Ataques a la cadena de suministro: cuando la confianza falla, ¿prueba la esperanza?


¿Cómo pueden las organizaciones abordar la creciente amenaza de los ataques que debilitan la confianza en el software package?

La ciberseguridad es tan buena como el eslabón más débil, y en una cadena de suministro esto podría estar prácticamente en cualquier lugar. Las grandes preguntas pueden ser, «¿cuál y dónde está el eslabón más débil?» y «¿es algo sobre lo que tiene regulate y que realmente puede abordar»?

Una cadena de suministro se compone de todo lo que se encuentra entre las materias primas y el producto ultimate, abarcando al proveedor de las materias primas, los procesos de fabricación, la distribución y finalmente el consumidor. Si considera una botella de agua mineral, cualquier contaminación maliciosa introducida en su camino hacia el consumidor compromete toda la cadena de suministro.

El bien envenenado

La ciberseguridad no es diferente: un chipset contaminado colocado en un dispositivo como un enrutador contamina potencialmente el producto last, creando un problema para el consumidor. En el software program, también puede obtener un «escenario de componente contaminado», uno que el proveedor de seguridad FireEye se encontró en cuando fueron pirateados recientemente. Cuando la empresa descubrió que había sido víctima de un ciberataque, una investigación más profunda descubrió que el atacante había introducido una actualización con malware en un producto de gestión de red llamado Orion, fabricado por uno de los proveedores de program de la empresa, SolarWinds.

La puerta trasera, que FireEye llamado SUNBURST y eso es detectado por ESET como MSIL / SunBurst.A – se implantó en Orion antes de que se proporcionara el código a FireEye, creando así un producto ultimate contaminado para el consumidor. En este caso, «el consumidor» se refería a unas 18.000 organizaciones comerciales y gubernamentales que instalaron la actualización contaminada a través del mecanismo de actualización de Orion, convirtiéndose así en las víctimas finales del ataque. Al menos 100 de ellos fueron el objetivo de ataques de seguimiento, con los malos actores insertando cargas útiles adicionales y excavando más profundamente en las redes de las empresas.

Y ahí radica en realidad el enorme potencial de daño de los ataques a la cadena de suministro: al violar a un solo proveedor, los malos actores pueden eventualmente obtener acceso ilimitado y difícil de detectar a grandes franjas de su foundation de clientes.

La escritura está en la pared

Un momento decisivo para la ciberseguridad, el incidente de SolarWinds trajo ecos de ataques anteriores de tipo related, incluidos los compromisos de CCleaner en 2017 y 2018 y los ataques que involucraron al NotPetya (también conocido como Diskcoder.C) limpiador disfrazado de ransomware, que se propaga a través de una actualización de un paquete legítimo de contabilidad fiscal llamado M.E.Doc. Y allá por 2013 Goal fue víctima de una infracción que se remonta al robo de credenciales de inicio de sesión de un proveedor de HVAC externo de hecho, fue este ataque el que comenzó a enfocar los ataques a la cadena de suministro.

Avance rápido al pasado reciente, y los investigadores de ESET han descubierto varios ejemplos de este tipo de ataques solo en los últimos meses, desde el Lázaro grupo que united states complementos de seguridad pirateados, para Operación Stealthy Trident atacar application de chat altamente regionalizado para empresas, para Operación SignSight, utilizado para comprometer una autoridad certificadora, para Operación NightScout, un emulador de Android pirateado.

Si bien los asaltos variaron en metodología y patrones de ataque, fueron muy específicos en su grupo demográfico objetivo. Desde audiencias de Corea del Sur hasta Mongolia o Vietnam, los ataques fueron hechos a la medida. Tiene cierto sentido, en una especie de riff sobre los esfuerzos de advertising dirigidos, que tienden a ser más efectivos que los enfoques amplios, pero muy costosos, de «rociar y rezar». Los ataques dirigidos dependen de las motivaciones que impulsan una campaña determinada.

Los problemas de la cadena de suministro pueden arruinar su vida

Las cadenas de suministro son la «cinta adhesiva» electronic que une nuestra vida electrónica. Contienen los robots que ensamblan y programan los miles de millones de dispositivos de los que ahora confiamos. ¿Se fue de casa sin su teléfono y condujo millas de regreso para conseguirlo? Sí, ese dependiente. Depende del dispositivo médico. ¿Cómo sabrías si fueron pirateados? Probablemente no lo harías, y no estás solo.

La automatización tiene sentido: los robots son mejores que tú o yo. Pero, ¿qué pasa cuando los robots se vuelven rebeldes? Caminar por las calles de Tokio es una manifestación de la cultura well known obvia, aunque exagerada, pero también podría serlo colocar puertas traseras silenciosas en el program de management de edificios. También es menos possible que te atrapen.

Solía ​​haber líneas duras entre el hardware y el program ahora es un borrón. Desde los microchips y los núcleos del sistema en un chip (SoC) hasta el código FPGA de Xylinx, los fabricantes e integradores “combinan” un montón de lógica central y la introducen en un chip que se suelda en una placa. Gran parte del trabajo pesado en el código estándar ya se ha hecho y es de código abierto, o al menos está ampliamente disponible. Los ingenieros simplemente lo descargan y escriben el código de pegamento que lo une todo y envían un producto terminado. Funciona muy bien. A menos que el código esté dañado en algún momento. Con cadenas de herramientas rudimentarias que todavía usan variantes de protocolos en serie antiguos para el acceso (en realidad) y otros protocolos totalmente indefensos, las travesuras digitales están listas para ser elegidas.

Y últimamente, alguien los ha estado eligiendo con una frecuencia y ferocidad cada vez mayores.

Es difícil estar seguro de que todos los eslabones de cualquier cadena de suministro están libres de alteraciones. Desde chips falsos colocados en línea para espiar el tráfico de la red hasta el código SoC corrupto, es mucho menos probable que estas cosas se den a conocer que los robots arrasadores. La implantación de puertas traseras accesibles a través de Net para uso futuro es una de las prioridades de los posibles atacantes, y están dispuestos a hacer todo lo posible para lograrlo.

Se ha convertido en una carrera international, con el mercado que la acompaña en cola. Entregue un mistake de computer software grave y obtendrá una camiseta y una recompensa véndalo a un actor de amenazas de un estado-nación y podrá realizar un pago inicial en su propia isla. En este entorno, es difícil imaginar que la cadena de suministro esté por encima de toda sospecha. De hecho, estamos encontrando todo lo contrario.

Manteniendo el pozo limpio

La factibilidad de que cualquier empresa tenga el control overall de su cadena de suministro y de garantizar que ningún componente en bruto que se incorpore a sus propios productos o servicios no haya sido contaminado o explotado en el camino hacia el consumidor last probablemente sea casi nula. Minimizar el riesgo de un ataque a la cadena de suministro implica un ciclo interminable de gestión de riesgos y cumplimiento En el hack de SolarWinds, la inspección en profundidad posterior al ataque del producto del proveedor externo identificó el exploit oculto en el código.

Aquí hay 10 recomendaciones de alto nivel para reducir los riesgos que se derivan de las cadenas de suministro de application vulnerables:

  • Conozca su computer software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
  • Esté atento a las vulnerabilidades conocidas y aplique los parches de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su application
  • Manténgase alerta a las infracciones que afecten a los proveedores de software de terceros
  • Elimine los sistemas, servicios y protocolos redundantes o obsoletos
  • Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad.
  • Establezca requisitos de seguridad para sus proveedores de application
  • Solicite auditorías de código periódicas y pregunte acerca de los controles de seguridad y los procedimientos de manage de cambios para los componentes del código.
  • Infórmese sobre las pruebas de penetración para identificar peligros potenciales
  • Solicite controles de acceso y autenticación de dos factores (2FA) para proteger los procesos de desarrollo de software y crear canalizaciones
  • Ejecute application de seguridad con múltiples capas de protección

Una organización necesita tener visibilidad de todos sus proveedores y los componentes que entregan, lo que incluye las políticas y procedimientos que la empresa tiene implementados. No basta con tener contratos legales que repartan culpas o responsabilicen al proveedor cuando está en juego la reputación de su propia empresa Al final del día, la responsabilidad recae firmemente en la empresa a la que el consumidor compró el producto o servicio.





Enlace a la noticia first