¿Es la cadena de suministro net la siguiente en la línea para …



Los atacantes van tras los eslabones débiles primero, y la cadena de suministro world-wide-web proporciona una gran cantidad de eslabones débiles a los que apuntar.

Después de la brecha de SolarWinds que infectó a miles de organizaciones y al menos 250 agencias y empresas federales, y con nuevos ataques complejos como el de la Autoridad de certificación del gobierno de Vietnam, las empresas y los ejecutivos se están dando cuenta de lo susceptibles que son sus propios sistemas a los ataques a la cadena de suministro.

Como han señalado los expertos de la industria, el incidente de SolarWinds muestra cómo algunos ciberataques son casi imposibles de detectar. También plantea preguntas sobre la vulnerabilidad typical de las redes gubernamentales y del sector privado y llevó al Consejo de Seguridad Nacional a levanta un grupo de trabajo, el Cyber ​​Unified Coordination Team, para coordinar la investigación y la remediación de este incidente.

Como es típico en un ataque a la cadena de suministro, en el incidente de SolarWinds, el código malicioso se insertó durante una actualización de program legítima, en este caso, en la plataforma Orion de SolarWinds, y se ocultó dentro de un componente de computer software firmado digitalmente.

Cuando se trata de cadenas de suministro, la confianza ciega y las cadenas largas y complejas son dos ingredientes clave para el desastre. Sin embargo, estas son dos constantes en casi todas las aplicaciones website y sitios internet que están en línea en este momento.

La cadena de suministro net es una combinación de código de terceros con miles de ramificaciones. Hoy en día, las aplicaciones website tienen 1000 módulos (también conocidos como dependencias de código) en promedio. Cada uno de estos módulos tiene sus propias dependencias, por lo que cada aplicación net puede acumular rápidamente miles de piezas de código de terceros. No olvide que cada una de estas piezas también representa un aumento de la superficie de ataque, sobre todo considerando que estos terceros suelen tener menos recursos dedicados a la seguridad. Como hemos visto varias veces, solo se necesita un usuario malintencionado para lanzar un ataque serio a la cadena de suministro website.

A 2019 estudiar exploró los posibles efectos secundarios de esta dependencia del código de terceros en la Website. Un problema clave que señalaron los autores es la falta de separación de privilegios en la Net: todas las piezas de código de terceros tienen los mismos privilegios que el código desarrollado internamente. Una violación de una sola pieza de código de terceros puede enviar silenciosamente código malicioso a lo largo de la cadena de suministro y convertirlo en una actualización de software package legítima, como sucedió en el incidente de SolarWinds. Pero en el caso de la cadena de suministro net, el panorama empeora mucho. El mismo equipo de investigadores descubrió que 20 cuentas de mantenedor pueden llegar a más de la mitad de todo el ecosistema net, lo que significa que una sola brecha en una de estas cuentas puede desencadenar un ataque a la cadena de suministro net world-wide y afectar a millones de organizaciones.

Otro enfoque para los ataques a la cadena de suministro web, conocido como Magecart o Net skimming, también ha ido ganando impulso. Este enfoque consiste en inyectar código malicioso en un script de terceros, como un widget de chat en vivo, para cargar el código infectado cada vez que los usuarios finales acceden a una determinada página net. En los ataques de skimming de Magecart World-wide-web, el código recopila todos los datos de tarjetas de crédito enviados en formularios de pago y los envía de forma encubierta a los servidores de caída de los atacantes.

¿Podría alguno o ambos de estos enfoques conducir a ataques masivos patrocinados por el estado en la World wide web? Los investigadores han visto enlaces claros entre los ataques a la cadena de suministro world-wide-web y los equipos de piratería informática patrocinados por el estado en múltiples ocasiones. Sabemos que los atacantes siempre van tras los eslabones débiles primero, y la cadena de suministro world wide web proporciona una gran cantidad de eslabones débiles a los que apuntar.

Tal como mostró el incidente de SolarWinds, las empresas no pueden arriesgarse al impacto crítico de un ataque a la cadena de suministro. Resolver los ataques de la cadena de suministro world-wide-web requiere tomar medidas ahora, comprender esta debilidad de seguridad y encontrar activamente formas de reducir la superficie de ataque.

En la práctica, las organizaciones deben reducir su dependencia del código de terceros siempre que sea posible, reforzar sus prácticas de investigación y emplear mecanismos para detectar el comportamiento malicioso del lado del cliente en tiempo de ejecución. Esta última estrategia ha ganado impulso porque permite a las organizaciones detectar todos los signos de comportamiento malicioso en tiempo actual sin depender de firmas. Como tal, el monitoreo en tiempo de ejecución puede reducir enormemente el tiempo necesario para detectar y bloquear la fuente del ataque.

Los ataques a la cadena de suministro internet siguen aumentando en complejidad, aprovechando el caos general del código del lado del cliente. Un fuerte compromiso con la seguridad mejorada de las aplicaciones es sin duda la mejor arma que las organizaciones pueden aportar a esta batalla de la cadena de suministro web.

El CEO y cofundador de Jscrambler, Rui Ribeiro ha llevado a la empresa desde 2007 desde el arranque hasta un negocio en crecimiento. Actualmente, ejecuta la estrategia de crecimiento de la empresa y gestiona su visión y cultura. Con más de 15 años de experiencia en la tecnología de la información … Ver Biografía Completa

Lectura recomendada:

Más información





Enlace a la noticia first