Tres estrategias para proteger su cadena de suministro digital

En julio, REvil, una banda de ciberdelincuentes rusa, pudo cerrar los sistemas de TI de 800 tiendas de abarrotes suecas, un par de escuelas neozelandesas, dos ayuntamientos de Maryland y unas mil empresas más de todo el mundo. Los atacantes descubrieron que Kaseya, un software utilizado por los contratistas de servicios de TI para gestionar remotamente las redes corporativas, tenía numerosas vulnerabilidades de ciberseguridad. Al atacar a Kaseya, REvil abrió una puerta trasera a los sistemas de TI de las numerosas organizaciones compatibles con el software. Por lo tanto, Kaseya era un potente vector de ataque.

Ahora deberíamos centrar nuestra atención en los servicios y productos tecnológicos fundamentales que, de verse comprometidos, tendrían un impacto de gran alcance similar. Hoy en día, la mayoría de los productos de software se basan en miles de paquetes preescritos producidos por vendedores o extraídos de bibliotecas de código abierto. Los componentes de la cadena de suministro de software de terceros más utilizados son objetivos muy apreciados por los ciberdelincuentes. Y son vulnerables. Una auditoría de 2020 realizada por Synopsys descubrió que el 49% de las bases de código comerciales utilizan componentes de código abierto que tienen vulnerabilidades de alto riesgo. Si los atacantes explotaran estas vulnerabilidades, podrían comprometer a miles o incluso millones de empresas de todos los sectores y de todo el mundo.

No se trata de una especulación vana. Los sofisticados actores de amenazas ya se han centrado en los componentes de la cadena de suministro muy utilizados (y mal protegidos). SVR, una agencia de inteligencia rusa, implantó un código malicioso en una actualización de software de Vientos solares, un software de gestión en la nube. Esto proporcionó a SVR un posible vector de ataque a las 18 000 empresas y agencias gubernamentales que instalaron debidamente la actualización.

Los rusos no están solos. Paul Nakasone, el comandante del Comando Cibernético de los Estados Unidos, se lo dijo al Congreso que los estados nacionales utilizan cada vez más las «mejores prácticas» para abordar las vulnerabilidades de la cadena de suministro. La empresa de seguridad Sonatipo estimado que hubo más de un 400% más de ataques a la cadena de suministro entre julio de 2019 y marzo de 2020 que en los cuatro años anteriores juntos.

Una vez que un adversario irrumpe en la red de una organización, puede causar graves daños financieros y a la reputación. Muchas empresas no sobrevivirían a las consecuencias. Un estudio de Verizon encontró que el 60% de las pequeñas y medianas empresas quiebren seis meses después de un ciberataque. En consecuencia, son las empresas las que tienen que mitigar su riesgo.

Para entender mejor la amenaza y la forma en que se gestiona actualmente, realizamos entrevistas semiestructuradas con ejecutivos de pequeñas y medianas empresas y con personas que están trabajando en la remediación de la cadena de suministro: los coordinadores de vulnerabilidades del CERT/CC, una organización financiada por el gobierno encargada de corregir los fallos críticos de ciberseguridad, y los directores de seguridad de las empresas de tecnología.

Muchos de los líderes corporativos con los que hablamos se mostraron sorprendentemente fatalistas con respecto al desafío. Un CEO de una empresa de pequeña capitalización confesó que no creía que su empresa pudiera asegurar su cadena de suministro. Esta respuesta instintiva tiene sentido. El informe de Synopsys reveló que las bases de código comerciales emplean una media de 445 componentes de código abierto. Pocas organizaciones tienen la experiencia —y casi ninguna tiene el ancho de banda— para detectar las vulnerabilidades de ciberseguridad de sus multitudinarios proveedores de terceros y cuartos.

Pero la buena noticia es que las empresas no tienen por qué sentirse impotentes; pueden confiar en otras personas ajenas a la empresa para descubrir las vulnerabilidades. Durante los últimos años, el creciente ecosistema de investigadores de seguridad y agencias de intercambio de información ha identificado miles de vulnerabilidades críticas antes de que fueran explotadas por actores malintencionados. Las empresas simplemente tienen que mantenerse informadas y reaccionar con urgencia ante las amenazas que puedan afectarlas.

Las empresas pronto tendrán acceso a más herramientas que les ayudarán a entender rápidamente si una vulnerabilidad puede ponerlas en peligro. Actualmente, pocos vendedores publican listas de materiales (SBOM) de software, en las que se enumeran los componentes de la cadena de suministro integrados en el código base de sus productos. Pero un reciente Orden ejecutiva de la administración de Biden exige que todos los proveedores de tecnología que tengan contratos con el gobierno federal (incluidos los fabricantes de software más ubicuos) publiquen las SBOM. Esto aportará la tan necesaria transparencia a la cadena de suministro del software.

En lugar de encontrar errores, las empresas tienen que priorizar y corregir rápidamente las vulnerabilidades. Lamentablemente, muchos no lo son. Se encontró un informe de HP-Bromium que muchas empresas no habían podido remediar vulnerabilidades de hace años. Las empresas que no solucionen las vulnerabilidades para las que existe un parche corren un grave riesgo. Como Dmitri Alperovitch, cofundador de CrowdStrike, una importante empresa de respuesta a ciberincidentes, ha anotado, muchos grupos delictivos utilizan la ingeniería inversa de los parches para descubrir vulnerabilidades y explotar organizaciones inseguras.

La buena noticia es que este problema no es insuperable, ni siquiera para las empresas más pequeñas. Los líderes corporativos y los equipos de TI pueden tomar tres medidas para priorizar y remediar las vulnerabilidades y prevenir los ciberataques a la cadena de suministro.

Los administradores de TI deberían confiar más en las herramientas automatizadas para corregir vulnerabilidades simples.

El repositorio de códigos en línea GitHub ha desarrollado un «código robótico automatizado» que identifica y corrige las vulnerabilidades simples de los usuarios con solo hacer clic en un botón. Con la creciente prevalencia de los SBOM, se desarrollarán servicios similares.

Sin embargo, pocas empresas han implementado estas novedosas herramientas en sus flujos de trabajo de TI. Solo 42 de los 1896 usuarios de GitHub con los que se contactó por una vulnerabilidad aceptó el parche automático. Esto debe cambiar.

Las empresas deberían realizar un análisis de costo-beneficio de la reparación de las vulnerabilidades.

Muchas vulnerabilidades no serán tan fáciles de remediar. Muchos productos solo se pueden parchear cuando sus sistemas están fuera de línea. Por lo tanto, corregir todas las vulnerabilidades no es práctico.

Por suerte, no es necesario. No todas las vulnerabilidades se crean de la misma manera: algunas son muy costosas de convertir en armas y, por lo tanto, es poco probable que se exploten. Fortinet ha informado que solo el 5% de las vulnerabilidades se explotaron contra más del 10% de las organizaciones monitoreadas. Así como un hospital ajetreado califica a los pacientes, los equipos de TI pueden clasificar las vulnerabilidades. Las vulnerabilidades explotables e impactantes deben solucionarse rápidamente. Las empresas pueden esperar a las actualizaciones programadas para corregir las vulnerabilidades menos urgentes.

Las empresas pueden utilizar las métricas recién creadas para clasificar las vulnerabilidades. Por ejemplo, el Exploit Prediction Scoring System (EPSS), desarrollado por un equipo de expertos en ciberseguridad y vendedores de software, estima la probabilidad de que se aproveche una vulnerabilidad en función de sus características inherentes. Esta herramienta ayudará a los gestores de riesgos a determinar si los beneficios en ciberseguridad de corregir una vulnerabilidad superan las interrupciones que provocará la remediación.

Los compradores deberían exigir que los proveedores de tecnología fundamentales implementen «parches en caliente».

Algunas tecnologías, como los sistemas de control industrial que hacen funcionar las fábricas y el software que gestiona las redes eléctricas y las redes de distribución de agua, son tan fundamentales que no pueden fallar. Las empresas quieren que estén libres de cualquier vulnerabilidad conocida, independientemente de lo explotable que piensen que es la vulnerabilidad.

Pero estos sistemas también deben estar siempre disponibles. Si hubiera que cerrarlas para parcharlas, las actualizaciones de ciberseguridad no serían frecuentes, ya que las empresas y los gobiernos rara vez pueden darse el lujo de desconectarlas.

Por lo tanto, las empresas deberían exigir a sus proveedores que implementen sistemas de parches en caliente, que les permitan implementar parches sin tener que reiniciar el software. Si bien la implementación de esta funcionalidad puede aumentar los costes, también garantizará que las empresas no tengan que elegir entre ciberseguridad y disponibilidad.

Sin duda, estas medidas no protegerán a las empresas contra todos los riesgos de la cadena de suministro de software. Como cualquier prueba imperfecta, el EPSS produce falsos negativos: a veces concluye erróneamente que las vulnerabilidades potentes son menos urgentes. Además, las prácticas de seguridad que sugerimos no protegerán a las empresas contra actores malintencionados que aprovechan vulnerabilidades que la comunidad de ciberseguridad no descubre hasta que son explotadas en un ataque. Aun así, si toman estas medidas, las empresas podrán repeler la mayoría de los ataques, que utilizan vulnerabilidades conocidas y explotables como armas. Las empresas no tienen por qué sentirse impotentes, pueden gestionar este riesgo.