Log4Shell o Solarwinds son ejemplos típicos de ataques a empresas a través de su cadena de suministro de software. Es característico que los ciberdelincuentes no obtengan acceso directo a la empresa objetivo, sino que ataquen a través de una puerta trasera. Un comentario de Trend Micro.
Si mira hacia atrás en algunos ataques recientes (especialmente Solarwinds o Log4Shell), notará que están jugando cada vez más "sobre las pandillas". Esto significa que los atacantes ya no atacan directamente a las empresas objetivo, sino a través de su cadena de suministro (de software). Ya sea que las víctimas sean atacadas a través de actualizaciones comprometidas de Solarwinds o brechas en Log4Shell, en ambos casos la cadena de suministro de software es también la cadena de infección.
Infecciones en la cadena de suministro
Esto significa que el tema de la integridad de la cadena de suministro se está volviendo cada vez más explosivo. Esto significa principalmente: ¿Conozco a todos los proveedores/proveedores de servicios en mi cadena de suministro? ¡Y no solo las dependencias directas, sino también las transitorias! ¿Está toda la cadena de suministro documentada de tal manera que, en caso de que se produzca un vacío en las bibliotecas utilizadas, puede decir directamente si su propio software se ve afectado? Ya sea porque usa la biblioteca directamente usted mismo o una de las dependencias transitorias.
La "integridad de la cadena de suministro" pasa rápidamente al centro de atención, especialmente durante los incidentes de seguridad. En tales casos, se hacen esfuerzos para limitar el daño lo más rápido posible. Dependiendo del entorno, también existen varias soluciones técnicas para esto: parches (virtuales), actualizaciones de dependencias de software, SLA con proveedores de servicios y mucho más. Desafortunadamente, como suele ser el caso cuando el dolor agudo desaparece, el interés en él se desvanece rápidamente una vez que pasa lo peor.
Gestionar la cadena de suministro de manera eficiente
Debe quedar claro para todos que la integridad de la cadena de suministro no es algo que siempre deba abordarse rápidamente con una "curita" técnica. Más bien, se trata de establecer procesos apropiados (y también procedimientos técnicos) que lo ayuden a administrar de manera eficiente la integridad de su propia cadena de suministro. Esto generalmente da como resultado una superficie de ataque más pequeña y al menos una mejor base de datos que reduce la investigación manual en caso de un incidente de seguridad.
Desafortunadamente, establecer procesos para mantener la integridad de la propia cadena de suministro de software suele ser tedioso. Sobre todo porque no se trata solo de aspectos técnicos de protección, sino que también hay un componente humano y administrativo. Además, en comparación con la seguridad informática técnica, los conocimientos y el personal especializado son escasos.
Consejos del Departamento de Comercio de EE. UU.
La nueva versión del Publicación especial del NIST SP800-161r1 ("Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones"). Contiene una introducción completa a los antecedentes, los contribuyentes y la implementación de cadenas de suministro de software seguras. Los procedimientos y escenarios de ejemplo documentados en él brindan una excelente perspectiva de la implementación, pero también de las ventajas de las cadenas de suministro de software seguras.
Esto hace que la publicación del NIST sea un recurso muy valioso para cualquiera que busque mejorar la integridad de su cadena de suministro de software. ¡Y eso debería ser importante para todos! La experiencia demuestra que los atacantes se centran en modelos de ataque que funcionan. Y esa evidencia definitivamente está ahí para los ataques a la cadena de suministro. Por lo tanto, ahora uno debe ocuparse de la protección y documentación de la cadena de suministro, porque la próxima vez será demasiado tarde para eso. En otras palabras, uno está tan ocupado con la defensa que los procesos no juegan un papel de todos modos. Y así el dilema comienza de nuevo.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.