Al mapear los ataques emergentes de la cadena de suministro, la Agencia de la Unión Europea para la Ciberseguridad advirtió el 29 de julio que el 66% de los ataques se centran en el código del proveedor.
Los ataques a la cadena de suministro han sido una preocupación para los expertos en ciberseguridad durante muchos años porque la reacción en cadena desencadenada por un ataque a un solo proveedor puede comprometer una red de proveedores. El malware es la técnica de ataque a la que recurren los atacantes en el 62% de los ataques.
Según el nuevo informe de ENISA, Panorama de amenazas para ataques a la cadena de suministro, que analizó 24 ataques recientes, una protección de seguridad sólida ya no es suficiente para las organizaciones cuando los atacantes ya han dirigido su atención a los proveedores.
Esto se evidencia por el impacto cada vez mayor de estos ataques, como el tiempo de inactividad de los sistemas, la pérdida monetaria y el daño a la reputación.
“Debido al efecto en cascada de los ataques a la cadena de suministro, los actores de amenazas pueden causar daños generalizados que afectan a las empresas y sus clientes a la vez”, dijo el director ejecutivo de la Agencia de la UE para la Ciberseguridad, Juhan Lepassaar. “Con buenas prácticas y acciones coordinadas a nivel de la UE, los Estados miembros podrán alcanzar un nivel similar de capacidades elevando el nivel común de ciberseguridad en la UE”, añadió.
Ahora se espera que los ataques a la cadena de suministro se multipliquen por 4 en 2021, en comparación con el año pasado. Esta nueva tendencia enfatiza la necesidad de que los legisladores y la comunidad de ciberseguridad actúen ahora. Esta es la razón por la que se deben introducir con urgencia nuevas medidas de protección para prevenir y responder a posibles ataques a la cadena de suministro en el futuro y, al mismo tiempo, mitigar su impacto.
Una cadena de suministro es una combinación del ecosistema de recursos necesarios para diseñar, fabricar y distribuir un producto. En ciberseguridad, una cadena de suministro incluye hardware y software, almacenamiento en la nube o local, así como mecanismos de distribución.
Compuesto por un ataque a uno o más proveedores con un ataque posterior al objetivo final, es decir, el cliente, los ataques a la cadena de suministro pueden tardar meses en tener éxito. En muchos casos, un ataque de este tipo puede incluso pasar desapercibido durante mucho tiempo.
Al igual que los ataques de amenaza de persistencia avanzada (APT), los ataques a la cadena de suministro suelen ser dirigidos, bastante complejos y costosos, y los atacantes probablemente los planean con mucha anticipación. Todos estos aspectos revelan el grado de sofisticación de los adversarios y la perseverancia en la búsqueda del éxito.
El informe revela que una organización podría ser vulnerable a un ataque a la cadena de suministro incluso cuando sus propias defensas son mejores que adecuadas. Los atacantes exploran nuevas carreteras potenciales para infiltrarse en las organizaciones apuntando a sus proveedores. Además, con el potencial casi ilimitado del impacto de los ataques a la cadena de suministro en numerosos clientes, este tipo de ataques se están volviendo cada vez más comunes.
Para comprometer a los clientes objetivo, los atacantes se enfocaron en el código de los proveedores en aproximadamente el 66% de los incidentes reportados. Esto muestra que las organizaciones deben centrar sus esfuerzos en validar el código y el software de terceros antes de usarlos para asegurarse de que no hayan sido alterados o manipulados.
Para aproximadamente el 58% de los incidentes de la cadena de suministro analizados, los activos de los clientes a los que se dirigieron fueron predominantemente datos de clientes, incluidos datos de información de identificación personal (PII) y propiedad intelectual.
En el 66% de los ataques a la cadena de suministro que se analizaron, los proveedores no sabían, o no informaron, cómo estaban comprometidos. Sin embargo, menos del 9% de los clientes comprometidos a través de ataques a la cadena de suministro no sabían cómo ocurrieron los ataques. Esto destaca la brecha en términos de madurez en la notificación de incidentes de ciberseguridad entre proveedores y usuarios finales.
La Agencia de la UE para la Ciberseguridad recomendó que se apliquen buenas prácticas y que se emprendan acciones coordinadas a nivel de la UE.
El impacto de los ataques en los proveedores puede tener consecuencias de gran alcance debido al aumento de las interdependencias y complejidades de las técnicas utilizadas. Más allá de los daños a las organizaciones afectadas y terceros, existe un motivo más profundo de preocupación cuando se exfiltra información clasificada y la seguridad nacional está en juego o cuando como resultado podrían surgir consecuencias de naturaleza geopolítica, dijo ENISA.
En este complejo entorno para las cadenas de suministro, el establecimiento de buenas prácticas y la participación en acciones coordinadas a nivel de la UE son importantes para ayudar a los 27 miembros del bloque a desarrollar capacidades similares para alcanzar un nivel común de seguridad.
El informe emite una gran cantidad de recomendaciones para que los clientes gestionen el riesgo de ciberseguridad de la cadena de suministro y gestionen la relación con los proveedores.
Las recomendaciones para los clientes incluyen:
- Identificar y documentar proveedores y prestadores de servicios; definir criterios de riesgo para diferentes tipos de proveedores y servicios, tales como dependencias de proveedores y clientes, dependencias críticas de software, puntos únicos de falla;
- Monitoreo de riesgos y amenazas de la cadena de suministro; gestionar proveedores durante todo el ciclo de vida de un producto o servicio, incluidos los procedimientos para gestionar productos o componentes al final de su vida útil;
- Clasificación de activos e información compartida con o accesible a proveedores, y definición de procedimientos relevantes para acceder a ellos y manejarlos.
El informe también sugiere posibles acciones para garantizar que el desarrollo de productos y servicios cumpla con las prácticas de seguridad de Europa. Se aconseja a los proveedores que implementen procedimientos de seguridad que se centren en la gestión de vulnerabilidades y parches.
Las recomendaciones para proveedores incluyen:
- Asegurar que la infraestructura utilizada para diseñar, desarrollar, fabricar y entregar productos, componentes y servicios siga las prácticas de ciberseguridad;
- implementar un proceso de desarrollo, mantenimiento y soporte de productos que sea consistente con los procesos de desarrollo de productos comúnmente aceptados;
- Monitoreo de vulnerabilidades de seguridad reportadas por fuentes internas y externas que incluyen componentes de terceros usados;
- Mantener un inventario de activos que incluye información relevante para el parche.
El panorama de las amenazas cibernéticas está en constante evolución y tanto los legisladores como los profesionales deben tener acceso a información actualizada y precisa sobre el panorama actual de las amenazas, respaldada por la inteligencia de amenazas. Para responder a esta necesidad, el Panorama de amenazas de ENISA se ha publicado anualmente desde 2012. Estos informes se basan en datos disponibles públicamente que brindan una visión independiente sobre las amenazas observadas, los agentes de amenazas, las tendencias de amenazas y los vectores de ataque.
ENISA creó un grupo de trabajo ad-hoc sobre amenazas cibernéticas con el fin de interactuar con una amplia gama de partes interesadas y recibir asesoramiento en el diseño, actualización y revisión de la metodología necesaria para dibujar los paisajes de amenazas cibernéticas, incluido el Panorama de amenazas anual de ENISA. La Agencia proporciona análisis de amenazas en una variedad de tecnologías y desafíos emergentes, incluidos los escenarios de amenazas recientes en Inteligencia Artificial y 5G.