Director del CSIRT de Gobierno realiza presentación sobre Ataques a la Cadena de Suministro en conferencia de Novared

Hoy tuvo lugar la segunda jornada del Novared Security Workshop 2021, que contó con la presencia de autoridades y expertos en ciberseguridad, incluyendo al Director Nacional del CSIRT de Gobierno, Carlos Landeros, quien realizó la presentación "Riesgos contemporáneos a la cadena de suministros".

Este tipo de ataques afectan a un proveedor, de manera de infectar a varios de sus clientes, y así multiplicar su efectividad. Más aún, con esta técnica, los cibercriminales pueden burlar las defensas de las empresas clientes, que tienen a tener menos defensas en las conexiones provenientes de proveedores conocidos.

"En el contexto de transformación digital que el Gobierno está impulsando en los órganos de la administración del Estado, esta amenaza se enfoca en comprometer proveedores que entregan sus servicios digitales de manera externalizada, como instrumento para infiltrarse desde allí en una organización objetivo", explicó Landeros.

Durante su exposición, el Director Nacional del CSIRT de Gobierno recordó además varios de los principales ataques a la cadena de suministro que han tenido lugar en Chile y el mundo en los últimos años (entre ellos, los que afectaron a Solarwinds y Kaseya), las principales técnicas empleadas para realizarlos, y algunas recomendaciones para evitar ser su víctima.

Compartimos a continuación algunas de las técnicas...

1. SECUESTRO DE ACTUALIZACIONES: Los actores maliciosos pueden secuestrar una actualización infiltrándose en la red del proveedor e insertando malware en la actualización saliente o alterar la actualización para otorgar al actor malicioso el control sobre el funcionamiento del software.
2. ATAQUE A LA FIRMA DE CÓDIGOS: Al afectar la firma de códigos, los actores maliciosos pueden secuestrar con éxito las actualizaciones de software haciéndose pasar por un proveedor de confianza e insertando código malicioso en una actualización.
3. COMPROMETER EL CÓDIGO DE FUENTE ABIERTA: Los compromisos del código de fuente abierta ocurren cuando los actores maliciosos insertan código malicioso en sitios de acceso público, bibliotecas de código, que desarrolladores desprevenidos, en busca de bloques de código gratuitos para realizar tareas y funciones específicas, las incorporan en sus propios códigos o de terceros.
4. ACCESOS ENTREGADOS A TERCEROS: los accesos que se entregan a terceros desarrolladores o proveedores de servicios son la principal fuente de riesgo, ya que se podría perder el control si no se establecen políticas de escalabilidad de los privilegios y políticas seguras de contraseñas.

... y recomendaciones:

1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LAS RELACIONES CON LOS PROVEEDORES Acordar los requisitos de seguridad de la información para mitigar los riesgos asociados al acceso de los proveedores a los activos de la organización con el proveedor y se deberían documentar debidamente. Identificar e imponer controles de seguridad de la información para abordar específicamente el acceso de los proveedores a la información de la organización en una política.
2. ABORDAR LA SEGURIDAD DENTRO DE LOS ACUERDOS CON LOS PROVEEDORES Establecer y acordar todos los requisitos de seguridad de la información pertinentes con cada proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI para la información de la organización.
3. CADENA DE SUMINISTRO DE LA TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN Los acuerdos con los proveedores deberían incluir los requisitos para abordar los riesgos de seguridad de la información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.
4. MONITOREO Y REVISIÓN DE LOS SERVICIOS DEL PROVEEDOR Deberían monitorear, revisar y auditar la presentación de servicios del proveedor de manera regular. El monitoreo y revisión de los servicios del proveedor debería garantizar que los términos y condiciones de seguridad de la información de los acuerdos se respeten y que los incidentes y los problemas de seguridad de la información se gestionen correctamente.
5. ADMINISTRACIÓN DE CAMBIOS EN LOS SERVICIOS DEL PROVEEDOR Deben administrar los cambios a la provisión de servicios de parte de los proveedores, manteniendo y mejorando las políticas de seguridad de la información, los procedimientos y controles específicos, considerando la criticidad de la información comercial, los sistemas