COMENTARIO
En los últimos años, los ataques a la cadena de suministro de software han pasado de la periferia a la vanguardia. Verizon “Informe de investigaciones de vulneración de datos de 2024” El uso de vulnerabilidades para iniciar infracciones aumentó un 180 % en 2023, en comparación con 2022. De estas infracciones, el 15 % involucró a un tercero o proveedor, como cadenas de suministro de software, alojamiento de infraestructura de socios o custodios de datos.
Estas estadísticas no son sorprendentes, considerando el impacto de varias vulnerabilidades de alto perfil en 2023.
SolarWinds es probablemente el mayor ejemplo conocido de un ataque a la cadena de suministro de software hasta la fecha. Más de 18.000 organizaciones se han visto afectadas, Algunos informes indican que el ataque costó a los afectados el 11% de sus ingresos, en promedio.
Del mismo modo, Okta también experimentó una infracción importante donde actores maliciosos accedieron a los datos privados de los clientes a través de su sistema de gestión de soporte. La infracción pasó desapercibida durante semanas, a pesar de las alertas de seguridad.
Y no lo olvidemos Ataque a la herramienta de transferencia MOVEitque afectó a más de 620 organizaciones, incluidas entidades importantes como la BBC y British Airways. grupo de ransomware cl0pEl ataque destacó claramente la urgencia de corregir rápidamente las vulnerabilidades y proteger las aplicaciones web.
Un detalle muy importante a tener en cuenta es que las ramificaciones de los ataques a la cadena de suministro de software podrían ser duraderas, tanto desde una perspectiva de amenaza técnica como de responsabilidad. En octubre de 2023, casi tres años después de la famosa violación de SolarWinds, la Comisión de Bolsa y Valores (SEC) acusó a SolarWinds con inversores engañados sobre sus prácticas y riesgos de ciberseguridad. El cargo se produce tras un acuerdo de 26 millones de dólares en una demanda colectiva de valores relacionada con la infracción.
Pero para comprender cómo ocurren estos ataques y cómo pueden mitigarse, es importante comprender primero qué es la seguridad de la cadena de suministro de software.
Desembalaje de la seguridad de la cadena de suministro de software
Gartner define Seguridad de la cadena de suministro de software (SSCS) como un marco integral que abarca los procesos y herramientas necesarios para organizar, crear y consumir software de forma segura, mitigando así posibles ataques al software o su uso como vector de ataque. Este marco se estructura en torno a tres pilares fundamentales:
-
Comisaría de policía: Este paso implica evaluar componentes de software de terceros para evaluar sus riesgos y determinar si son adecuados para su propósito. Al hacer esto, las organizaciones se aseguran de que solo los componentes seguros y compatibles lleguen a la cadena de suministro de software.
-
Creación: Esto muestra la importancia de las prácticas de desarrollo seguras y la protección de los artefactos de software y el proceso de desarrollo. Esto implica implementar medidas de seguridad durante todo el proceso de creación de software para protegerse contra posibles vulnerabilidades y amenazas.
-
Consumo: Este paso tiene como objetivo garantizar la integridad del software verificando su origen, autenticidad y trazabilidad. Garantiza que el software implementado sea seguro y no haya sido alterado ni modificado sin autorización.
En términos más simples, SSCS abarca todos los componentes de software utilizados e integrados en el software de una organización, así como las prácticas que emplean los desarrolladores para escribir y monitorear el código después de la implementación.
Los esfuerzos de Gartner en esta área son el resultado directo de lo que considera una amenaza creciente. De hecho, la agencia predice que el impacto financiero de los ataques a la cadena de suministro aumentará de 40 mil millones de dólares en 2023 a 138 mil millones de dólares en 2031.
El gobierno de EE. UU. también está tomando medidas y exige a sus proveedores que proporcionen una Lista de materiales de software (SBOM), destacando la necesidad de transparencia y responsabilidad en la cadena de suministro de software.
Creación de un programa de seguridad de la cadena de suministro de software
La gestión del riesgo de vulnerabilidades durante el desarrollo de software se basa en dos procesos principales: el análisis continuo del código durante todo el ciclo de vida del desarrollo de software (SDLC) y el mantenimiento de un SDLC altamente automatizado para actualizar, probar e implementar de manera efectiva nuevas versiones de software.
-
Escaneo continuo de código: Es fundamental implementar un análisis de código continuo durante todo el ciclo de vida de desarrollo de software (SDLC) para detectar vulnerabilidades lo antes posible. Esto implica el uso de pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) para garantizar la seguridad del código tanto propio como de terceros.
-
SDLC automatizado: Mantener un alto nivel de automatización del ciclo de vida de desarrollo de software (SDLC) es esencial para actualizar, probar e implementar nuevas versiones de software de manera eficiente. La automatización ayuda a reducir los errores humanos y acelerar el proceso de identificación y corrección de vulnerabilidades.
En este contexto, analizar código de terceros utilizando herramientas de análisis de código fuente (SCA) es fundamental. SCA automatiza la detección y gestión de riesgos asociados con componentes de software de código abierto y de terceros. Esto es lo que SCA puede hacer:
-
Identificar los componentes del software: Las herramientas SCA pueden identificar todos los componentes de una aplicación de software, brindándole una visión clara de la cadena de suministro de software.
-
Generar listas de materiales de software (SBOM): Los SBOM proporcionan una lista de todos los componentes y sus metadatos, lo que ayuda a las organizaciones a cumplir con los requisitos reglamentarios y administrar licencias de código abierto.
-
Escanear en busca de vulnerabilidades: Estas herramientas buscan vulnerabilidades conocidas en componentes de software, proporcionando alertas y orientación sobre cómo remediarlas.
-
Evaluar los riesgos: Evalúan el nivel de riesgo de cada componente, lo que permite a las organizaciones priorizar los esfuerzos de remediación en función de la gravedad del riesgo.
-
Generar gráficos de dependencia: Estos gráficos muestran las relaciones entre los componentes, lo que ayuda a identificar posibles puntos de falla o riesgo.
-
Proporcionar asesoramiento sobre remediación: Las herramientas SCA brindan orientación práctica sobre cómo remediar las vulnerabilidades identificadas.
-
Aplicar políticas automáticamente: Puede establecer políticas para bloquear automáticamente el uso de componentes con vulnerabilidades conocidas o problemas de licencia.
La gestión de la exposición externa también desempeña un papel cada vez más crítico en la seguridad de la cadena de suministro, ya que las organizaciones agregan cada día más servicios de terceros y crean más aplicaciones web utilizando componentes y bibliotecas de terceros.
el futuro
Se espera que el impacto financiero de estos ataques aumente significativamente, por lo que es imperativo que las organizaciones actúen ahora.
La clave para avanzar es la primera toma de conciencia. Comprender la amenaza es tan importante como las medidas preventivas. Una vez establecido esto, existen numerosos recursos y tecnologías para dotar a los equipos de seguridad de los refuerzos necesarios para proteger sus ecosistemas.