Un nuevo campo de juego para la ciberdelincuencia: Por qué la seguridad de la cadena de suministro debe cubrir el desarrollo de software

La mayoría de las organizaciones consideran que las cadenas de suministro son proveedores de bienes y servicios físicos. La función de gestión de la cadena de suministro en estas empresas suele proporcionar el marco de gobierno para reducir los riesgos de terceros y evitar que los hackers roben datos, interrumpiendo las operaciones diarias y afectando la continuidad del negocio. Pero hay otra parte crucial de este ecosistema que algunas organizaciones pueden estar pasando por alto: la cadena de suministro de software.

El software es el alma de la empresa moderna, por lo que es vital que los equipos de seguridad de TI obtengan visibilidad y control del código que fluye a través de su organización, antes de que se convierta en un gran ciberriesgo.

El software se está comiendo el mundo

Hace ya ocho años que el cofundador y empresario de Netscape, Marc Andreesen, escribiera el artículo de gran influencia Por qué el software se está comiendo el mundo (Why Software is Eating the World).  En el tiempo transcurrido, la transformación digital ha hecho que el desarrollo de aplicaciones sea aún más importante para el éxito empresarial. Hoy en día, no hay muchas organizaciones en el planeta que no utilicen estas capacidades para responder a la creciente demanda de los clientes de acceso ilimitado a productos y servicios innovadores, a través de múltiples dispositivos.

Sin embargo, aquí es donde empiezan los problemas: para obtener una ventaja competitiva, los desarrolladores suelen utilizar código y bibliotecas compartidos abiertamente para integrar rápidamente la funcionalidad sin tener que reinventar la rueda. Desafortunadamente, la seguridad es con demasiada frecuencia una idea de última hora, con poca o ninguna consideración dada a la amenaza potencial de usar estos repositorios compartidos.

Bajo el radar

Por lo tanto, la cadena de suministro de software abre un vector de amenaza útil a través del cual los ciberdelincuentes pueden infiltrarse en las organizaciones. Estos ataques no son realmente un fenómeno nuevo, de hecho, han existido durante años. Por lo general, implican el compromiso del software original a través de la manipulación maliciosa de su código fuente, su servidor de actualización o, en algunos casos, ambos. La intención es siempre la misma: entrar en la red o en el host de una entidad objetivo de la forma más silenciosa posible.

Muy rara vez las organizaciones piensan en extender el marco seguro de la cadena de suministro a proveedores y desarrolladores de software de aplicaciones internos o externos. Eso deja una brecha potencialmente importante en la protección que los malos están preparados para explotar.

Los métodos de ataque más comunes incluyen la inyección de código malicioso en el código fuente para lenguajes basados en compilaciones nativas o interpretadas/justo a tiempo como C/++, Java y.NET. A principios de este año se cargaron tres bibliotecas Python maliciosas al Índice de Paquete Python oficial (PyPI) que contenía una puerta trasera oculta que se activaría cuando las bibliotecas se instalaran en sistemas Linux.

Los tres paquetes – llamados libpeshnx, libpesh, y libari – fueron creados por el mismo usuario, y han estado disponibles para su descarga desde PyPI durante casi 20 meses antes de ser descubiertos por los investigadores de seguridad de ReversingLabs.

Asegurar la cadena de suministro de software

La buena noticia es que hay algunos sencillos pasos que se pueden tomar para mitigar estos riesgos y asegurar entornos de creación y desarrollo de software limpio.

Mantener y validar de forma cruzada la integridad del código fuente y de todas las bibliotecas y binarios del compilador es un buen punto de partida. El uso de bibliotecas y código de terceros debe examinarse y analizarse en busca de indicadores maliciosos antes de la integración y el despliegue.  

Una correcta segmentación de la red también es esencial para separar los activos críticos en los entornos de construcción y distribución (servidor de actualización) del resto de la red. También es clave la aplicación de estrictos controles de acceso, con autenticación multifactorial (MFA) aplicada a cualquier servidor de compilación de versiones y endpoints. Por supuesto, estos pasos no eximen a los desarrolladores de la responsabilidad de supervisar continuamente la seguridad de sus sistemas.

Trabajando en equipo para el éxito

Trend Micro ha tenido la capacidad de asegurar contenedores por algún tiempo; a través del servicio de escaneo de imágenes Smart Check y la protección del tiempo de ejecución integrada en Deep Security. Pero entendemos que trabajar en equipo con proveedores de seguridad externos también puede ser útil para nuestros clientes. Es por eso que recientemente anunciamos una asociación con Snyk, uno de los primeros proveedores de seguridad de código abierto para desarrolladores. Este acuerdo, durante más de dos años, es el resultado de un respeto mutuo centrado en la tecnología entre las dos empresas, que dará como resultado capacidades inigualables de seguridad de contenedores de extremo a extremo. 

Como parte del acuerdo, Trend Micro identificará las vulnerabilidades en el momento de la creación con SmartCheck y proporcionará protección en tiempo de ejecución a través de la prevención de intrusiones (IPS) y las funciones de firewall de red. Mientras tanto, Snyk solucionará los fallos en origen a través de los flujos de trabajo de los desarrolladores, la participación y la reparación automatizada.

El resultado es que las cadenas de suministro de software de la organización pueden mejorarse en lugar de verse obstaculizadas por la seguridad. Los equipos que trabajen a pleno rendimiento con una entrega continua y segura podrán proporcionar una plataforma de lanzamiento para el éxito digital, en lugar de exponer a la organización a riesgos adicionales innecesarios relacionados con la cibernética.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.