Ataques de cadena de suministro

Los ataques a la cadena de suministro son un tipo emergente de amenaza destinada a desarrolladores y proveedores de software. El objetivo es tener acceso a códigos de origen, crear procesos o actualizar mecanismos infectando aplicaciones legítimas para distribuir malware.

Cómo funcionan los ataques de la cadena de suministro

Los atacantes buscan protocolos de red no seguros, infraestructuras de servidor sin protección y prácticas de codificación no seguras. Se separan, cambian los códigos de origen y ocultan malware en los procesos de compilación y actualización.

Dado que los proveedores de confianza han creado y publicado software, estas aplicaciones y actualizaciones están firmadas y certificadas. En los ataques de la cadena de suministro de software, es probable que los proveedores no sean conscientes de que sus aplicaciones o actualizaciones están infectadas con código malintencionado cuando se lanzan al público. A continuación, el código malintencionado se ejecuta con la misma confianza y permisos que la aplicación.

El número de posibles víctimas es significativo, dada la popularidad de algunas aplicaciones. Se produjo un caso en el que una aplicación de compresión de archivos gratuita se envenenó e implementó para los clientes en un país donde era la aplicación de utilidad superior.

Tipos de ataques de cadena de suministro

  • Herramientas de creación de software comprometidas o infraestructura actualizada

  • Certificados de firma de código robados o aplicaciones malintencionadas firmadas con la identidad de la empresa de desarrollo

  • Código especializado comprometido enviado a componentes de hardware o firmware

  • Malware preinstalado en dispositivos (cámaras, USB, teléfonos, etc.)

Para obtener más información sobre los ataques a la cadena de suministro, lea esta entrada de blog denominada inicio de ataque: la cadena de suministro comprometida dentro de una cadena de suministro plantea nuevos riesgos.

Cómo protegerse contra los ataques de la cadena de suministro

  • Implemente directivas de integridad de código seguras para permitir que solo se ejecuten aplicaciones autorizadas.

  • Use detección y respuesta de puntos de conexión soluciones que puedan detectar y corregir automáticamente actividades sospechosas.

Para proveedores y desarrolladores de software

  • Mantener una infraestructura de compilación y actualización altamente segura.

    • Aplicar inmediatamente revisiones de seguridad para el sistema operativo y el software.
    • Implemente controles de integridad obligatorios para garantizar que solo se ejecuten las herramientas de confianza.
    • Requerir autenticación multifactor para los administradores.
  • Cree actualizadores de software seguros como parte del ciclo de vida de desarrollo de software.

    • Requerir SSL para los canales de actualización e implementar la fijación de certificados.
    • Firma todo, incluidos los archivos de configuración, scripts, archivos XML y paquetes.
    • Compruebe si hay firmas digitales y no permita que el actualizador de software acepte comandos y entradas genéricas.
  • Desarrollar un proceso de respuesta a incidentes para ataques de cadena de suministro.

    • Divulgar incidentes de la cadena de suministro y notificar a los clientes información precisa y a tiempo

Para obtener sugerencias más generales sobre cómo proteger los sistemas y dispositivos, vea prevent malware infection.