Tres pasos para asegurar las cadenas de suministro de software

El código de computadora es la base de cada pieza de tecnología, desde teléfonos inteligentes hasta robots y las redes que los conectan. En el mundo digital actual, eso también hace que el código sea parte de la base de muchas, si no la mayoría, empresas y servicios.

Los piratas informáticos reconocen este hecho y lo aprovechan. Un ejemplo reciente y de alto perfil es el ataque a FireEye que utilizó múltiples actualizaciones troyanizadas del software SolarWinds. Al apuntar a los proveedores de software, los piratas informáticos pudieron instalar puertas traseras en las empresas que, a su vez, les permitieron alcanzar sus objetivos previstos:las agencias gubernamentales que recibieron servicios de esas empresas.

Este método de ataque también aprovecha la confianza. Las empresas, los gobiernos y otros clientes asumen que si una actualización de software o firmware proviene del proveedor, es segura de instalar. Algunos confiarán pero verificarán; comprueban el sitio web del proveedor para ver el valor hash de la actualización y luego lo comparan con la descarga. Si coinciden, asumen que está libre de vulnerabilidades.

Esta confianza crea oportunidades para los actores malintencionados que pueden manipular el código fuente durante el proceso de desarrollo. Como resultado, los usuarios descargan involuntariamente un exploit, que a menudo permanece en silencio durante semanas o meses mientras se propaga por toda la organización para, en última instancia, atacar a una lista de socios, proveedores o clientes. ¿Cómo pueden protegerse las organizaciones?

Mantenga alejados a los malos actores. Un programa de gestión de riesgos de la cadena de suministro (SCRM) es fundamental para mitigar las amenazas y vulnerabilidades inherentes a la adopción e integración de productos y servicios de terceros. Cubre personas, procesos y tecnología, y abarca varios departamentos, incluidos seguridad, TI, recursos humanos (RR.HH.), adquisiciones y legal. Es especialmente importante expandir el programa SCRM de una empresa al ciclo de vida de desarrollo de software (SDLC). En el proceso, el programa SCRM crea una cultura de seguridad en la que todos son participantes y están alineados con el mismo objetivo.

Dentro del SDLC, un programa SCRM se centra en las personas que necesitan tocar el código y los recursos relacionados, como los conjuntos de herramientas. Comprensiblemente, estos empleados deben ser examinados minuciosamente durante el proceso de contratación, incluida la verificación de antecedentes para identificar cualquier vínculo potencial con la actividad delictiva y / o estados nacionales.

Las empresas que utilizan empresas de contratación de personal deben asegurarse de que la empresa comprenda sus requisitos únicos y específicos. Por ejemplo, las empresas deben saber quiénes son sus empresas de personal y si tienen presencia en países que tienen un historial de delitos cibernéticos patrocinados por el estado. Cuando las empresas se ocupan de información confidencial y de propiedad, no quieren que las oficinas remotas de las firmas de personal les proporcionen currículums y candidatos que son posibles plantas de amenazas internas. Los atacantes del estado-nación se centran cada vez más en llevar a su gente a las organizaciones objetivo. Tienen los recursos financieros para capacitar a las personas, que demuestran codiciadas habilidades de codificación y otras credenciales solicitadas que elevan sus currículums a lo más alto de la lista. Esto es algo que deben tener en cuenta los equipos de recursos humanos y los gerentes de contratación.

Es posible que algunos malos actores pasen incluso por los procesos de selección y contratación más cuidadosos. Por eso es importante monitorear la actividad de los empleados a través de un programa de amenazas internas bien definido para identificar comportamientos inusuales y sospechosos, como la escalada no autorizada de privilegios y el acceso a sistemas, programas y aplicaciones.

Un programa de SCRM también debe identificar a las personas que necesitan tocar el código y los recursos relacionados, como conjuntos de herramientas, y luego implementar salvaguardas para mantener todo eso alejado de los demás. Una vez que el código tiene la licencia, debe ser la única fuente para los desarrolladores autorizados, lo que significa que no pueden traer código adicional de fuentes externas. Esencialmente, una vez que el código ya está evaluado y controlado, las empresas no quieren que los desarrolladores obtengan código de nuevas fuentes que aún no han sido evaluadas para detectar riesgos de seguridad. Esta práctica recomendada mitiga vulnerabilidades, como puertas traseras ocultas en código no autorizado utilizado sin saberlo por desarrolladores autorizados o portales indocumentados ocultos por usuarios no autorizados.

Examinar y controlar. La tecnología de estricto control proporciona otra capa de protección. Por ejemplo, incluso cuando los empleados se transfieran dentro de la organización, considere la posibilidad de proporcionarles una nueva computadora portátil que tenga una imagen creada específicamente para su nueva función y departamento. Además, desactive cualquier acceso adquirido previamente que ya no sea necesario. Esto ayuda a garantizar que los datos y el acceso sigan siendo privilegiados.

El departamento de TI también debería volver a crear una imagen de las computadoras nuevas antes de que se envíen a los desarrolladores. Al usar el stock, la imagen proporcionada por el proveedor podría crear puertas traseras si el sistema operativo y cualquier bloatware preinstalado han comprometido el código. En su lugar, cree una imagen personalizada y reforzada para esos dispositivos.

Todos los nuevos tipos de hardware y software deben almacenarse inicialmente en un espacio aislado durante un período de tiempo. Esto le da al departamento de TI tiempo para analizar su comportamiento, como hacer llamadas no solicitadas a Internet para intentar extraer datos. También crea una línea de base para ayudar a detectar cambios repentinos en el comportamiento meses o años después que podrían indicar que se han visto comprometidos.

Cree una cultura de seguridad. Esto es mucho para considerar, lo que destaca por qué SCRM debe ser un esfuerzo de toda la organización. Por ejemplo, el departamento legal debe asegurarse de que los contratos de proveedores y socios contengan lenguaje relacionado con las auditorías para garantizar que se cumplan todos los requisitos. Mientras tanto, RR.HH. puede ayudar a desarrollar y hacer cumplir las reglas para seleccionar candidatos.

La aceptación y el liderazgo de nivel C son clave para lograr este tipo de esfuerzo en equipo y garantizar que los recursos estén disponibles para implementar un programa de SCRM. Esto produce una cultura de seguridad que se extiende a toda la organización y transforma la seguridad de una ocurrencia tardía en una parte fundamental del proceso de desarrollo.

Michael Iwanoff es director de seguridad de la información en iconectiv.