Blog da FRAME

Segurança de fornecedores: ataque à cadeia de suprimentos da Marks & Spencer

Segurança de Fornecedores: Arquiteturas do Colapso e o Caso Marks & Spencer

Em abril de 2025, a rede varejista britânica Marks & Spencer não sofreu um ataque direto

 

O alvo inicial nem era ela. Era um fornecedor terceirizado de confiança, com acesso aos sistemas críticos da empresa, com credenciais válidas, com a aparência perfeita de um ator legítimo dentro da cadeia de operações.

 

O grupo Scattered Spider usou táticas avançadas de engenharia social para comprometer as credenciais de funcionários desse parceiro. 

 

Uma vez dentro da infraestrutura da M&S, os atacantes desativaram sistemas de automação de estoque, derrubaram plataformas de pagamento online e paralisaram redes de distribuição

 

A gigante do varejo foi forçada a retroceder décadas na operação, voltando a trabalhar literalmente com lápis e papel para manter o mínimo de funcionamento.

 

O impacto foi não menos que 300 milhões de libras esterlinas em perdas de lucro operacional, prateleiras vazias em lojas físicas e um efeito cascata que paralisou toda a cadeia de suprimentos por semanas. 

 

E o ponto mais incômodo de tudo isso é que a M&S não falhou. 

 

Foi o seu fornecedor

 

Foi a ausência de controles integrados entre a empresa e seus parceiros que abriu a porta para o colapso.

A ilusão do perímetro: por que proteger só a própria casa não é mais suficiente

A maioria das estratégias de cibersegurança corporativa ainda opera em uma lógica de fortaleza: construímos muros, instalamos câmeras, treinamos os guardas e declaramos que estamos protegidos. 

 

O problema é que essa fortaleza tem dezenas, às vezes centenas de portões laterais, um para cada fornecedor, parceiro, plataforma de terceiros e integração de API que foi adicionada ao ecossistema ao longo dos anos.

Visualização abstrata de uma rede corporativa formada por dezenas de conexões interligadas. Um pulso luminoso roxo atravessa a malha e provoca rupturas em um dos extremos, ilustrando como a vulnerabilidade de um fornecedor pode se propagar por todo o ecossistema digital.

Cada um desses portões é uma superfície de ataque em potencial. E na maioria dos casos, a empresa não sabe exatamente quantos portões existem, quem tem a chave de cada um e que nível de controle é aplicado do outro lado.

 

O World Economic Forum documentou esse padrão: CEOs de organizações consideradas altamente resilientes identificam vulnerabilidades em cadeia de fornecimento e terceiros como o principal desafio para fortalecer a resiliência

 

Não é uma ameaça emergente. É a ameaça dominante no ambiente atual, e as empresas que ainda tratam segurança de fornecedores como um checklist de conformidade estão operando com uma defesa que termina exatamente onde o adversário começa.

 

O ataque à M&S não explorou nenhuma vulnerabilidade técnica sofisticada. Explorou a confiança implícita que existe entre uma empresa e seus parceiros credenciados

 

Os “hackers” não precisaram quebrar criptografia nem explorar uma falha de zero-day. Foi só convencer um colaborador de um fornecedor a entregar as credenciais certas

 

O resto foi automático.

Arquitetura de defesa não é um catálogo de ferramentas. É uma decisão de design.

O erro mais caro que organizações cometem em cibersegurança é confundir investimento em ferramentas com investimento em proteção real

 

É possível ter o melhor portfólio de soluções do mercado e ainda assim ser completamente vulnerável a um ataque como o que derrubou a M&S, simplesmente porque as ferramentas não foram projetadas para operar de forma integrada com o ecossistema de parceiros.

 

Defesa real começa no design da arquitetura, não na aquisição de tecnologia. 

 

Ela exige que as decisões sobre identidade, acesso, dados e monitoramento levem em conta, desde o início, todos os atores que interagem com os sistemas da empresa. Isso inclui funcionários, mas também fornecedores, plataformas externas, provedores de nuvem e qualquer sistema de terceiros com acesso a dados ou processos críticos.

 

A abordagem de menor privilégio, em que cada ator recebe apenas o acesso estritamente necessário para executar sua função, é o fundamento mais básico dessa arquitetura. 

 

E em ambientes complexos com múltiplos parceiros e integrações, aplicar esse princípio exige um inventário preciso de quem acessa o quê, com que frequência e com que justificativa. 

 

Sem esse inventário, menor privilégio é apenas uma intenção sem execução.

 

O Gartner projeta que soluções de segurança preemptivas, aquelas focadas em prevenir incidentes antes que aconteçam, em vez de apenas detectá-los depois, chegarão a 50% do gasto total em segurança de TI até 2030.

Barra horizontal dividida entre os modelos de segurança reativo e preemptivo. A seção preemptiva aparece iluminada em roxo, enquanto a parte reativa está escurecida e rachada, representando a evolução das estratégias de cibersegurança para prevenção de ataques.

Em 2024, esse número estava abaixo de 5%. Essa mudança de patamar reflete o reconhecimento de que a velocidade dos ataques modernos torna a abordagem puramente reativa cada vez mais ineficaz.

O fornecedor como extensão do perímetro de risco

Um ponto que a maioria das organizações ainda não incorporou à sua gestão de risco é que a maturidade de segurança de um fornecedor é, na prática, parte da maturidade de segurança da própria empresa

 

Se um parceiro crítico opera com controles fracos, autenticação inadequada ou ausência de monitoramento, esse gap de segurança se transfere diretamente para o ecossistema de qualquer empresa que confie nesse parceiro com acesso a sistemas ou dados sensíveis.

Ilustração conceitual com dois cubos translúcidos conectados por um elo luminoso roxo. O cubo da direita apresenta rachaduras e falhas digitais, indicando que uma vulnerabilidade em um fornecedor pode comprometer toda a cadeia de confiança entre organizações.

Isso significa que avaliar a postura de segurança de fornecedores não é uma atividade de procurement. É uma atividade de gestão de risco operacional, com impacto direto sobre a continuidade do negócio. E ela precisa ser contínua, não pontual: um fornecedor que era seguro no momento da contratação pode ter sofrido mudanças organizacionais, adotado novos sistemas vulneráveis ou simplesmente negligenciado a atualização de seus controles nos meses seguintes.

 

O WEF registra que organizações mais resilientesintegraram segurança ao processo de compras e à avaliação contínua de maturidade de fornecedores

 

Não como auditoria anual. 

 

Como parte permanente da gestão do relacionamento

 

A diferença entre essa abordagem e a abordagem tradicional é a diferença entre ter um sistema imunológico ativo e ter um plano de vacinação para uma doença que já chegou.

Resiliência é uma escolha de arquitetura, não um produto que se compra

O caso Marks & Spencer deixa uma lição que vai além da gestão de fornecedores

 

Ele demonstra que a resiliência organizacional não é algo que se alcança com um investimento pontual em segurança. É o resultado de decisões arquiteturais tomadas deliberadamente ao longo do tempo, que determinam como a empresa se comporta quando parte do seu ecossistema é comprometido.

 

Uma organização verdadeiramente resiliente não apenas evita que ataques aconteçam. Ela está projetada para continuar operando mesmo quando um ataque atravessa um de seus portões. Isso exige segmentação real, processos de contenção testados e a capacidade de isolar sistemas comprometidos sem paralisar a operação inteira.

 

A M&S não tinha isso. E o custo foi de 300 milhões de libras e semanas de operação degradada

 

O próximo alvo pode ser qualquer empresa que ainda acredita que proteger o próprio perímetro é suficiente em um mundo onde o adversário entra pela porta do parceiro.

 

O Frame Trends explora com dados e exemplos sobre como as organizações líderes estão redesenhando suas arquiteturas de segurança para incluir o ecossistema de fornecedores como parte integrante do modelo de defesa

 

Saiba mais acessando a análise executiva abaixo:

  • Relatórios de segurança independentes e cobertura da imprensa especializada: Caso Marks & Spencer e ataque do Scattered Spider, abril de 2025.
  • World Economic Forum: Global Cybersecurity Outlook 2026 — Vulnerabilidades em cadeia de suprimentos e resiliência organizacional.
  • Gartner: Projeções de gastos em segurança preemptiva até 2030.
  • CrowdStrike Global Threat Report 2025: Táticas de engenharia social e ataques sem malware.

Add comment: