Check Point Software señala que implementar una política de menor privilegio en los accesos, segmentar la red, aplicar prácticas de DevSecOps y la prevención automatizada de amenazas son los pilares básicos para mantener a una empresa a salvo de un ataque a la cadena de suministro
En los últimos años, la cadena de suministro es uno de los principales objetivos de los ciberdelincuentes. Aunque este aumento puede tener muchos factores, uno de los más importantes es la ciberpandemia. Está claro que la COVID-19 transformó la empresa moderna, empujando a muchas de ellas hacia el trabajo remoto y a la adopción de la nube cuando quizá no estaban totalmente preparadas. Como resultado, los equipos de seguridad – que a menudo carecen del personal necesario debido al déficit de perfiles de ciberseguridad – se ven abrumados e incapaces de seguir el ritmo. De hecho, según Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, en el segundo trimestre del 2022, las organizaciones experimentaron un aumento de ciberataques de un 59% con respecto al mismo trimestre durante el 2021.
En el 2020, un grupo de ciberdelincuentes accedió al entorno de producción de SolarWinds e incrustó un backdoor en las actualizaciones de su producto de monitorización de redes Orion. Sus clientes, que ejecutaban la actualización maliciosa, sufrieron robo de datos y otros incidentes de seguridad. La banda de ransomware REvil se aprovechó de Kaseya, una empresa de software que proporciona programas para proveedores de servicios gestionados (MSP), para infectar a más de 1.000 clientes con un ransomware. Los ciberdelincuentes llegaron a exigir un rescate de 70 millones de dólares para proporcionar claves de descifrado a todos los usuarios afectados.
Otro claro ejemplo sucedió en noviembre del mismo año, cuando Check Point Research descubrió una serie de vulnerabilidades que, combinadas, permitían obtener el control de una cuenta y de varias apps de Atlassian conectadas mediante SSO. Codecov es una organización de pruebas de software cuyo script Bash uploader (utilizado para enviar informes de cobertura de código a la empresa) sufrió una modificación por un atacante. Esta explotación en la cadena de suministro permitió a los ciberdelincuentes redirigir la información sensible, como el código fuente, los detalles secretos, etc., de los clientes de CodeCov a sus propios servidores.
¿Cómo funciona un ataque a la cadena de suministro?
Un ataque a la cadena de suministro se aprovecha de las relaciones de confianza entre distintas organizaciones. Es evidente que todas las empresas poseen un nivel de confianza implícito en otras compañías, ya que instalan y utilizan el software de éstas en sus redes o trabajan con ellas como proveedores. Este tipo de amenaza se dirige al eslabón más débil de una cadena de confianza. Si una organización tiene una ciberseguridad sólida, pero cuenta con un proveedor de confianza inseguro, los ciberdelincuentes apuntarán hacia él. Con un punto de apoyo en la red de dicho proveedor, los atacantes podrían pasar a la red más segura utilizando ese vínculo
Los ciberdelincuentes suelen aprovechar las vulnerabilidades de la cadena de suministro para distribuir malware
Un tipo común de ataque a la cadena de suministro son los proveedores de servicios gestionados (MSP). Estos disponen de un acceso amplio a las redes de sus clientes, lo cual es muy valioso para un atacante. Después de explotar el MSP, el agresor puede expandirse fácilmente a las redes de sus clientes. Al explotar sus vulnerabilidades, estos atacantes tienen un mayor impacto y pueden obtener acceso a zonas que serían mucho más difíciles si se hace de forma directa.
Este tipo de ataques proporcionan a un atacante un nuevo método para vulnerar la protección de una empresa y realizar acciones una vez adentro, que pueden ser:
• Despliegue de malware: el atacante distribuye malware en la empresa objetivo, generalmente buscando conseguir el acceso remoto o desplegar otro malware que se propague por la red. SolarWinds incluyó la entrega de un backdoor malicioso, y el ataque a Kaseya dio lugar a un ransomware diseñado para aprovecharla.
• Filtración de datos: el atacante busca robar información confidencial, generalmente con el objetivo de utilizarla en otro ataque, extorsionar a la víctima que pague para que no se haga pública o actividades de ciberespionaje. Por ejemplo, el hackeo de SolarWinds expuso los datos sensibles de múltiples organizaciones del sector público y privado.
Mejores técnicas para identificar y mitigar los ataques a la cadena de suministro
A pesar del peligro que supone esta amenaza, existen técnicas destinadas para proteger a una compañía:
- Implantar una política de menor/mínimo privilegio: muchas organizaciones asignan accesos y permisos excesivos a sus empleados, socios y software. Estas autorizaciones excesivas facilitan los ataques a la cadena de suministro. Por ello, es imprescindible implementar una política de privilegio mínimo y asignar a todas las personas que forman la empresa y al propio software sólo los permisos que necesitan para desarrollar su propio trabajo.
- Realizar una segmentación de la red: Para evitar cualquier tipo de riesgo, se debe utilizar su segmentación para dividirla en zonas basadas en las distintas funciones empresariales. De esta manera, si un ataque a la cadena de suministro compromete parte de la red, el resto se mantendrá protegida.
- Aplicar las prácticas de DevSecOps: al integrar la seguridad durante el ciclo de vida del desarrollo y no al final del mismo, será posible detectar si el software fue modificado con malware (como las actualizaciones de Orion) y evitar el pase a producción.
- Prevención automatizada de amenazas y búsqueda de riesgos: los analistas de los Centros de Operaciones de Seguridad (SOC) tienen el desafío de revisar gran cantidad de eventos con poco personal, por ello es clave contar con herramientas que sean capaces de priorizar eventos (para que puedan focalizar en lo importante) así como proteger contra los ataques en todos los entornos de la organización, incluyendo los endpoints, la red, la nube y los dispositivos móviles.
“El famoso ataque de SolarWinds fue un llamado de atención a empresas y gobiernos sobre el impacto que puede tener un ataque a la cadena de suministro. Codecov en abril y el de Kaseya en julio de 2021 fueron otros ejemplos a lo largo del año, que demostraron una clara tendencia a este tipo de ataques”, destaca Alejandro Botter, gerente de ingeniería de Check Point para el sur de latinoamérica. “Todas las compañías, sin excepción, deben proteger sus sistemas y software para evitar cualquier tipo de ataque a su cadena de suministro, ya que de no hacerlo las consecuencias de este tipo de amenaza pueden ser incalculables”, concluye.