Lo que CrowdStrike nos enseña sobre la gestión de la cadena de suministro

Por Danny Bradbury • 24 Septiembre 2024

La interrupción global de los sistemas informáticos que se produjo este verano, que dejó fuera de servicio millones de ordenadores y provocó la suspensión de vuelos de aerolíneas en todo el mundo, demostró lo difícil que resulta gestionar una cadena de suministro digital moderna. ¿Puede una gestión eficaz del riesgo de los clientes ayudar a solucionar los problemas?

El 19 de julio, comenzaron a surgir informes sobre una interrupción masiva en los sistemas Windows que se extendió a varias industrias. Los puntos finales estaban inactivos y no se reiniciaban correctamente, lo que provocó la interrupción de TI más importante de la historia. El problema se originó a partir de un error lógico en una actualización del software de seguridad de CrowdStrike, que dejó fuera de servicio a 8.5 millones de sistemas. Según MicrosoftLa recuperación fue un proceso manual y complejo. Además de los vuelos cancelados, los clientes bancarios y los pacientes del sector sanitario también sufrieron, ya que el corte afectó a las transacciones financieras e incluso procedimientos quirúrgicos retrasados.

"El reciente incidente refuerza la forma en que la creciente dependencia de los sistemas informáticos interconectados ha ampliado la superficie de riesgo", dijo Mark E. Green, presidente del Comité de Seguridad Nacional de la Cámara de Representantes, que escuchará el testimonio de CrowdStrike el 24 de septiembre. Es más difícil que nunca gestionar el riesgo de la cadena de suministro, dado no solo el tamaño de esas cadenas, sino también la complejidad de los productos y procesos de software que proporcionan.

“Te lo dije”, dice la GAO

A la Oficina de Responsabilidad Gubernamental de los Estados Unidos no le gusta decir que se lo dijo, pero también le gustaría recordarle que lo hizo. publicación del blog Tras el incidente, señaló fuertes similitudes entre este error involuntario y el ciberataque que comprometió a SolarWinds y sus clientes en 2020.

Desde mayo de 2010, la GAO ha hizo 1610 recomendaciones El GAO abarca cuatro áreas de desafío en materia de ciberseguridad. Una de ellas (establecer una estrategia integral de ciberseguridad y llevar a cabo una supervisión eficaz) es el área principal de atención en materia de riesgo de la cadena de suministro. En un informe de junio sobre los esfuerzos del gobierno para mitigar el riesgo cibernético, la GAO afirmó que las agencias no han implementado el 43% de las recomendaciones en esta área.

Gestión de una cadena de suministro consolidada

“El gobierno federal debe tomar medidas para llevar a cabo una supervisión eficaz, incluida la supervisión de la cadena de suministro global”, añadió la GAO en su informe. Pero ¿cómo se puede implementar una supervisión eficaz de una empresa poderosa que controla la mayor parte del mercado?

Dan Geer, quien contribuyó al sistema X Windows y a Kerberos y ahora es miembro senior de In-Q-Tel, exploró de manera famosa cómo las monoculturas tecnológicas afectan la seguridad en su informe de 2003 Ciberinseguridad: el costo del monopolioEl artículo causó tanta conmoción en el sector tecnológico corporativo que lo despidieron al día siguiente de su publicación.

21 años después y una semana después de la interrupción de CrowdStrike, él nos recordó del problema:

“Sabemos que la redundancia protectora no se produce por sí sola, y sabemos que un millón de dispositivos iguales no ofrecen ninguna protección, sino todo lo contrario”, afirmó. “Sabemos que la fuente del riesgo es la dependencia, y sabemos que el riesgo agregado es proporcional a la dependencia agregada”.

Como señala Geer, la consolidación del mercado que produce miles de millones de dispositivos iguales es una tendencia económica. Windows tiene más del 70% del mercado de sistemas operativos de escritorio y dos empresas (Microsoft y CrowdStrike) poseen el 44% del mercado de protección de endpoints.

Esta tendencia no se ha revertido desde 2003 y tampoco lo hará en el futuro. Hay muchas razones por las que las empresas eligen el mismo software que sus pares, desde la disponibilidad (la cantidad de soluciones disponibles se consolida con el tiempo) hasta la aversión al riesgo (nadie fue despedido por comprar IBM) y la capacidad de gestión (es más fácil gestionar y dar soporte a una flota de mil máquinas Windows que a una panoplia de diferentes sistemas operativos de punto final).

Sin duda, las grandes empresas hacen todo lo posible por seguir las mejores prácticas de ciberseguridad, pero se cometen errores. La Junta de Revisión de Seguridad Cibernética del gobierno de EE. UU. determinaron  que la cultura de seguridad de Microsoft era “inadecuada y requiere una revisión” después de que los cibercriminales piratearan sus sistemas y comprometieran una clave criptográfica que les dio acceso a las cuentas de los altos ejecutivos. CrowdStrike, mientras Adecuadamente modesto siempre y cuando No cuesta demasiado, lanzó una actualización llena de errores que no pudo detectar.

Microsoft y CrowdStrike celebraron una reunión a puertas cerradas el 10 de septiembre para discutir cómo pueden evitar que vuelva a ocurrir este tipo de cosas. Hablaron de medidas como confiar menos en el modo kernel, donde el software con errores puede causar los daños extremos que se vieron en julio. Como CrowdStrike explica la, eso requiere algo de trabajo por parte de Microsoft.

CrowdStrike también dijo que ahora seguiría otras medidas, como el uso de lanzamientos canarios (una práctica recomendada básica para implementaciones a escala) para limitar el daño a un número menor de máquinas.

Si bien es loable que empresas tan grandes estén aprendiendo estas lecciones ahora, es preocupante que lo estén haciendo a costa de sus clientes.

Qué pueden hacer los clientes al respecto

Es importante seguir los controles de gestión de proveedores como los que se indican en ISO 27001 Anexo A 5.22, pero como dice ISMS.online, es importante ser pragmático sobre cuánta influencia puedes tener sobre un gran proveedor.

Sin embargo, la norma ISO 27001 tiene mucho que ofrecer en materia de preparación para la respuesta a incidentes. Comienza con la planificación del riesgo mediante una evaluación exhaustiva, como se describe en la norma ISO 27001. cláusula 6También proporciona una valiosa orientación en Control de 5.30, que prepara a las organizaciones para la continuidad del negocio en caso de que surja un problema.

Es posible que estas prácticas no protejan a una empresa de un incidente importante en la cadena de suministro, pero pueden ayudar a minimizar el impacto de dichos eventos en la cadena de suministro, contribuyendo así a mantener los servicios para los clientes y socios comerciales.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 7 October 2025

La revisión de Safe Harbor sigue como siempre, por ahora

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación...

danny bradbury