La seguridad es tan buena como el eslabón más débil, y en una cadena de suministro este eslabón podría estar prácticamente en cualquier lugar. Teniendo esto en presente, las grandes preguntas podrían ser: "¿cuál es y dónde está el eslabón más débil?" y "¿es algo sobre lo que se tiene control y que realmente se puede abordar"?
Una cadena de suministro comprende todo lo que se encuentra entre las materias primas y el producto final, lo cual abarca al proveedor de materias primas, los procesos de fabricación, la distribución y finalmente el consumidor. Si pensamos en una botella de agua mineral, cualquier agente contaminante introducido maliciosamente en el camino hacia el consumidor compromete a toda la cadena de suministro.
El producto contaminado
En ciberseguridad no es diferente: un chipset adulterado colocado en un dispositivo, como puede ser un router, contamina potencialmente el producto final, creando un problema para el consumidor. En la industria del software también podemos encontrarnos con un "escenario de componentes contaminados", como le ocurrió al proveedor de soluciones de seguridad FireEye cuando fueron atacados recientemente. Cuando la empresa descubrió que había sido víctima de un ciberataque, una investigación más profunda descubrió que el atacante había introducido una actualización maliciosa en un producto de gestión de red llamado Orion, fabricado por SolarWinds; uno de los proveedores de software que utiliza la empresa.
El backdoor, al que FireEye denominó SUNBURST y que ESET detecta como MSIL/SunBurst.A, fue implantado en Orion antes de que el código fuese entregado a FireEye, creando así un producto final contaminado para el consumidor. Pero en este caso, "el consumidor" se refería en realidad a unas 18.000 organizaciones comerciales y gubernamentales que instalaron la actualización maliciosa a través del mecanismo de actualización de Orion, convirtiéndose así en las víctimas finales del ataque. Al menos 100 de ellas fueron atacadas con la intención de realizar otras acciones maliciosas, y los actores de amenazas insertaron payloads adicionales y se adentraron más profundamente en las redes de las empresas.
Y ahí es donde en realidad radica el potencial daño de los ataques de cadena de suministro: al comprometer a un solo proveedor, los cibercriminales pueden eventualmente obtener acceso sin restricciones y difícil de detectar a una gran franja de sus clientes.
La escritura está en la pared
El incidente de SolarWinds recordó ataques similar que tuvieron lugar en el pasado, incluidos los compromisos de CCleaner en 2017 y 2018 y los ataques que involucraron al wiper NotPetya (también conocido como Diskcoder.C) disfrazado de ransomware, que se distribuyó como una actualización de un paquete legítimo para contabilidad fiscal llamado MEDoc. Y en 2013, la compañía Target fue víctima de una brecha que guarda relación con el robo de credenciales de inicio de sesión de un proveedor externo de sistemas de climatización remoto; de hecho, fue dicho este ataque el que llevó a prestar atención a los ataques de cadena de suministro.
Volviendo a la actualidad, los investigadores de ESET han descubierto, solo en los últimos meses, varios ejemplos de este tipo de ataques; desde ataques del grupo Lazarus mediante el compromiso del software WIZVERA VeraPort, pasando por Operation Stealthy Trident en la cual comprometieron un software de chat para empresas de uso regional, Operation SignSight, en la cual comprometieron el sitio de una autoridad de certificación, hasta Operation NightScout, un ataque de cadena de suministro en el que comprometieron un mecanismo de actualización de un software emulador de Android para PC.
Si bien los ataques fueron diferentes en cuanto a metodología y patrones de ataque, fueron muy específicos en su grupo demográfico objetivo y los ataques fueron hechos a la medida.
Los problemas en la cadena de suministro pueden arruinar su vida
Las cadenas de suministro son la "cinta adhesiva" digital que une nuestra vida electrónica. Estas cadenas contienen los robots que ensamblan y programan los miles de millones de dispositivos en los que ahora confiamos y de los cuales muchas veces nos volvemos extremadamente dependientes, como nuestros smartphones o un dispositivo médico. Pero ¿cómo saber si fue comprometida la cadena? Probablemente no lo sabrías, y no estás solo.
La automatización tiene sentido: los robots son mejores que tú o yo. Pero ¿qué pasaría si los robots se revelaran? Una marcha por las calles de Tokio es una forma de manifestación cultural popular, pero también podría serlo colocar backdoors silenciosos en el software de control de edificios. También es menos probable ser atrapado.
Solía haber líneas duras entre el hardware y el software; pero ahora están difuminadas. Los fabricantes de chips y sistemas “combinan” un montón de lógica central y la introducen en un chip que se suelda en una placa. Gran parte del trabajo pesado en el código estándar ya se ha hecho y es de código abierto, o al menos está ampliamente disponible. Los ingenieros simplemente descargan y escriben el código que une todo y envían un producto terminado. Funciona muy bien. A menos que el código esté dañado en algún momento. Con cadenas de herramientas rudimentarias que todavía usan para el acceso variantes de protocolos en serie antiguos y otros protocolos totalmente inseguros, las travesuras digitales están listas para ser elegidas.
Y últimamente, alguien ha estado eligiendo entre estas cadenas de suministro digitales con creciente frecuencia y ferocidad.
Desde chips falsos para espiar el tráfico de la red hasta el código corrupto de un sistema en un chip (SoC), es difícil estar seguro de que todos los eslabones de cualquier cadena de suministro están libres de alteraciones. La implantación de backdoors accesibles a través de Internet para uso futuro es una de las prioridades de los posibles atacantes, y están dispuestos a hacer todo lo posible para lograrlo.
Se ha convertido en una carrera global, con un mercado que acompaña. Descubra un fallo grave en un software y obtendrá una camiseta y una recompensa; véndalo a un actor de amenazas de un estado-nación y podrá realizar un pago inicial para obtener su propia isla. En este contexto es difícil imaginar que un ataque de cadena de suministro esté por encima de toda posible sospecha. De hecho, nos encontramos con todo lo contrario.
Manteniendo el pozo limpio
Es prácticamente imposible que cualquier empresa tenga el control total de su cadena de suministro para garantizar que ningún componente en bruto que se ha incorporado en sus propios productos o que sus servicios no han sido contaminados o explotados en el camino hacia el eventual consumidor. Minimizar el riesgo de un ataque de cadena de suministro implica un ciclo interminable de gestión de riesgos y cumplimiento; en el ataque de SolarWinds, el profundo análisis posterior al ataque del producto del proveedor externo identificó el exploit enterrado muy profundamente en el código.
A continuación, compartimos algunas recomendaciones para reducir los riesgos derivados de cadenas de suministro que incluyan software vulnerables:
- Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
- Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
- Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
- Elimine los sistemas, servicios y protocolos redundantes u obsoletos
- Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
- Establezca requisitos de seguridad para sus proveedores de software
- Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
- Infórmese sobre las pruebas de penetración para identificar peligros potenciales
- Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
- Ejecute software de seguridad con múltiples capas de protección
Una organización necesita tener visibilidad de todos sus proveedores y los componentes que entregan, lo que incluye las políticas y procedimientos que la empresa tiene implementados. No basta con tener contratos legales que repartan culpas o responsabilicen al proveedor cuando está en juego la reputación de su propia empresa; a fin de cuentas, la responsabilidad recae firmemente en la empresa a la que el consumidor compró el producto o servicio.