Después de las recientes intrusiones en la cadena de suministro de software, la Agencia de Ciberseguridad y Seguridad de infraestructura de los Estados Unidos (CISA, por sus días) y el Instituto Nacional de Estándares y Tecnología (NIST, por sus partidos) lanzaron un asesor conjunto que proporciona orientación sobre cómo los proveedores de software y los clientes pueden identificar, evaluar y mitigar los riesgos.
Un ataque a la cadena de suministro de software es un ataque donde un actor de amenazas se infiltra en la red de un proveedor de software y emplea código malicioso para comprometer el software antes de que el proveedor lo envíe a sus clientes. A continuación, el software comprometido compromete los datos o el sistema del cliente. Ejemplos recientes de tales ataques incluyen el hack SolarWinds, el compromiso passwordstate administrador de contraseñas de la empresa y el hack Codecov.
Las técnicas más comunes utilizadas para llevar a cabo ataques en cadena de suministro son:
-Actualizaciones de secuestro;
-Socavar la firma de código;
-Comprometer el código fuente
Como señala el asesor, las técnicas antes mencionadas no son mutuamente excluyentes, y los actores de amenazas a menudo las utilizan simultáneamente.
"Los defensores de la red están limitados en su capacidad de mitigar rápidamente las consecuencias después de que un actor de amenazas haya comprometido una cadena de suministro de software. Esto se debe a que las organizaciones rara vez controlan toda su cadena de suministro de software y carecen de autoridad para obligar a todas las organizaciones de su cadena de suministro a tomar medidas de mitigación rápidas. Debido a la dificultad de mitigar las consecuencias después de que se produzca un ataque a la cadena de suministro de software, los defensores de la red deben observar las mejores prácticas de la industria antes de que se produzca un ataque. La implementación de las mejores prácticas reforzará la capacidad de una organización para prevenir, mitigar y responder a tales ataques", dijeron CISA y NIST.
Para mitigar los riesgos asociados con los ataques de la cadena de suministro, se recomienda a los defensores de la red que apliquen las mejores prácticas de la industria antes de que se produzca un ataque real. CISA y NIST también recomiendan que las organizaciones utilicen software de terceros "en el contexto de un programa de gestión de riesgos" que debe incluir un enfoque formal de C-SCRM (Cyber Supply Chain Risk Management) en toda la organización.
