La empresa de voz sobre IP (VoIP) 3CX anunció recientemente que su software Electron se vio comprometido en un ataque a la cadena de suministro. Los atacantes, que se cree que son actores estatales afiliados a Corea del Norte, Labyrinth Chollima, pudieron instalar un malware troyanizado llamado TAXHAUL en la aplicación de escritorio 3CX para desplegar más actividades maliciosas en los clientes aprovechando la vulnerabilidad de la aplicación.
Con más de 242 000 sistemas de gestión telefónica 3CX expuestos públicamente y 600 000 empresas como clientes de 3CX, este ataque a la cadena de suministro de software tiene el potencial de crear problemas de seguridad generalizados si las herramientas antivirus no marcan y desinstalan el ejecutable 3XC y subvierten su función de suspensión.
Esta publicación examina cinco prácticas recomendadas para mitigar los riesgos de ataques similares a la cadena de suministro de software.
Cinco prácticas recomendadas para mitigar el impacto de los ataques a la cadena de suministro de software
El anuncio de un incidente de seguridad de alto impacto en la cadena de suministro de software no es el momento adecuado para asegurarse de que su organización cuenta con un plan de respuesta a incidentes de terceros. En su lugar, prepárese para el próximo incidente desarrollando ahora mismo un enfoque proactivo. A continuación, le presentamos cinco prácticas recomendadas que debe tener en cuenta:
1. Elaborar un inventario centralizado de todos los terceros
Un inventario centralizado de todos los proveedores y distribuidores externos añade gobernanza y procesos a la gestión de proveedores, y reduce la probabilidad de que las relaciones con proveedores poco fiables supongan un riesgo para sus operaciones de TI. El inventario de sus proveedores debe realizarse en una plataforma centralizada, no en hojas de cálculo, de modo que varios equipos internos puedan participar en la gestión de proveedores y el proceso pueda automatizarse en beneficio de todos.
Puede crear un inventario centralizado de proveedores importándolos a su plataforma de gestión de riesgos de terceros mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente. Los equipos de toda la empresa deben poder rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esta función debe estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.
Una vez centralizados los proveedores, realice evaluaciones de puntuación de riesgos inherentes que le ayuden a determinar cómo evaluar a sus proveedores externos de forma continua en función de los riesgos que suponen para su negocio.
2. Construir un mapa de terceros para determinar el riesgo de concentración tecnológica
Recopilar las tecnologías de terceros implementadas en el ecosistema de proveedores durante el proceso de inventario ayuda a identificar las relaciones entre su organización y terceros en función del uso de determinadas tecnologías, y le ayudará a visualizar las vías de ataque a su empresa y a tomar medidas proactivas de mitigación. Puede lograrlo mediante una evaluación específica o un escaneo pasivo.
En el caso del ataque a la cadena de suministro del software 3CX, disponer de un mapa de proveedores que utilizan la solución Electron para VoIP le ayudaría a identificar a qué proveedores evaluar en busca de una posible exposición a malware. Céntrese primero en los proveedores de primer nivel o críticos para el negocio, ya que una interrupción en sus operaciones podría afectar a su organización de forma más grave.
3. Evaluar la resiliencia empresarial y los planes de continuidad de terceros.
Interactúe de manera proactiva con los proveedores afectados mediante evaluaciones sencillas y específicas que se ajusten a los estándares conocidos del sector en materia de seguridad de la cadena de suministro, como NIST 800-161 e ISO 27036. Los resultados de estas evaluaciones le ayudarán a identificar las medidas correctivas necesarias para subsanar posibles brechas de seguridad.
Las buenas soluciones proporcionarán automatización del flujo de trabajo, revisión y análisis, gestión de pruebas de apoyo y recomendaciones integradas para acelerar la corrección y cerrar rápidamente esas brechas.
Como parte del proceso de evaluación, exigir a los proveedores de software que elaboren una lista de materiales de software (SBOM). Las SBOM no solo pueden detallar los componentes que conforman un software, sino también explicar los procesos de garantía de calidad (QA) y evaluación de seguridad utilizados durante el proceso de desarrollo del software.
4. Supervisar continuamente a los proveedores y distribuidores afectados por ciberataques.
Estar continuamente alerta ante el próximo ataque significa buscar señales de un incidente de seguridad inminente. Es esencial vigilar los foros de delincuentes, las páginas cebolla, los foros de acceso especial de la web oscura, los feeds de amenazas, los sitios de pegado de credenciales filtradas, las comunidades de seguridad, los repositorios de código y las bases de datos de vulnerabilidades y hackeos/infracciones.
Puede supervisar estas fuentes de forma individual o buscar soluciones que unifiquen toda la información en una única solución, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agilizará la revisión de riesgos, la elaboración de informes y las iniciativas de respuesta.
5. Pruebe su plan de respuesta ante incidentes de terceros.
La automatización de la respuesta ante incidentes es clave para reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) ante incidentes de terceros, lo que puede reducir el impacto del incidente en sus operaciones.
A medida que mejora continuamente sus planes de respuesta ante incidentes:
- Aproveche un cuestionario centralizado de gestión de eventos e incidentes para reducir los tiempos de respuesta y simplificar y estandarizar las evaluaciones.
- Seguimiento en tiempo real de la cumplimentación de los cuestionarios para reducir las posibles repercusiones.
- Permitir a los proveedores informar proactivamente sobre los incidentes para añadir contexto y acelerar los tiempos de respuesta.
- Utilizar reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
- Orientar al proveedor para que reduzca el riesgo hasta un nivel aceptable para su organización.
Al centralizar la respuesta a incidentes de terceros en un único proceso de gestión de incidentes empresariales, sus equipos de TI, seguridad, legal, privacidad y cumplimiento pueden trabajar juntos de forma eficaz para mitigar los riesgos.
Próximos pasos para mejorar la seguridad de la cadena de suministro de software
Adoptar un enfoque manual y reactivo para la detección de vulnerabilidades en el software de terceros y la respuesta a incidentes solo aumentará la probabilidad de que se produzca una interrupción en su negocio. En su lugar, implemente las cinco prácticas recomendadas que se describen en este artículo para estar mejor preparado para su próximo reto en materia de seguridad de la cadena de suministro.
Para obtener más información sobre cómo Prevalent puede ayudar a reducir el riesgo de la cadena de suministro en cada etapa del ciclo de vida del proveedor, lea nuestro informe técnico «Lista de verificación para la respuesta a incidentes de terceros» o solicite una demostración para una sesión estratégica hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
