Los atacantes siempre han buscado el eslabón más débil de la cadena para romper una defensa. Esto no ha cambiado en el mundo empresarial altamente digitalizado de hoy y también incluye la cadena de suministro de la industria proveedora. Los proveedores a menudo tienen acceso a los sistemas internos de sus clientes, y un ataque a proveedores aparentemente insignificantes puede significar que los grupos de piratas informáticos ingresen a la red de una corporación global.
Los ataques a través de la cadena de suministro de software son aún más comunes y tienen efectos aún más dramáticos. Entonces, en lugar de atacar directamente a la empresa objetivo, los ciberdelincuentes apuntan a sus distribuidores de software. Identifican operadores con prácticas de seguridad inadecuadas para inyectar código malicioso en un componente de software confiable. Con la próxima actualización han alcanzado su objetivo: en la red de la gran empresa.
Ataques explosivos a la cadena de suministro en 2023
Los incidentes recientes lo han dejado claro: en el curso de los avances globales en digitalización, los ataques a la cadena de suministro han adquirido nuevas dimensiones y están creando un punto de partida completamente nuevo en la seguridad cibernética. Significan una realización desagradable para las empresas: el eslabón más débil de la cadena a menudo está fuera de su estructura de seguridad y, por lo tanto, fuera de su control. Al comprometer a un solo proveedor, los atacantes pueden convertir cada aplicación o actualización de software vendida en caballos de Troya. Un gran proveedor de servicios puede, sin saberlo, infectar a miles de empresas con una sola actualización. Este alto nivel de eficiencia ha hecho que los ataques a la cadena de suministro sean enormemente populares entre los ciberdelincuentes. La amenaza de los ataques a la cadena de suministro representa un riesgo significativo para las empresas modernas en la actualidad, y el daño financiero puede ser enorme, desde la pérdida de producción hasta el esfuerzo requerido para investigar el incidente de seguridad, las pérdidas debido al daño a la reputación y las multas reglamentarias.
Objetivos atractivos
Uno de los ejemplos más devastadores es el ataque a la cadena de suministro de 2020 contra la empresa de software SolarWinds, que afectó a una variedad de organizaciones, incluido el gobierno de EE. UU. Dado que el sistema de monitoreo de TI que se ofrece es ampliamente utilizado y, además, disfruta de un acceso privilegiado a los sistemas de TI para obtener datos de rendimiento del sistema y registros, esto convirtió a SolarWinds en un objetivo atractivo para los atacantes.
Otro caso grave fue el ataque a la cadena de suministro contra el proveedor de servicios de TI Kaseya en julio de 2021, en el que finalmente se implementó ransomware a través de una actualización de software manipulada y afectó a unas 1.500 empresas en todo el mundo. Una de las víctimas más conocidas en Europa fue la cadena de supermercados Coop-Suecia, que tuvo que cerrar temporalmente 800 de sus tiendas porque falló un proveedor de servicios de pago para sus sistemas de caja.
El reciente ciberataque a la cadena de suministro de Toyota en marzo de 2022, que paralizó un tercio de la producción global de la empresa, demostró cuán vulnerable es la cadena de suministro de las empresas industriales actuales. Por ejemplo, el fabricante de automóviles japonés tuvo que detener las 28 líneas de producción en sus 14 plantas nacionales después de que un proveedor clave se viera afectado por una falla en el sistema de TI causada por un ataque cibernético.
Zero Trust
Si bien los ataques a la cadena de suministro de software se están volviendo más sofisticados, se pueden contener. Renunciar a las actualizaciones no es una opción, pero las organizaciones deben darse cuenta de que incluso los proveedores más confiables no son inmunes a las intrusiones y las infracciones. Como resultado, los líderes de seguridad deben ir más allá de las evaluaciones de riesgos de los proveedores tradicionales. El principio de "confianza cero" se aplica incluso al software estándar de los principales fabricantes. Cada aplicación en cada dispositivo debe ser monitoreada continuamente, tanto a nivel de punto final como a nivel de red. Solo se hace evidente cuando una aplicación cambia su comportamiento habitual y, por ejemplo, busca acceso a otras aplicaciones, envía datos a través del borde de la red o recarga archivos de fuentes previamente desconocidas.
Para hacer cumplir un modelo de confianza cero, las empresas deben asegurarse de que los derechos de acceso se asignen y gestionen adecuadamente. En muchas organizaciones, los empleados, los socios y las aplicaciones de software tienen privilegios innecesariamente altos que facilitan el lanzamiento de ataques a la cadena de suministro. Por lo tanto, aquí se debe seguir el principio de privilegio mínimo, en el que a los empleados y programas de software solo se les asignan las autorizaciones que realmente necesitan para realizar sus tareas. Ya no hay carta blanca: se comprueba cada acceso a otros recursos.
Medidas Comprobadas
Las medidas comprobadas de control de acceso incluyen la autenticación multifactor (MFA) y la segmentación de la red. Esto evita que el software de terceros tenga acceso sin obstáculos a todos los rincones de la red, crea muros de defensa contra los ataques y, por lo tanto, limita el éxito de los ataques. Si un ataque a la cadena de suministro afecta una parte de la red, el resto permanece protegido.
Para evaluar el cumplimiento y los procesos de los proveedores de software que utilizan, las empresas también deben enviar periódicamente cuestionarios de seguridad. Se trata de asegurarse de que sigan las mejores prácticas para evitar cualquier manipulación del código.
Las empresas solo tienen medios limitados para defenderse contra una actualización manipulada de software legítimo. Con un enfoque de confianza cero y un control estricto por parte de los analistas de seguridad en forma de servicios del Centro de defensa cibernética (CDC-as-a-Service) o soluciones de tecnología CDC como Radar Solutions, un ataque se detecta rápidamente y las consecuencias del mismo. el ataque se vuelve local limitado. Eso sí: el delito cibernético es tan lucrativo y exitoso como usted lo permite.
Más en RadarCyberSecurity.com
Sobre Radar Ciberseguridad Radar Cyber Security opera uno de los centros de ciberdefensa más grandes de Europa en el corazón de Viena basado en la tecnología patentada Cyber Detection Platform. Impulsada por la sólida combinación de conocimientos y experiencia humana, junto con los últimos avances tecnológicos de diez años de trabajo de investigación y desarrollo, la empresa combina soluciones integrales para los desafíos relacionados con la seguridad de TI y OT en sus productos RADAR Services y RADAR Solutions.