De RSA a SolarWinds: lecciones aprendidas de una década de violaciones de la cadena de suministro

Por Dan Raywood • 1 de septiembre de 2024

Durante la última década, los ataques a la cadena de suministro se han convertido en una de las principales causas de infracciones. Las conexiones a una red generan vulnerabilidades explotables y un mayor riesgo de incidentes de seguridad. Dan Raywood examina por qué la cadena de suministro sigue siendo un problema tan desafiante para las organizaciones y ofrece algunas soluciones.

Comprender el desafío

Las realidades de los ataques a la cadena de suministro son claras: desde el ataque a RSA allá por 2011, donde había la intención de entrar en Lockheed Martin, al incidente diez años después, donde los actores de amenazas explotaron software o credenciales de al menos tres empresas, en particular el software Orion de Solarwinds, para atacar al gobierno de EE. UU.

Lo que sabemos sobre los ataques a la cadena de suministro es probablemente un camino muy transitado: los atacantes explotan una vulnerabilidad en una entidad para obtener una ruta hacia otra empresa, a menudo más grande, para lograr una brecha, permanecer en un entorno o algo nefasto.

Un ataque a la cadena de suministro parece increíblemente difícil de prevenir, ya que implica una cadena de eventos, y un defensor deberá tomar serias precauciones para saber quién está conectado con él y qué incidentes ha experimentado.

Reconocer el riesgo

Investigación reciente de BlackBerry encontrado que El 74% de los ataques se originaron en miembros de la cadena de suministro de software que las empresas desconocían o no monitoreaban antes de la infracción.

¿Cómo puede estar seguro de que las entidades que se conectan a su empresa son seguras y cumplen con el mismo nivel de cumplimiento que su empresa? Richard Starnes, CISO de Six Degrees Group, dice que esto es posible si se utiliza un contrato de flujo descendente, que requiere que cualquier empresa con la que esté trabajando siga su ejemplo y pueda extenderse a otros proveedores.

"Un cliente tiene un requisito que describe las especificaciones que deben cumplirse, y si no puede cumplirlas, entonces no puedo utilizarlas", dice Starnes.

Fortaleciendo el eslabón más débil

Starnes dice que uno de los principales problemas que permiten los ataques a la cadena de suministro es la participación de pequeñas y medianas empresas, ya que ha sido más complejo ingresar a las empresas más grandes y el tiempo de permanencia ya no es el que solía ser: Mandiant's 2024. Informe de tendencias M señaló que el tiempo de permanencia se redujo de 16 días a diez entre 2022 y 2023.

Ian Thornton-Trump, CISO de Cyjax, dice que las lecciones aprendidas de los ataques a la cadena de suministro muestran que es necesario comprender mejor las consecuencias de las fallas de seguridad de sus clientes y proveedores”. Lo que se puede hacer es monitorearlos y monitorear su postura de seguridad y sus requisitos de cumplimiento de seguridad, y cuando tengan una violación de seguridad, ellos lo notificarán primero”, afirma.

"No se trata de una relación de confrontación, ya que no estás tratando de atraparlos, sino que te brinda la oportunidad de hacer modificaciones en lugar de adoptar una postura defensiva".

Esto pasa a la cuestión de conocer los problemas de seguridad a través de los medios de comunicación en lugar de ser informado directamente por la víctima, lo que le permite responder y vigilar incidentes.

Construyendo un ecosistema basado en la confianza

La investigación de Blackberry encontró que el 65% de las empresas informan a sus clientes sobre los incidentes, y el 51% está preocupado por el impacto negativo en la reputación corporativa.

Thornton-Trump dice que la única manera de "confiar pero verificar" es si hay transparencia en todas las partes, lo que le permitirá hacer preparativos en caso de que ocurra una infracción y saber cómo responder.

Pasos correctos

¿Cuáles son los pasos correctos para asegurarse de encontrar todas las brechas que un atacante podría atravesar, incluidas las empresas profesionales (y potencialmente incluso las que cumplen con las normas)? Guías del Centro Nacional de Ciberseguridad del Reino Unido sobre seguridad de la cadena de suministro recomienda una serie de principios, que incluyen saber quiénes son sus proveedores, comprender cómo es su seguridad y elaborar un plan de acción.

Estas recomendaciones también requieren una gran confianza en las medidas de seguridad de sus proveedores. Esto puede implicar exigir a los “proveedores potenciales que proporcionen evidencia de su enfoque de la seguridad y su capacidad para cumplir con los requisitos mínimos de seguridad que usted ha establecido en las diferentes etapas de la competencia del contrato” y explicar la justificación de estos requisitos a sus proveedores para que comprendan qué se requiere.

Aprovechar los marcos y estándares establecidos

Mantener el cumplimiento de la norma ISO 27001 puede ayudar a garantizar que sus proveedores estén al mismo nivel que usted. Puede permitirle examinar mejor a sus proveedores e insistir en su nivel de cumplimiento sin necesidad de una lista de verificación o un cuestionario.

Los proveedores de servicios externos deben implementar medidas de seguridad adecuadas que sean monitoreadas y revisadas periódicamente cuando trabajan con empresas que utilizan la norma ISO 27001.

estándar como barrera de seguridad para la gestión de proveedores. Sam Peters, CPO de ISMS.online explica: "Esto permite a las organizaciones identificar, evaluar y abordar los riesgos de seguridad vinculados a proveedores externos y permite a las empresas establecer criterios de seguridad predefinidos y realizar evaluaciones periódicas, garantizando el cumplimiento y la seguridad continuos".

ISO 27001 también exige que las empresas mantengan registros completos de todas las interacciones con terceros, incluidas evaluaciones de riesgos, requisitos de seguridad estipulados en los contratos y monitoreo continuo del desempeño.

En última instancia, sostiene Peters, "ISO 27001 sienta las bases para procesos rigurosos de investigación de socios y proveedores, acuerdos de asociación sólidos y una cultura de mejora continua, brindándole un nivel de regulación de seguridad que debería brindarle confianza adicional".

Conexiones tercera y cuarta

Otra consideración es el mayor flujo hacia conexiones de terceros y de cuartos. Investigación publicada A principios de este año, Security Scorecard descubrió que el 97% de las empresas en el Reino Unido tienen una entidad violada en su ecosistema de terceros.

Starnes dijo que muchas empresas clasifican a sus proveedores y tienen una descripción del proveedor que dicta el cumplimiento normativo que imponen a esa entidad.

“Para un proveedor de nivel uno, se utilizaría un cuestionario administrado cada año, mientras que para un proveedor de nivel dos, se aplicaría un cuestionario menos profundo cada dos años.

“Para un proveedor de nivel tres, tienes otro cuestionario y una notificación para cuando hay un cambio de material o un incidente, y así es como se gestionan muchos de ellos”.

Superar los desafíos de los recursos

Si bien la gestión de la seguridad de la cadena de suministro puede requerir muchos recursos, el esfuerzo vale la pena a largo plazo. A pesar del compromiso de tiempo, organizar y auditar su cadena de suministro es esencial para mantener una red segura. Automatizar partes de este proceso y aprovechar los estándares de cumplimiento puede optimizar los esfuerzos y reducir la carga de los equipos de seguridad.

Un camino a seguir

Al adoptar un enfoque de "confiar pero verificar" y fomentar la transparencia, las empresas pueden fortalecer sus cadenas de suministro contra posibles amenazas. El monitoreo continuo, la comunicación clara y el cumplimiento de los estándares son cruciales para crear una cadena de suministro resiliente y segura. Si bien el desafío es importante, las estrategias proactivas y positivas, incluida la adopción de un SGSI, pueden marcar una diferencia sustancial en la protección contra ataques a la cadena de suministro.

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood