La mayoría de las organizaciones ven a las cadenas de suministro como proveedores de bienes y servicios físicos. La función de gestión de la cadena de suministro en estas empresas por lo general proporciona un marco para reducir los riesgos de terceros, evitar que los hackers roben datos e impidan interrumpir las operaciones diarias que podrían afectar a la continuidad del negocio.
Pero hay otra parte crucial de este ecosistema que algunas organizaciones pueden pasar por alto: la cadena de suministro de software. El software es el elemento vital de la empresa moderna, por lo que es vital que los equipos de seguridad de TI obtengan visibilidad y control del código que fluye a través de su organización, antes de que se convierta en un gran riesgo cibernético.
El software se está comiendo el mundo
Han pasado ocho años desde que el cofundador y empresario de Netscape, Marc Andreesen, escribió el artículo de gran influencia Why Software is Eating the World. En el tiempo transcurrido, la transformación digital ha hecho, en todo caso, que el desarrollo de aplicaciones sea aún más importante para el éxito empresarial. Hoy en día, no hay muchas organizaciones que dejen de usar esas capacidades para responder a la demanda en constante evolución de los clientes, con acceso ilimitado a productos y servicios innovadores en múltiples dispositivos.
Sin embargo, aquí es donde comienzan los problemas: para obtener una ventaja competitiva, los desarrolladores a menudo usarán códigos y bibliotecas compartidos abiertamente para integrar rápidamente la funcionalidad sin tener que reinventar la rueda. Desafortunadamente, la seguridad es a menudo una ocurrencia tardía, con poca o ninguna consideración, dada a la amenaza potencial de usar estos repositorios compartidos.
Bajo el radar
La cadena de suministro de software abre un vector de amenaza útil a través del cual los ciberdelincuentes pueden infiltrarse en las organizaciones, estos ataques no son en realidad un fenómeno nuevo; de hecho, han existido durante años. Por lo general, implican un compromiso del software original a través de la manipulación maliciosa de su código fuente, su servidor de actualización o, en algunos casos, de ambos. La intención es siempre la misma: entrar en la red o el host de una entidad objetivo de la forma más silenciosa posible.
Muy rara vez las organizaciones piensan en extender el marco seguro de la cadena de suministro a proveedores y desarrolladores de software de aplicaciones internos o externos, y eso deja una brecha potencialmente importante para que los malos estén preparado para explotar.
Los métodos de ataque más comunes incluyen la inyección de un código malicioso en la fuente para lenguajes nativos o interpretados los cuales estaban basados en compilación como C / ++, Java y .NET. A principios de este año, se cargaron tres bibliotecas en el índice Python oficial (PyPI) que contiene una puerta trasera oculta que se activaría cuando el paquete se instalara en sistemas Linux.
Los tres paquetes, llamados libpeshnx, libpesh y libari, fueron creados por el mismo usuario y estuvieron disponibles para su descarga durante casi 20 meses antes de ser descubiertos por investigadores de seguridad de ReversingLabs.
Asegurar la cadena de suministro de software
La buena noticia es que hay algunos pasos simples que se pueden seguir para mitigar estos riesgos y garantizar entornos de desarrollo de software limpios.
Mantener y validar de forma cruzada la integridad del código fuente, y todas las bibliotecas y binarios del compilador son buenos puntos de partida. El uso de bibliotecas y códigos de terceros deben ser examinados y analizados en busca de indicadores maliciosos antes de la integración y la implementación.
La segmentación adecuada de la red también es esencial para separar los activos críticos en los entornos de compilación y distribución (servidor de actualización) del resto de la red. La clave también está en la aplicación de controles de acceso estrictos, con autenticación de múltiples factores (MFA) aplicada a cualquier servidor de compilación de versiones y endpoints. Por supuesto, estos pasos no excusan a los propios desarrolladores de la responsabilidad de monitorear continuamente la seguridad de sus sistemas.
Trabajando en equipo para el éxito
Trend Micro ha tenido la capacidad de asegurar contenedores por algún tiempo a través del servicio de escaneo de imágenes Smart Check y protección integrada en Deep Security. Pero entendemos que asociarse con proveedores de seguridad externos también puede ser útil para nuestros clientes. Es por eso que recientemente anunciamos una asociación con Snyk, el primer proveedor de seguridad de código abierto para desarrolladores. Este acuerdo, durante más de dos años, es el resultado de un respeto mutuo centrado en la tecnología entre las dos empresas que dará como resultado capacidades de seguridad de contenedores de extremo a extremo sin igual.
Como parte del acuerdo, Trend Micro identificará vulnerabilidades en el momento de la compilación con SmartCheck y proporcionará escudos en tiempo de ejecución mediante la prevención de intrusiones (IPS) y las capacidades de firewall de red. Mientras que Snyk corregirá las fallas en la fuente a través de los flujos de trabajo del desarrollador, el compromiso y la reparación automática.
El resultado es que las cadenas de suministro de software de la organización pueden mejorarse, en lugar de verse obstaculizadas por la seguridad. Los equipos que trabajan a toda máquina en una entrega continua segura podrán proporcionar una plataforma de lanzamiento para el éxito digital, en lugar de exponer a la organización a riesgos innecesarios adicionales relacionados con el ciberdelito.
Leave a Reply