A empresa de cibersegurança Trellix confirmou que seu repositório de código fonte foi violado em um incidente de segurança recente. A investigação da empresa não encontrou nenhum impacto no processo de liberação ou distribuição de seu código fonte, o que minimiza o risco imediato para os clientes que utilizam seus produtos. No entanto, a violação destaca a importância da segurança de repositórios de código em um cenário de ameaças em constante evolução.
Descoberta e escopo da violação
A violação foi descoberta durante uma auditoria de segurança de rotina, que revelou acessos não autorizados ao repositório de código fonte da Trellix. A empresa iniciou imediatamente uma investigação interna para determinar a extensão do comprometimento e identificar os atacantes. A investigação concluiu que, embora o acesso ao repositório tenha sido obtido, não houve comprometimento dos processos de build ou distribuição de software.
O repositório de código fonte da Trellix contém o código base para seus produtos de segurança, incluindo soluções de endpoint, rede e gerenciamento de ameaças. A violação deste repositório poderia ter permitido que atacantes injetassem código malicioso nos produtos, mas a investigação confirmou que os processos de integridade e assinatura foram mantidos.
A Trellix enfatizou que a violação foi contida rapidamente e que não há evidências de que o código fonte tenha sido alterado ou que produtos comprometidos tenham sido distribuídos aos clientes. A empresa está trabalhando com autoridades de segurança para investigar a origem do ataque e identificar os responsáveis.
Impacto na cadeia de suprimentos de segurança
A violação do repositório de código fonte da Trellix tem implicações significativas para a cadeia de suprimentos de segurança. Repositórios de código são alvos valiosos para atacantes que buscam comprometer produtos de segurança ou obter informações sobre vulnerabilidades não divulgadas.
Para os clientes da Trellix, a confirmação de que não houve impacto no processo de distribuição é tranquilizadora. No entanto, a violação serve como um lembrete de que mesmo empresas de segurança não estão imunes a ataques. A segurança de repositórios de código deve ser uma prioridade para todas as organizações que desenvolvem software crítico.
A Trellix está revisando suas políticas de acesso ao repositório e implementando controles de segurança adicionais para prevenir futuras violações. Isso inclui a implementação de autenticação multifator (MFA) obrigatória para todos os desenvolvedores e a revisão de permissões de acesso.
Medidas de mitigação recomendadas
Para mitigar os riscos associados a violações de repositórios de código, as organizações devem implementar as seguintes medidas:
- Autenticação Multifator (MFA): Implementar MFA obrigatória para todos os acessos ao repositório de código. Isso impede que credenciais roubadas sejam usadas para acessar o repositório.
- Monitoramento de Acesso: Habilitar logs detalhados de acesso e atividade no repositório. Monitorar tentativas de login fora do horário comercial ou de locais incomuns.
- Revisão de Permissões: Revisar regularmente as permissões de acesso ao repositório e remover privilégios desnecessários. Garantir que apenas desenvolvedores autorizados tenham acesso ao código.
- Integridade de Build: Implementar controles de integridade para garantir que o código de build não foi alterado. Usar assinaturas digitais para verificar a autenticidade dos builds.
- Conscientização: Treinar desenvolvedores para identificar tentativas de phishing direcionadas a credenciais de acesso ao repositório.
Implicações para a confiança do cliente
A violação do repositório de código fonte da Trellix pode afetar a confiança dos clientes na empresa. A confirmação de que não houve impacto no processo de distribuição é crucial para manter a confiança, mas a transparência é fundamental.
A Trellix deve continuar a comunicar-se abertamente com seus clientes sobre o incidente e as medidas tomadas para prevenir futuras violações. A confiança é um ativo valioso na indústria de segurança, e a transparência é essencial para mantê-la.
O que os CISOs devem fazer agora
Os CISOs devem revisar as políticas de segurança de repositórios de código em suas organizações. Isso inclui garantir que o MFA esteja habilitado, revisar as permissões de acesso e monitorar a atividade no repositório. A colaboração com fornecedores de software é essencial para garantir que as políticas de segurança estejam alinhadas com as melhores práticas do setor.
A vigilância contínua e a atualização das políticas de segurança são fundamentais para combater ameaças à cadeia de suprimentos de software. A natureza persistente dos ataques exige que as organizações estejam preparadas para responder rapidamente a qualquer sinal de comprometimento, minimizando o tempo de residência dos atacantes nas redes.