Ataques de cadena de suministro: una modalidad que crece y que supone un gran riesgo

¿Cómo pueden las organizaciones lidiar con los riesgos y desafíos que plantea la creciente amenaza de ataques a la cadena de suministro?

La seguridad es tan buena como el eslabón más débil, y en una cadena de suministro, ese eslabón puede estar casi en cualquier lugar. Con eso en mente, las grandes preguntas podrían ser: “¿Qué es y dónde está el eslabón más débil?” y “¿es algo sobre lo que tiene control y realmente se puede resolver”?

Una cadena de suministro engloba todo entre las materias primas y el producto final, englobando al proveedor de la materia prima, los procesos de fabricación, la distribución y, finalmente, al consumidor. Si pensamos en una botella de agua mineral, cualquier contaminante introducido maliciosamente en el camino hacia el consumidor compromete toda la cadena de suministro.

El producto contaminado

La seguridad cibernética no es diferente: un chipset adulterado colocado en un dispositivo, como un enrutador, contamina potencialmente el producto final, creando un problema para el consumidor. En la industria del software, también podemos encontrarnos en un “escenario de componentes contaminados”, como sucedió con el proveedor de soluciones de seguridad FireEye cuando fue atacado recientemente. Cuando la empresa descubrió que había sido víctima de un ciberataque, una investigación adicional descubrió que el atacante había introducido una actualización maliciosa en un producto de administración de red llamado Orion, fabricado por SolarWinds; uno de los proveedores de software que utiliza la empresa.

La puerta trasera, que FireEye llamó SUNBURST y que ESET detectó como MSIL / SunBurst.A, se implementó en Orion antes de que se entregara el código a FireEye, creando así un producto final contaminado para el consumidor. Pero en este caso, “el consumidor” en realidad se refería a unas 18.000 organizaciones comerciales y gubernamentales que instalaron la actualización maliciosa a través del mecanismo de actualización de Orion, convirtiéndose así en las víctimas finales del ataque. Al menos 100 de ellos fueron atacados con la intención de realizar otras acciones maliciosas, y los agentes de amenazas insertaron cargas adicionales y penetraron más profundamente en las redes de la empresa.

Y ahí radica el daño potencial de los ataques a la cadena de suministro: al comprometer a un solo proveedor, los ciberdelincuentes pueden eventualmente obtener acceso ilimitado y difícil de detectar a una gran parte de sus clientes.

La escritura está en la pared

El incidente de SolarWinds recordó ataques similares que ocurrieron en el pasado, incluidos los compromisos de CCleaner en 2017 y 2018 y los ataques que involucraron al limpiador NotPetya (también conocido como Diskcoder.C) disfrazado de ransomware, que se distribuyó como una actualización de un paquete legítimo de contabilidad fiscal llamado MEDoc. Y en 2013, Target fue víctima de una infracción relacionada con el robo de credenciales de inicio de sesión de un proveedor externo de sistemas HVAC remotos; de hecho, se dijo que este ataque llamó la atención sobre los ataques a la cadena de suministro.

Volviendo a la actualidad, los investigadores de ESET descubrieron, en los últimos meses, varios ejemplos de este tipo de ataques; desde ataques del grupo Lazarus, pasando por el compromiso del software WIZVERA VeraPort, pasando por Operation Stealthy Trident, en el que comprometieron un software de chat para empresas regionales, Operation SignSight, en el que comprometieron el sitio web de una autoridad de certificación, hasta Operation NightScout, un suministro Ataque en cadena en el que se ha comprometido un mecanismo de actualización del software del emulador de Android para la PC.

Aunque los ataques fueron diferentes en términos de metodología y patrones de ataque, fueron muy específicos para la audiencia objetivo y los ataques fueron hechos a medida.

Los problemas de la cadena de suministro pueden arruinar su vida

Las cadenas de suministro son la “cinta” digital que une nuestras vidas electrónicas. Estas cadenas contienen los robots que ensamblan y programan los miles de millones de dispositivos en los que ahora confiamos y de los que a menudo nos volvemos extremadamente dependientes, como nuestros teléfonos inteligentes o un dispositivo médico. Pero, ¿cómo saber si la cadena se ha visto comprometida? Probablemente no lo sabría y no está solo.

La automatización tiene sentido: los robots son mejores que tú o yo. Pero, ¿y si los robots se revelaran? Una marcha por las calles de Tokio es una forma popular de demostración cultural, pero también podría poner puertas traseras silenciosas en el software de control de edificios. También es menos probable que lo atrapen.

Solía haber líneas duras entre el hardware y el software; pero ahora están borrosos. Los fabricantes de chips y sistemas “agrupan” una gran cantidad de lógica central y la colocan en un chip que está soldado a una placa. Gran parte del trabajo pesado en el código estándar ya se ha realizado y es de código abierto, o al menos está ampliamente disponible. Los ingenieros simplemente descargan y escriben el código que une todo y envían un producto terminado. Funciona muy bien. A menos que el código se corrompa en algún momento. Con kits de herramientas rudimentarios que todavía usan variantes de protocolos seriales antiguos y otros protocolos de acceso totalmente inseguros, las travesuras digitales están listas para ser elegidas.

Y últimamente, alguien ha estado eligiendo entre estas cadenas de suministro digitales con creciente frecuencia y ferocidad.

Desde chips falsos para espiar el tráfico de la red hasta códigos de sistema corruptos en un chip (SoC), es difícil estar seguro de que todos los enlaces de cualquier cadena de suministro estén libres de alteraciones. La implementación de puertas traseras accesibles a través de Internet para uso futuro es una de las prioridades de los posibles atacantes, y están dispuestos a hacer todo lo posible para lograrlo.

Se ha convertido en una carrera global, con un mercado acompañante. Descubre un error grave en un software y recibirás una camiseta y una recompensa; Véndalo a un actor de amenazas en un estado-nación y podrá realizar un pago inicial para obtener su propia isla. En este contexto, es difícil imaginar que un ataque a la cadena de suministro esté fuera de toda sospecha. De hecho, encontramos lo contrario.

Manteniéndolo limpio

Es prácticamente imposible para cualquier empresa tener un control completo de su cadena de suministro para asegurarse de que ningún componente crudo que haya sido incorporado a sus propios productos o que sus servicios no hayan sido contaminados o explotados en el camino hacia el consumidor final. Minimizar el riesgo de un ataque a la cadena de suministro implica un ciclo interminable de gestión de riesgos y cumplimiento; En el ataque SolarWinds, un análisis en profundidad posterior al ataque del producto del proveedor externo identificó el exploit enterrado profundamente en el código.

A continuación, se ofrecen algunos consejos para reducir los riesgos de la cadena de suministro que incluyen software vulnerable:

Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
Tenga cuidado con las vulnerabilidades conocidas y aplique parches; De hecho, los ataques que involucran actualizaciones contaminadas no deberían impedir que nadie actualice su software.
Esté alerta a las brechas que afectan a los proveedores de software de terceros
Elimine sistemas, servicios y protocolos redundantes o obsoletos
Evalúe el riesgo de su proveedor desarrollando una comprensión de sus propios procesos de seguridad.
Defina los requisitos de seguridad para sus proveedores de software
Solicite auditorías de código periódicas y pregunte sobre revisiones de seguridad y procedimientos de control de cambios para componentes de código.
Obtenga más información sobre las pruebas de penetración para identificar peligros potenciales
Solicite controles de acceso y autenticación de dos factores (2FA) para proteger los procesos de desarrollo de software
Ejecute software de seguridad con múltiples capas de protección

Una organización necesita tener visibilidad de todos sus proveedores y los componentes que entregan, incluidas las políticas y procedimientos que tiene la empresa. No basta con tener contratos legales que distribuyan culpas o responsabilicen al proveedor cuando está en juego la propia reputación de la empresa; En última instancia, la responsabilidad recae firmemente en la empresa a la que el consumidor compró el producto o servicio.

El producto contaminado

La escritura está en la pared

Los problemas de la cadena de suministro pueden arruinar su vida

Manteniéndolo limpio

Ven oportunidad para México en mercado de EU – El Financiero Tendencias de Economía

La Superliga y la rebelin europea Tendencias de Deportes

Deja un comentario

VÍDEOS | Alerta en Iztapalapa: a punta de pistola, hombre ataca a conductor en río Churubusco / Tendencias de México

Alistan desaparición del INM y creación de nuevo organismo para protección de migrantes / Tendencias de México

¿Cuál era la relación del actor con el puerto de Acapulco? – El Financiero Tendencias de Economía

VÍDEOS | Alerta en Iztapalapa: a punta de pistola, hombre ataca a conductor en río Churubusco / Tendencias de México

Alistan desaparición del INM y creación de nuevo organismo para protección de migrantes / Tendencias de México

¿Cuál era la relación del actor con el puerto de Acapulco? – El Financiero Tendencias de Economía

Colombia se alista ante posible erupción del volcán Nevado del Ruiz Tendencias de Mexico

¿Qué es un banco sistema y por qué es peligroso que Santander sea clasificado así? Tendencias de Economía

Pedro Campa calienta la pelea contra Brandun Lee: “Tengo que ganar o ganar” Tendencias de Deportes