En los últimos años, los ciberataques han evolucionado al mismo ritmo que nuestras defensas (lo cual no sorprende a nadie). Los atacantes buscan y encuentran formas nuevas e innovadoras de comprometer los activos y los datos, desde ataques a los usuarios finales, como el robo de credenciales y el malware basado en navegadores, hasta ataques centrados en la nube que aprovechan las API y los servicios nativos de la nube.
Por desgracia, los ciberatacantes también han descubierto cómo comprometernos a través del software, que es sin duda el eslabón más débil en muchos entornos corporativos. Seamos realistas: un gran porcentaje de las grandes empresas no disponen de un inventario de software preciso o actualizado, y a menudo sabemos muy poco sobre los desarrolladores de software que crean, empaquetan y nos suministran este software.
El hecho de que compremos software a proveedores grandes y conocidos no significa que los atacantes no se hayan infiltrado en sus entornos y hayan enviado algo malicioso, sin que el fabricante del software lo sepa. Esto se agrava cuando se trata de empresas más pequeñas y start-ups, ya sea software empaquetado, SaaS o proveedores de código abierto., u otros servicios en la nube, debido a su falta de recursos dedicados a la seguridad del software.
En resumen, la cadena de suministro de software es un desastre.
Ejemplos de ataques a la cadena de suministro de software
Si mencionas«SolarWinds»a cualquier persona dedicada a la seguridad informática, lo más probable es que te responda con un gesto de negación y el ceño fruncido; sí, fue así de grave. Ellos fueron víctimas, distribuyeron el malware, nosotros fuimos víctimas, y ahí lo tienes: una cadena de distribución de malware muy elegante en su máxima expresión.
Hemos visto el impacto devastador de la vulnerabilidad Log4j en entornos de desarrollo, y ahora los atacantes están cargando paquetes y contenidos comprometidos en repositorios de paquetes. Más recientemente, y a diferencia de los incidentes de Solar Winds, Log4j o Codecov, hemos visto la vulnerabilidad XZ Utils, en la que un atacante utilizó ingeniería social para entrar por la puerta trasera de la utilidad de compresión de datos de código abierto ampliamente utilizada en los sistemas Linux.
Las infracciones de terceros tampoco disminuirán. Al menos hasta que empecemos a controlar a quién le compramos el software, dónde se encuentra en nuestros entornos, qué privilegios tiene, a qué tiene acceso y, lo más importante, si podemos confiar en él desde el principio.
Mitigación de los ataques a la cadena de suministro de software
Se están llevando a cabo importantes iniciativas en el sector para reforzar la seguridad de la cadena de suministro de software. Muchos profesionales de los sectores de la seguridad informática y el software, junto con toda la comunidad de gestión de riesgos, han abogado por que las organizaciones publiquen y mantengan una lista de materiales de software (SBOM) que pueda facilitarse a los clientes que lo soliciten. Una SBOM es una lista estructurada formalmente de los componentes, bibliotecas y módulos necesarios para crear un software. Las SBOM proporcionan una visión mucho más profunda de la posible vulnerabilidad del propio software al enumerar sus componentes.
Algunos fabricantes de software se han resistido a crear SBOM, probablemente debido a la percepción de que, de alguna manera, están revelando propiedad intelectual confidencial. Sin embargo, todos sabemos que todo el mundo utiliza código abierto en todas partes. SBOM no es código fuente, sino una lista de paquetes y componentes utilizados para crear software, muchos de los cuales son muy vulnerables a los ataques a lo largo de los años. El Gobierno de los Estados Unidos está impulsando las SBOM, que podrían convertirse fácilmente en un elemento fundamental de la supervisión y la notificación de la gestión de riesgos de terceros en un futuro próximo.
Otras áreas de interés en el sector incluyen la creación de flujos de trabajo para ataques a la cadena de suministro de software, como MITRE ATT&CK, un mecanismo universal de notificación de vulnerabilidades y sintaxis para errores de software.
Cuatro prácticas recomendadas para mitigar el riesgo de incidentes de seguridad en la cadena de suministro de software
Esta última vulnerabilidad sirve como recordatorio de que las organizaciones deben contar con un plan de respuesta a incidentes de terceros para determinar rápidamente el impacto de las vulnerabilidades en la cadena de suministro de software en sus proveedores externos. A continuación se presentan cuatro prácticas recomendadas a tener en cuenta:
1. Desarrollar un inventario centralizado de todos los proveedores.
Esto le permitirá clasificar y perfilar a sus proveedores según la importancia de los servicios prestados y cuantificar la probabilidad y el impacto de una infracción. Una profilización y clasificación precisas también le permiten ajustar su diligencia debida continua en función del nivel del proveedor. Los proveedores de alto nivel (por ejemplo, aquellos cuyo fallo ha creado un problema operativo para su empresa) reciben la mayor atención.
2. Comprender qué proveedores están utilizando la tecnología afectada.
Recopilar las tecnologías de terceros implementadas en el ecosistema de proveedores durante el proceso de inventario ayuda a identificar las relaciones entre su organización y terceros en función del uso de determinadas tecnologías. Esto le ayudará a visualizar las vías de ataque en su empresa y a tomar medidas proactivas para mitigarlas. Puede lograrlo mediante una evaluación específica o un análisis pasivo.
3. Evaluar la resiliencia empresarial y los planes de continuidad de terceros.
Involucre de forma proactiva a los proveedores con evaluaciones sencillas y específicas, alineadas con los estándares de seguridad de la cadena de suministro conocidos en el sector, como NIST 800-161 e ISO 27036. Los resultados de estas evaluaciones le ayudarán a identificar las medidas correctivas necesarias para cerrar las posibles brechas de seguridad. Las buenas soluciones proporcionarán recomendaciones integradas para acelerar el proceso de corrección y cerrar esas brechas rápidamente.
4. Supervisar continuamente a los proveedores y distribuidores para proporcionar visibilidad, incluyendo la postura cibernética, las noticias negativas y los ciberataques.
Estar continuamente alerta ante el próximo ataque significa buscar señales de un incidente de seguridad inminente. Es esencial supervisar los foros criminales, las páginas onion, los foros de acceso especial de la web oscura, las fuentes de amenazas, los sitios de pegado de credenciales filtradas, las comunidades de seguridad, los repositorios de código y las bases de datos de vulnerabilidades y hackeos/violaciones. Puede supervisar estas fuentes individualmente o buscar soluciones que unifiquen toda la información en una única solución, de modo que todos los riesgos estén centralizados y sean visibles para la empresa.
Obtenga más consejos para proteger su cadena de suministro de software.
Me he asociado con Prevalent para ofrecer un seminario web sobre las mejores prácticas en materia de seguridad de la cadena de suministro de software, en el que se examina cómo una estrategia madura de gestión de riesgos de terceros puede ayudarle a controlar los ataques contra sus proveedores de TI. Vea a continuación «Cómo evaluar la ciberseguridad de sus proveedores de software ».
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
