A medida que las organizaciones han aumentado su propia seguridad cibernética en los últimos cinco a 10 años, ha habido un aumento en los ataques indirectos a través de la cadena de suministro. Al mismo tiempo, también ha habido un aumento en el ransomware y la aparición de ransomware dirigido relacionado con el robo de datos y la extorsión.
Esto se debe, en cierta medida, a que las pequeñas y medianas empresas (PYME) en la cadena de suministro se consideran una forma más fácil de ingresar a la empresa que un ataque directo. Sin embargo, también se han visto ataques sofisticados a la cadena de suministro a través de empresas más grandes.
El aumento del ransomware es una amenaza real, especialmente cuando hay un único proveedor. El ransomware se ha vuelto más sofisticado y, a veces, infecta las copias de seguridad y la tecnología operativa (OT), por lo que es posible que las empresas no puedan producir y entregar sus productos durante tres meses o más después de un ataque.
Es fundamental, por tanto, que podamos tener confianza en la seguridad de las empresas de nuestras cadenas de suministro para detectar y responder a un ataque y recuperarse rápidamente después.
A medida que avanzamos más hacia los contratos digitales y la integración con los proveedores, crece la oportunidad de montar un ataque a través de la cadena de suministro, primero comprometiendo al proveedor y luego ingresando a la organización del cliente a través de un portal de compras u otro servicio compartido. También debemos ser conscientes del hardware o software comprometido que puede estar destinado a nuestros propios sistemas internos o la integración en productos o soluciones para nuestros propios clientes.
Un ejemplo de hace algunos años fue un ataque a una empresa que creó una herramienta de desarrollo de sitios web utilizada por varias otras empresas para desarrollar sitios web para sus clientes. Como resultado, el ataque al desarrollador de la herramienta afectó a muchos desarrolladores de sitios web y colocó puertas traseras en aún más sitios web de sus clientes.
El riesgo de la cadena de suministro variará de una organización a otra y de un proveedor a otro, por lo que el primer paso es una evaluación de riesgos de la cadena de suministro y el impacto que puede tener. Hay tres áreas principales a considerar: la intrusión de un proveedor o proveedor de servicios en sus sistemas; un ataque colocando malware en el producto de un proveedor; o un ataque de ransomware en un proveedor de fuente única que hace que ese producto no esté disponible. Esto significa garantizar que los proveedores se protejan a sí mismos y que sus sistemas estén protegidos de sus proveedores.
Al asegurarse de que los proveedores estén abordando adecuadamente su propia seguridad cibernética, es importante no ser prescriptivo ni dar consejos sobre las medidas que deben tomar, porque si siguen sus consejos y, posteriormente, sufre un ataque a la cadena de suministro a través de ese proveedor, ellos no podía hacerse responsable.
El enfoque, por lo tanto, debe ser exigir que sus sistemas estén certificados según estándares como ISO 27001 o Cyber Essentials Plus. Los proveedores también deben ser auditados regularmente e, idealmente, deben realizar pruebas de seguridad periódicas de sus sistemas. Hay mucha buena orientación disponible sobre esto, en particular del Centro Nacional de Seguridad Cibernética (NCSC).
Los proveedores también pueden tener acceso a los sistemas de sus clientes. Esto puede estar limitado a requerimientos técnicos a través de sistemas de compras y presentación directa de ofertas, o pueden estar brindando servicios de mantenimiento de equipos de producción o servicios de monitoreo de seguridad. En todo caso, tendrán acceso a los equipos que operen dentro de los sistemas TI y/o OT de sus clientes. Aquí, las consideraciones importantes son:
- Limite el acceso solo a un número reducido del personal de los proveedores.
- Permita solo el acceso a la red privada virtual (VPN) desde los sistemas de los proveedores mediante la autenticación de dos factores.
- Restrinja su acceso solo a aquellos sistemas y recursos a los que necesitan acceder para satisfacer los requisitos contractuales.
- Limite los privilegios al mínimo necesario para completar la tarea.
En el caso de hardware y software que se vaya a utilizar en sus propios sistemas de TI, o que se integre en los productos y servicios que proporcione, es necesario tener en cuenta algunos requisitos adicionales para los proveedores y, posiblemente, para las pruebas de los productos recibidos de ellos. Las áreas principales giran en torno a la seguridad del entorno de desarrollo y creación del software final.
El primer paso es el uso de una herramienta de configuración de código de software, configurada para limitar quién puede registrar el código y crear compilaciones. Sin embargo, el punto más vulnerable del proceso es la construcción de la aplicación final, porque los cambios maliciosos aquí no se pueden detectar fácilmente.
Por lo tanto, se debe utilizar un entorno de construcción separado con acceso limitado para el personal de construcción e idealmente aislado del acceso directo a Internet. Todo el código debe firmarse durante el proceso de compilación y las firmas deben verificarse en la ejecución. Si bien este debe ser el caso con Windows, no siempre es el caso con las aplicaciones integradas y otras. Todas las actualizaciones y parches de software también deben estar firmados para evitar la sustitución en tránsito.
Al integrar software, o actualizaciones de software recibidas de un proveedor, en un sistema, normalmente se verificaría en un banco de pruebas de sistemas antes de cargarlo en el sistema operativo. En sistemas particularmente críticos, se podría considerar el uso de diferentes firmas para el software no probado y el software operativo final, volviendo a aplicar de manera efectiva la firma usando un certificado de firma de “garantía de calidad” diferente después de la prueba del sistema. Esto garantizaría que el software no probado no se pueda utilizar en el sistema operativo.
En general, este no es un proceso simple, particularmente para organizaciones grandes con cadenas de suministro profundas y amplias, pero es un riesgo que debe abordarse. Las medidas deben ser sistemáticas y evaluadas para minimizar la complejidad y el costo para el negocio. Tampoco será siempre técnico. La mitigación de un ataque de ransomware en un proveedor de una sola fuente se puede lograr manteniendo existencias de su producto para varios meses o diversificando la cadena de suministro para incluir una segunda fuente. Sin embargo, es algo que todas las organizaciones deben considerar y controlar.