais importante desse ataque é que precisamos reavaliar a confiança que colocamos nos fornecedores, software e dispositivos. Independentemente de onde você esteja na cadeia de suprimentos, de um usuário corporativo de software a um OEM e a um fornecedor de software, você provavelmente está depositando uma quantidade incrível de confiança em seus fornecedores e seus produtos. Precisamos repensar como avaliamos essas relações de confiança e, o mais importante, precisamos entender como podemos verificar a segurança deste software, firmware e hardware durante todo o ciclo de vida.

Matt Wyckhouse é fundador e CEO da Finite State.

Tecnologia industrial

  • Processo de manufatura
  • impressao 3D
  • Sistema de controle de automação
  • Tecnologia industrial
    1. Descompactando a IoT, uma série:O desafio da segurança e o que você pode fazer a respeito
    2. A morte do departamento de manutenção e o que podemos fazer a respeito
    3. Segurança cibernética e a Internet das coisas:segurança IoT à prova de futuro
    4. O que você precisa saber sobre IoT e segurança cibernética
    5. A importância de US $ 6 trilhões dos padrões e regulamentos de segurança na era IoT
    6. 5G, IoT e os novos desafios da cadeia de suprimentos
    7. O que a Marinha me ensinou sobre como gerenciar cadeias de suprimentos e logística
    8. O que é segurança de IoT?
    9. Segurança de IoT industrial:desafios e soluções
    10. O que é o software CMMS? Uma olhada no software CMMS, seus benefícios e como escolher o melhor programa de software CMMS