Um ataque à cadeia de suprimentos é uma estratégia que se vale de ferramentas ou serviços de terceiros, denominados coletivamente como “cadeia de suprimentos”, para infiltrar-se no sistema ou na rede de um alvo. Esses ataques, também conhecidos como “ataques de cadeia de valor” ou “ataques de terceiros”, têm como alvo as dependências de terceiros nas quais os alvos finais confiam, muitas vezes sem o seu conhecimento. Essencialmente, os ataques à cadeia de suprimentos são indiretos e envolvem a inserção de código malicioso em softwares fornecidos por terceiros. Esses softwares, posteriormente, são distribuídos aos clientes desses fornecedores por meio de atualizações de sistema aparentemente confiáveis. Ao realizar o download dessas atualizações, os clientes inadvertidamente concedem aos invasores acesso não autorizado aos seus sistemas e informações. A execução de um ataque à cadeia de suprimentos geralmente ocorre em duas etapas principais. Primeiramente, os invasores buscam obter acesso ao sistema, aplicativo ou ferramenta de terceiros que pretendem explorar, conhecido como ataque “upstream”. Isso pode ser alcançado por meio de credenciais roubadas, direcionamento a fornecedores com acesso temporário, ou aproveitando vulnerabilidades de software desconhecidas.
Uma vez obtido o acesso à dependência de terceiros, os invasores realizam o ataque “downstream”. Este é o estágio em que atingem o alvo final, muitas vezes por meio do navegador ou dispositivo do usuário, usando várias táticas, como a adição de código malicioso a softwares de segurança cibernética, a inclusão de malware disfarçado em atualizações de software ou a exploração de vulnerabilidades em código aberto. Existem vários tipos comuns de ataques à cadeia de suprimentos, incluindo ataques baseados em navegadores, ataques de software que mascaram malware em atualizações, ataques de código aberto que exploram vulnerabilidades conhecidas e ataques JavaScript que exploram falhas no código. Para se defender contra esses ataques, as organizações adotam estratégias preventivas, como avaliações de risco de terceiros, a implementação do modelo Zero Trust, o uso de ferramentas de prevenção contra malware, isolamento do navegador, detecção de “TI invisível”, correção e detecção de vulnerabilidades e prevenção contra explorações de dia zero. Essas medidas buscam fortalecer as defesas contra as ameaças à cadeia de suprimentos, reconhecendo a complexidade e os desafios associados a essa forma de ataque.