¿Qué es un ataque a la cadena de suministro?

Ejemplos de ataques a la cadena de suministro

Hay dos tipos principales de ataques a la cadena de suministro que se centran en el ciclo de vida del suministro o del valor de una organización.

Ataques "island hopping"

Los ataques "island hopping· ocurren cuando los ciberdelincuentes se infiltran en grandes empresas a través de organizaciones más pequeñas, o aquellas que probablemente tengan controles de seguridad menos sofisticados, que forman parte de la cadena de valor de la empresa más grande. Los atacantes “saltan” de una organización a otra para acercarse a su objetivo principal.

Los ataques "island hoping" (salto de isla en isla) suelen tener como objetivo a organizaciones importantes, que tienden a depender de un amplio ecosistema digital de proveedores. Estos pueden incluir proveedores de servicios administrados, proveedores de hardware y software, y socios comerciales y tecnológicos, muchos de los cuales están conectados a varias aplicaciones y bases de datos a través de una gran cantidad de terminales vulnerables.

Ataques a la cadena de suministro

Los ataques a la “cadena de suministro”, como el ciberataque a SolarWinds, son ligeramente diferentes. En lugar de buscar las vulnerabilidades de un proveedor externo como una forma de entrar a la red de otra empresa, buscan explícitamente a explotar la confianza entre organizaciones legítimas que se utiliza en las operaciones comerciales normales.

Cómo funciona un ataque a la cadena de suministro

Los ataques a la cadena de suministro buscan obtener acceso implantando una puerta trasera en los productos, generalmente software, que utilizan las organizaciones objetivo. Esto permite a los atacantes distribuir parches automáticos o actualizaciones de software "troyanizadas" que abren la puerta a malware y otros ataques.

Los ataques "island hopping" y a la cadena de suministro han sido la fuente de infracciones costosas y de alto perfil, pero las organizaciones intermedias también pueden sufrir graves daños a su reputación y negocios, aunque no sean los objetivos reales de tal campaña.

El impacto de los ataques a la cadena de suministro

En el ataque a SolarWinds Orion en 2020, un adversario pudo obtener acceso a los sistemas SolarWinds a través de una puerta trasera y crear actualizaciones troyanizadas para la plataforma SolarWinds Orion. La actualización troyanizada de Orion permitió a los atacantes implementar malware sigiloso en las redes de 18 000 clientes de SolarWinds, que incluían muchas agencias y organizaciones gubernamentales de EE. UU., incluido el Pentágono, el Departamento de Seguridad Nacional, el FBI, el Ejército, la Marina y muchos más.

La puerta trasera se entregó a través de una actualización de software legítima a una herramienta de administración y supervisión conocida (confiable). Después de la instalación de la puerta trasera, el adversario tomó medidas para evitar la detección de la zona de pruebas, incluida la espera de días antes de cualquier devolución de llamada a su sistema de comando y control (C2).

¿Por qué son tan peligrosos?

Los investigadores de seguridad afirman que los ataques a la cadena de suministro son algunas de las amenazas más difíciles de prevenir porque aprovechan la confianza inherente. Más allá de eso, son difíciles de detectar y pueden tener efectos residuales más duraderos. Mitigar y remediar un ataque a la cadena de suministro no es tan simple como instalar un antivirus o restablecer el sistema operativo. Estos ataques van en busca de sus procesos, por lo que deben ser sólidos desde el principio.

Por qué es importante el ciclo de vida del desarrollo de software

Las vulnerabilidades de la cadena de suministro de software comienzan en el desarrollo de la propia cadena. Es importante remediar los posibles riesgos de ciberseguridad que se presentan en el proceso de desarrollo para poder mantener al mínimo los incidentes de seguridad en la cadena de suministro.

Exploremos cómo el desarrollo de software puede crear vectores de ataque vulnerables cuando no se protege adecuadamente.

¿Qué son los secretos?

En lo que respecta al desarrollo de software, los secretos son medios de autenticación (como tokens, claves de cifrado, contraseñas, API, etc.) que permiten el acceso de usuario a aplicación y de aplicación a aplicación a información confidencial. Muy a menudo, los piratas informáticos y los grupos de ransomware como NotPetya examinan el código fuente de una organización para descubrir vulnerabilidades dentro de él para explotarlas en el futuro.

Los riesgos del código abierto

A pesar de su naturaleza ubicua, el software de código abierto (OSS) a menudo deja a una organización vulnerable a ataques. El OSS, aunque es eficaz para el desarrollo de software, aumenta la superficie de ataque y deja la puerta abierta a infracciones de datos y malware, dos de los infractores más frecuentes en los ataques a la cadena de suministro de software.

¿El ataque a SolarWinds resalta el riesgo de la cadena de suministro?

El ataque a SolarWinds demuestra a las organizaciones que deben estar en guardia en todo momento cuando se trata de sus cadenas de suministro. Muestra las vulnerabilidades particulares de la fabricación de una cadena de suministro de software y cómo pueden representar un riesgo para empresas de alto perfil y altamente protegidas como Cisco, Intel y Microsoft. También muestra a los líderes de seguridad informática que una vez que un ciberdelincuente se ha infiltrado en una parte de la cadena, se ha infiltrado en todo.

Para ayudarle a mantener su organización protegida de estas peligrosas amenazas, hemos reunido, en la siguiente sección, una lista de mejores prácticas que, cuando se utilizan correctamente, mantendrán su empresa protegida tanto de estos grupos como de estas amenazas.

Mejores prácticas para proteger su organización

Los ataques a la cadena de suministro aún están evolucionando y no hay duda de que los adversarios encontrarán nuevas formas de comprometer las operaciones y los datos confidenciales de agencias públicas y empresas privadas por igual. Para reducir el riesgo de la cadena de suministro y aumentar la seguridad de la cadena de suministro tanto como sea posible, Zscaler recomienda seguir estos pasos:

• Elimine la superficie de ataque orientada a Internet, detenga el movimiento lateral, minimice los permisos y bloquee C2 con una arquitectura zero trust.
• Habilite la función de inspección TLS/SSL completa y la prevención de amenazas avanzadas en el tráfico de cargas de trabajo a Internet.
• Use un sandbox en la nube en línea para identificar y detener amenazas avanzadas y desconocidas.
• Aplique protecciones para el tráfico C2 conocido con actualizaciones continuas a medida que surgen nuevos destinos.
• Exija autenticación multifactor para cualquier acceso a objetivos de alto valor.
• Limite el impacto del movimiento lateral con microsegmentación basada en identidad para cargas de trabajo en la nube.
• Elija proveedores que puedan dar fe de los más altos niveles de confidencialidad, integridad y disponibilidad.
• Realice evaluaciones de riesgos continuas y priorice la gestión de riesgos para garantizar que su organización esté bajo la mejor protección posible.
• Imparta formación frecuente sobre concientización en materia de ciberseguridad con las mejores prácticas para garantizar que sus empleados sepan qué buscar (correos electrónicos de phishing, etc.)
• Implemente un marco de respuesta a incidentes adecuado en caso de que se detecte un ataque en su red.

Para llevar a cabo estas mejores prácticas de seguridad de la cadena de suministro, debe contratar los servicios de una empresa confiable en ciberseguridad con una plataforma que inspeccione el tráfico en línea, eliminando la amenaza de ataques de malware y ransomware dañinos antes de que se infiltren en su organización: Zscaler. 

Protección contra ataques a la cadena de suministro con Zscaler

Los ataques a la cadena de suministro son sofisticados y difíciles de detectar. Además de comprender la postura de seguridad de todas las organizaciones asociadas, es importante tener varias capas de protección y visibilidad de todo el tráfico de su organización. A continuación se muestran algunos de los servicios integrados habilitados por Zscaler Zero Trust Exchange™ que protegen frente a los ataques a la cadena de suministro permitiéndole:

1. Identificar y detener la actividad maliciosa de los servidores comprometidos enrutando todo el tráfico del servidor a través de Zscaler Internet Access.
2. Restrinja el tráfico desde la infraestructura crítica a una lista "permitida" de destinos buenos conocidos.
3. Asegúrese de inspeccionar todo el tráfico SSL/TLS, incluso si proviene de fuentes confiables.
4. Active Protección de amenazas avanzada para bloquear todos los dominios C2 conocidos.
5. Amplíe la protección de comando y control a todos los puertos y protocolos con Advanced Cloud Firewall (módulo Cloud IPS), incluidos los destinos C2 emergentes.
6. Utilice Advanced Cloud Sandbox para evitar que el malware desconocido se entregue como parte de una carga útil de segunda etapa.
7. Limite el impacto de un posible compromiso restringiendo el movimiento lateral con microsegmentación basada en identidad (Zscaler Workload Segmentation) y una arquitectura zero trust.
8. Proteja las aplicaciones más importantes limitando el movimiento lateral con Zscaler Private Access.