Lo que nos dice el hack de SolarWinds sobre IoT y la seguridad de la cadena de suministro

Independientemente de la industria, las infracciones de seguridad cibernética parecen estar aumentando en tamaño y escala.

La extensa campaña de piratería lanzada por Rusia hace tres meses, que afectó a 18.000 clientes del fabricante de software con sede en Texas SolarWinds Corp., es un ejemplo atroz del alcance lejano de un posible ataque a la cadena de suministro.

El término "riesgo de la cadena de suministro" es un gran paraguas que cubre muchas amenazas y vulnerabilidades de seguridad. En el caso de SolarWinds, los actores de la amenaza, que se cree que trabajan en nombre de un gobierno extranjero, troyanizaron las actualizaciones de software en una herramienta popular, SolarWinds Orion. El ataque dejó posibles puntos de acceso de puerta trasera a cientos de empresas y nueve agencias federales. Y eso es solo lo que sabemos:es probable que descubramos los efectos de esta infracción en los próximos años.

Otros riesgos de la cadena de suministro pueden manifestarse como fallas de seguridad incorporadas en los dispositivos electrónicos. Los fabricantes de teléfonos inteligentes, impresoras, enrutadores, dispositivos de Internet de las cosas y sistemas de infraestructura crítica compran componentes a terceros. Estos componentes se envían con firmware integrado que puede tener fallas de seguridad existentes. Es más, parte de ese firmware no fue escrito por el fabricante, sino que proviene de un código de fuente abierto mantenido por voluntarios en el I.T. comunidad.

Esto es lo que la industria de la cadena de suministro en general necesita saber sobre los ciberataques.

Software velado

Existe un movimiento creciente de compradores que exigen listas completas del software dentro de un dispositivo, pero por ahora, es raro que los fabricantes las proporcionen. Esa lista, conocida como lista de materiales de software (SBOM) es clave para la seguridad de la cadena de suministro, pero es importante tener en cuenta que no es una panacea. Por ejemplo, un SBOM no habría atrapado la puerta trasera de SolarWinds. Lo que se necesitaba era que un miembro del equipo de seguridad analizara los archivos de software finales por sí mismos, antes de que se lanzaran a los clientes.

Un asiento trasero

Los desarrolladores de software y los fabricantes de dispositivos han optado por procesos de desarrollo rápidos. En el lado del software, este marco de desarrollo ágil impulsa numerosas y rápidas actualizaciones, a veces para agregar nuevas funciones, en ocasiones para corregir fallas de seguridad. Hay un impulso similar en el lado de los dispositivos de la ecuación, y esto es especialmente cierto para los dispositivos de IoT vendidos como productos básicos a granel.

En cualquier caso, la seguridad a menudo termina en segundo plano. Depende del liderazgo de una organización reconocer el riesgo de no priorizar la seguridad, y depende de los equipos de desarrollo ser proactivos para mitigar esos riesgos antes de que puedan ser explotados. La realidad es que los atacantes están muy por delante de la industria. Eso ha puesto a las organizaciones en una postura reactiva y ha dado lugar a numerosas regulaciones y estándares. Es más importante que nunca que las empresas, los fabricantes y los compradores adopten un enfoque proactivo.

Potencial de acceso

Las cadenas de suministro globales se han convertido en objetivos particularmente atractivos debido a sus sistemas en gran parte conectados y, a menudo, mal asegurados. Es una práctica común duplicar el software en más de un dispositivo, lo que significa que si un pirata informático encuentra una vulnerabilidad en la cámara de un timbre, también podría ser posible explotar otra marca de timbre, un televisor inteligente, un refrigerador conectado o un termostato doméstico.

Para los piratas informáticos, una vulnerabilidad que afecta a un solo dispositivo es insignificante, porque es difícil monetizar ese tipo de ataques, pero las vulnerabilidades generalizadas de la cadena de suministro pueden ser mucho más valiosas. Para los ejecutivos de la cadena de suministro, es importante pensar en todos los dispositivos de su empresa que podrían habilitar pivotes en otros sistemas.

La brecha de SolarWinds fue una llamada de atención para muchos dentro y fuera de la comunidad de ciberseguridad. Para otros, fue una confirmación de lo que ya sabíamos y de lo que hemos estado trabajando tan duro para prevenir.

La conclusión más importante de este ataque es que debemos reevaluar la confianza que depositamos en los proveedores, el software y los dispositivos. Independientemente de dónde se encuentre en la cadena de suministro, desde un usuario empresarial de software hasta un OEM y un proveedor de software, es probable que esté depositando una gran cantidad de confianza en sus proveedores y sus productos. Necesitamos repensar cómo evaluamos esas relaciones de confianza y, lo más importante, debemos comprender cómo podemos verificar la seguridad de este software, firmware y hardware durante todo el ciclo de vida.

Matt Wyckhouse es fundador y director ejecutivo de Finite State.