Zpedia 

/ ¿Qué es un ataque a la cadena de suministro?

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es un tipo de ciberataque llevado a cabo contra los proveedores de una organización como medio para obtener acceso no autorizado a los sistemas o datos de esa organización. A veces denominados ataques a la cadena de valor o al software de terceros, implican una importante planificación por parte de los malintencionados que utilizan código malicioso para infiltrarse en los sistemas de una organización, y pueden tener un radio de alcance devastador tras el compromiso inicial, como en el caso de los ataques a SolarWinds de 2020.
Explore nuestra seguridad de cadena de suministro SaaS integrada, pionera en la industria
Protección contra ciberamenazasProtección de datos
  1. Ejemplos de ataques
  2. El impacto
  3. El ciclo de vida del desarrollo de software.
  4. Mejores prácticas de protección
  5. ¿Por qué Zscaler?
  6. Temas relacionados

Ejemplos de ataques a la cadena de suministro

Hay dos tipos principales de ataques a la cadena de suministro que se centran en el ciclo de vida del suministro o del valor de una organización.

Ataques de de tipo "island hopping", o "salto de isla"

Los ataques de "saltos de isla" ocurren cuando los ciberdelincuentes se infiltran en grandes empresas apuntando a organizaciones más pequeñas, o aquellas que probablemente tengan controles de seguridad menos sofisticados, que forman parte de la cadena de valor de la empresa más grande. Como su nombre lo indica, los atacantes “saltan” de una organización a otra para acercarse a su objetivo principal.

Los ataques de salto de isla suelen dirigirse a organizaciones de renombre, que suelen depender de un amplio ecosistema digital de proveedores. Estos pueden incluir proveedores de servicios gestionados, vendedores de hardware y software, y socios tecnológicos y empresariales, muchos de los cuales están conectados a diversas aplicaciones y bases de datos a través de una gran variedad de puntos finales vulnerables.

Ataques a la cadena de suministro

Los ataques a la "cadena de suministro", como el ciberataque a SolarWinds, son ligeramente diferentes. En lugar de buscar las vulnerabilidades de un proveedor externo como vía para entrar en la red de otra empresa, su objetivo explícito es explotar la confianza entre organizaciones legítimas utilizada en las operaciones comerciales normales.

Cómo funciona un ataque a la cadena de suministro

Los ataques a la cadena de suministro buscan obtener acceso implementando una puerta trasera en los productos, generalmente software, que utilizan las organizaciones objetivo. Esto permite a los atacantes distribuir parches automáticos o actualizaciones de software "troyanizadas" que abren la puerta a malware y otros ataques.

Los ataques de salto de isla y a la cadena de suministro han sido el origen de violaciones costosas y de gran repercusión, pero las organizaciones "insulares" también pueden sufrir graves daños en su reputación y en su actividad, aunque no sean los objetivos reales de una campaña de este tipo.

El impacto de los ataques a la cadena de suministro

En el ataque a SolarWinds Orion en 2020, un adversario pudo obtener acceso a los sistemas SolarWinds a través de una puerta trasera y crear actualizaciones troyanizadas para la plataforma SolarWinds Orion. La actualización troyanizada de Orion permitió a los atacantes implementar malware sigiloso en las redes de 18,000 clientes de SolarWinds, que incluían muchas agencias y organizaciones gubernamentales de los EE. UU., incluido el Pentágono, el Departamento de Seguridad Nacional, el FBI, el Ejército, la Marina y muchos más.

La puerta trasera se implementó a través de una actualización de software legítima de una herramienta de supervisión y gestión conocida (de confianza). Tras la instalación de la puerta trasera, el adversario tomó medidas para evitar la detección del sandbox, entre ellas esperar durante varios días a que se produjera cualquier llamada a su sistema de comando y control (C2).

¿Por qué son tan peligrosos?

Los investigadores de seguridad afirman que los ataques a la cadena de suministro son algunas de las amenazas más difíciles de prevenir porque aprovechan la confianza inherente. Además, son difíciles de detectar y pueden tener efectos secundarios más duraderos. Mitigar y remediar un ataque a la cadena de suministro no es tan simple como instalar un antivirus o restablecer el sistema operativo. Estos ataques vienen después de sus procesos, por lo que deben ser sólidos desde la base.

Testimonianza

[Los ataques a la cadena de suministro] son algunos de los tipos de amenazas más difíciles de prevenir porque aprovechan las relaciones de confianza entre proveedores y clientes y los canales de comunicación directa entre máquinas, como los mecanismos de actualización de software en los que los usuarios confían inherentemente.

Lucian Constantin, CSO Online

Explicación del ataque de SolarWinds: Por qué fue tan difícil de detectar

Por qué es importante el ciclo de vida del desarrollo de software

Las vulnerabilidades de la cadena de suministro de software comienzan en el propio desarrollo de la cadena. Es importante remediar los riesgos potenciales de ciberseguridad que se presentan en el proceso de desarrollo para que pueda mantener al mínimo los incidentes de seguridad de la cadena de suministro.

Exploremos cómo el desarrollo de software puede crear vectores de ataque vulnerables cuando no se protege adecuadamente.

¿Cuáles son los secretos?

En lo que respecta al desarrollo de software, los secretos son medios de autenticación (como tokens, claves de cifrado, contraseñas, API, etc.) que permiten el acceso de usuario a aplicación y de aplicación a aplicación a información confidencial. Muy a menudo, los hackers y grupos de ransomware como NotPetya rastrean el código fuente de una organización para descubrir vulnerabilidades en él y explotarlas posteriormente.

Los riesgos del código abierto

A pesar de su naturaleza ubicua, el software de código abierto (OSS) a menudo deja a una organización vulnerable a ataques. El OSS, aunque eficaz para el desarrollo de software, aumenta la superficie de ataque y deja la puerta abierta a las violaciones de datos y al malware, dos de los agresores más frecuentes en los ataques a la cadena de suministro de software.

Testimonianza

Los compromisos en la cadena de suministro continuarán. Es extremadamente difícil protegerse contra ellos, lo que resalta la necesidad de considerar la seguridad como parte del proceso de selección de proveedores.

Jake Williams, SANS Institute

Lo que necesita saber sobre el ataque a la cadena de suministro de SolarWinds

¿El ataque a SolarWinds evidencia el riesgo en la cadena de suministro?

El ataque de SolarWinds demuestra a las organizaciones que deben tener la guardia alta en todo momento cuando se trata de sus cadenas de suministro. Muestra las vulnerabilidades particulares de la fabricación de una cadena de suministro de software y cómo pueden suponer un riesgo para empresas de alto perfil y muy protegidas como Cisco, Intel y Microsoft. También muestra a los líderes de seguridad informática que una vez que un malintencionado se ha infiltrado en una parte de la cadena, se ha infiltrado por completo.

Para ayudarle a mantener su organización protegida de estas peligrosas amenazas, en la siguiente sección hemos elaborado una lista de las mejores prácticas que le ayudarán a mantener su empresa protegida de estos grupos y amenazas por igual.

 

Mejores prácticas para proteger su organización

Los ataques a la cadena de suministro siguen evolucionando, y no cabe duda de que los adversarios encontrarán nuevas maneras de comprometer las operaciones y los datos confidenciales tanto de los organismos públicos como de las empresas privadas. Para reducir el riesgo de la cadena de suministro y aumentar su seguridad en la medida de lo posible, Zscaler recomienda seguir estos pasos:

  • Elimine la superficie de ataque orientada a Internet, detenga el movimiento lateral, minimice los permisos y bloquee C2 con una arquitectura Zero Trust.
  • Habilite la funcionalidad completa de inspección TLS/SSL y la prevención avanzada de amenazas en el tráfico de carga de trabajo a Internet.
  • Ejecute un sandbox en la nube en línea para identificar y detener las amenazas desconocidas.
  • Aplique protecciones para el tráfico C2 conocido con actualizaciones continuas a medida que surjan nuevos destinos.
  • Requiera autenticación multifactor para todo acceso a objetivos de alto valor.
  • Limite el impacto del movimiento lateral con microsegmentación basada en identidad para cargas de trabajo en la nube.
  • Elija proveedores que puedan asegurarle los niveles más altos de confidencialidad, integridad y disponibilidad.
  • Realice evaluaciones de riesgos continuas y priorice la gestión de riesgos para garantizar que su organización esté lo mejor protegida posible.
  • Realice con frecuencia cursos de concientización sobre ciberseguridad con las mejores prácticas para asegurarse de que sus empleados sepan a qué deben prestar atención (correos electrónicos de phishing, etc.)
  • Implemente un marco de respuesta a incidentes adecuado en caso de que se detecte un ataque en su red.

Para aplicar estas mejores prácticas de seguridad en la cadena de suministro, necesita contratar los servicios de un nombre de confianza en materia de ciberseguridad con una plataforma que inspecciona el tráfico en línea, eliminando la amenaza de ataques dañinos de malware y ransomware antes de que se infiltren en su organización—Zscaler.

Protección contra ataques a la cadena de suministro con Zscaler

Los ataques a la cadena de suministro son sofisticados y difíciles de detectar. Además de comprender la postura de seguridad de todas las organizaciones asociadas, es importante tener varias capas de protección y visibilidad de todo el tráfico de su organización. A continuación se muestran algunos de los servicios integrados habilitados por Zscaler Zero Trust Exchange™ que protegen contra los ataques a la cadena de suministro al permitirle:

  1. Identificar y detener la actividad maliciosa de servidores infectados mediante el enrutamiento de todo el tráfico de servidores a través de Zscaler Internet Access.
  2. Restrinja el tráfico procedente de infraestructuras críticas a una lista "permitida" de destinos confiables.
  3. Asegurarse de que está inspeccionando todo el tráfico SSL/TLS, incluso si procede de fuentes de confianza.
  4. Activar Advanced Threat Protection para bloquear todos los dominios C2 conocidos.
  5. Extender la protección de comando y control a todos los puertos y protocolos con Advanced Cloud Firewall (módulo Cloud IPS), incluidos los destinos C2 que surjan
  6. Utilizar Advanced Cloud Sandbox para evitar el malware desconocido introducido como parte de una carga útil de segunda etapa.
  7. Limitar el impacto de un posible compromiso restringiendo el movimiento lateral con microsegmentación basada en identidad (Zscaler Workload Segmentation) y una arquitectura Zero Trust.
  8. Proteger las aplicaciones más importantes limitando el movimiento lateral con Zscaler Private Access.

Evitar que aplicaciones de terceros desconocidas se conecten y filtren datos con Zscaler SaaS Supply Chain Security.