Últimos años Muévelo y 3CX Las vulnerabilidades ofrecieron un claro recordatorio del riesgo que representan los ataques a la cadena de suministro de software en la actualidad.
Los actores de amenazas aprovechan las vulnerabilidades para infiltrarse en la red de un proveedor de software y modificar la funcionalidad original del software con código malicioso. Una vez que el software infectado se transmite a los clientes, normalmente a través de actualizaciones de software o instaladores de aplicaciones, la infracción abre la puerta a tareas no autorizadas, como la filtración de información confidencial o el secuestro de datos.
Estamos en medio de un rápido aumento de los ataques a la cadena de suministro de software. Sonatype encontró un aumento anual promedio del 742% en los ataques a la cadena de suministro de software entre 2019 y 2022, según el informe de la compañía. Estado de la cadena de suministro de software informe. Pocos esperan que este crecimiento se revierta en el corto plazo.
Impacto generalizado y duradero
La gravedad de las violaciones de la cadena de suministro de software se explica en parte por cómo se encuentran en la intersección de dos elementos centrales del panorama actual de amenazas cibernéticas. Los ataques son más sofisticados y ambiciosos que antes, y una mayor digitalización ha creado un mundo moderno interconectado sin precedentes, acelerado por la pandemia y las oportunidades que ofrecen las tecnologías emergentes.
Si Vientos solares en 2019 o el Cajero y Log4j Los ataques de 2021 demuestran el alcance de dichos ataques y el daño que pueden infligir. Según SolarWinds, es posible que hasta 18.000 clientes hayan descargado el malware. El ataque del ransomware Kaseya impactado 1.500 empresas e implicó un rescate de 50 millones de dólares.
Con Log4j, había casi 1,3 millones de intentos para explotar la vulnerabilidad en más del 44% de las redes corporativas en todo el mundo en los primeros siete días. Sin embargo, las violaciones de la cadena de suministro también pueden tener consecuencias muy largas. La CISA clasificó Log4Shell como endémico y las instancias vulnerables permanecerán en los años venideros, tal vez una década o más.
Los ataques a la cadena de suministro de software son difíciles de mitigar y conllevan un alto costo. IBM Costo de un informe de vulneración de datos 2023 descubrió que el costo promedio de un compromiso en la cadena de suministro de software fue de $4,63 millones, lo que es un 8,3% más alto que el costo promedio de una violación de datos debido a otras causas. Identificar y contener los compromisos de la cadena de suministro requirió 294 días, un 8,9% más de días en comparación con otros tipos de violaciones de seguridad.
La evolución de las cadenas de suministro de software
Como sabemos, el código es el componente fundamental de las aplicaciones de software. Pero si bien una parte sustancial de este código generalmente se escribió desde cero hace 20 años, el panorama digital actual se caracteriza por la adopción generalizada de software de código abiertouna mayor colaboración de la comunidad de software y la evolución de tecnologías como IA generativa.
En este entorno, los equipos de desarrollo pueden utilizar código que se origina en una amplia gama de fuentes diferentes, desde bibliotecas de código abierto hasta GitHub al código generado por Asistentes de codificación de IA como GitHub Copilotcódigo desarrollado previamente para otras aplicaciones de software dentro de la empresa y software de terceros, incluidas bases de datos y marcos de registro.
Estas “fuentes” forman lo que comúnmente se conoce como cadena de suministro de software. Cada fuente introduce inherentemente nuevos riesgos de seguridad en la cadena de suministro de software. Esencialmente, una vulnerabilidad de seguridad en cualquier fuente puede exponer los otros productos de software conectados con los que están conectados.
Asegurar su cadena de suministro de software
Un eslabón débil es todo lo que se necesita para proporcionar una puerta de entrada para que los actores de amenazas eviten entornos que de otro modo serían sólidos y seguros. En consecuencia, la clave para cualquier cadena de suministro de software segura es la capacidad de identificar y remediar cualquier vulnerabilidad rápidamente antes de que pueda ser explotada por actores amenazantes.
Las empresas deberían considerar la adopción de tres estrategias para crear una cadena de suministro de software segura.
En primer lugar, las empresas Necesita una lista de materiales del software.o SBOM. Si bien son familiares para la comunidad de código abierto desde hace más de una década, los SBOM recientemente han adquirido una nueva importancia a raíz de los elevados riesgos cibernéticos y una serie de leyes estadounidenses.
En esencia, un SBOM es un inventario de todos los componentes de software, como bibliotecas, marcos y código generado, que se utilizan en toda la cadena de suministro de software. Tener un SBOM permite a una empresa desarrollar una comprensión integral de la composición y las dependencias de su software para poder remediar vulnerabilidades potenciales de manera rápida y precisa.
En segundo lugar, cada componente de software que forma parte del SBOM debe analizarse en busca de información divulgada públicamente. vulnerabilidades de ciberseguridad, y cualquier vulnerabilidad descubierta debe remediarse inmediatamente. Comience a escanear vulnerabilidades en las primeras etapas del ciclo de vida de desarrollo de software para detectar problemas antes de que se vuelvan más difíciles y costosos de solucionar. La exploración debe realizarse durante todo el Canalización de CI/CD, desde la compilación hasta la prueba, la implementación y el tiempo de ejecución. Además, el escaneo no puede ser una actividad única. Más bien, debe hacerse de forma continua en todos los entornos de software, ya que no es raro que se descubran nuevas vulnerabilidades mucho más tarde.
En tercer lugar, las organizaciones deberían definir explícitamente políticas de confianza cero para capturar qué se debe permitir hacer o acceder a las diferentes partes de las cargas de trabajo de la aplicación. Como mostraron MOVEit y Log4j, ataques de día cero presentan un riesgo especialmente grave, ya que explotan vulnerabilidades desconocidas para las que todavía no hay ningún parche disponible. Estos ataques brindan a los actores de amenazas un fácil acceso a recursos restringidos, como archivos, procesos y redes. Los principios de confianza cero son cruciales para mitigar tales ataques. Básicamente, la confianza cero aplica un microsegmentación técnica, que utiliza políticas de seguridad para evitar el acceso no autorizado a recursos restringidos mediante código malicioso inyectado por actores de amenazas.
Con Gartner prediciendo que El 45% de las organizaciones habrán experimentado ataques a sus cadenas de suministro de software. Para 2025, las empresas deben tomar medidas urgentes para comprender la composición de su software, auditar rigurosamente este código y implementar una metodología de confianza cero en todo su ecosistema. Aquellos que no adoptan estrategias sólidas para documentar la cadena de suministro y abordar las vulnerabilidades conocidas y desconocidas corren el riesgo de sufrir pérdidas financieras significativas y una mella duradera en su reputación.
Vishal Ghariwala es CTO y director sénior para Asia Pacífico en SUSE. Vishal, veterano de IBM y Red Hat, tiene más de dos décadas de experiencia en seguridad empresarial. Lidera la estrategia y el crecimiento de SUSE en la región APAC.
—
New Tech Forum ofrece un lugar para que los líderes tecnológicos, incluidos proveedores y otros contribuyentes externos, exploren y debatan la tecnología empresarial emergente con una profundidad y amplitud sin precedentes. La selección es subjetiva y se basa en nuestra elección de las tecnologías que creemos que son importantes y de mayor interés para los lectores de InfoWorld. InfoWorld no acepta garantías de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Envia todo consultas a doug_dineley@foundryco.com.
Copyright © 2024 IDG Communications, Inc.