[29/04/2021] La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) americana ha publicado esta semana unas orientaciones tras el compromiso del software SolarWinds que afectó a miles de entidades en Estados Unidos y otros países. Las orientaciones adoptan la forma de un manual para las empresas, en el que se explica la naturaleza de la cadena de suministro de software, y los distintos puntos de acceso en los que existen vulnerabilidades en la cadena de suministro. Concluye con recomendaciones concretas tanto para los proveedores como para sus clientes, con un debate sobre el Marco de Desarrollo de Software Seguro (SSDF, por sus siglas en inglés) y la Gestión de Riesgos de la Cadena de Suministro Cibernética (C-SCRM, por sus siglas en inglés).
¿Qué es un compromiso de la cadena de suministro de software?
La intención del adversario es comprometer el software de terceros instalado en el sistema de un objetivo determinado, para obtener acceso a la información o a las capacidades de la entidad objetivo. Esta vía de ataque, cuando tiene éxito, puede llevar a comprometer a muchos o a todos los que utilizan el paquete de software de un proveedor determinado. Este fue el caso del reciente compromiso de SolarWinds, cuando el SVR ruso se dirigió a la infraestructura de actualización de software y parches de una empresa, y abrió la puerta para sí mismo a una amplia franja de clientes, para incluir aquellos dentro de la infraestructura nacional y el gobierno.
Se han documentado ataques exitosos en los cinco vectores de amenaza identificados en el informe CISA:
Diseño: En el 2016, Kryptowire descubrió una puerta trasera en el firmware de los teléfonos Android de bajo costo de BLU Products. Los teléfonos enviaban la información del dispositivo a China cada 72 horas. Curiosamente, el código para afectar al envío de los datos del propietario del teléfono se implantó a través de una actualización comercial de firmware over the air (FOTA) instalada por AdUps, que también proporciona servicios similares a los dispositivos Huawei y ZTE.
Desarrollo y producción: Un ejemplo actual de este tipo puede encontrarse en el compromiso del 2020 de SolarWinds. Se compromete un proveedor de servicios de terceros y, por extensión, sus clientes. A continuación, el adversario explota a los interesados. El brazo de inteligencia extranjera de Rusia, SVR, ha sido identificado como responsable del compromiso de la cadena de suministro de SolarWinds.
Distribución: Un empresario chino emprendedor utilizó en el 2012, copias falsificadas del software de Microsoft, que había preinstalado en máquinas nuevas para ahorrar dinero. Microsoft, al investigar la situación de la falsificación, descubrió que el software falso no solo no funcionaba como el original, sino que además llevaba una carga útil de malware que suponía un grave riesgo de ciberespionaje.
Mantenimiento: Mientras el mundo se tambaleaba con SolarWinds, se producía otro ataque que comprometía la infraestructura de TI con la instalación de una puerta trasera persistente en el software SolarWinds Orion. El compromiso de finales del 2020, llamado Supernova, se ha atribuido a China.
Eliminación: La eliminación de los activos informáticos (ITAD, por sus siglas en inglés) es una tarea necesaria que a menudo se descuida. Un ejemplo tras otro se filtra a las entidades cuyos dispositivos desechados contenían datos sensibles. A principios del 2020 se compró en eBay una portátil militar reforzada por 90 euros (109 dólares) y, sin sorpresa, el portátil estaba lleno de material clasificado. A finales del 2019, una empresa especializada en ITAD realizó un estudio comprando dispositivos procedentes de varios países. El resultado: Encontraron que el 42% aún contenía datos, de los cuales el 15% era información personal identificable (PII) o datos corporativos.
Recomendaciones del CISA sobre el riesgo en la cadena de suministro
La guía recomienda que los clientes utilicen el documento NIST Cyber Supply Chain Risk Management (C-SCRM) para comprender los riesgos que conlleva el uso de un determinado software en la infraestructura. Las ocho prácticas sugeridas por el NIST son
- Integrar la C-SCRM en toda la organización.
- Establecer un programa formal de C-SCRM.
- Conocer y gestionar los componentes y proveedores críticos.
- Comprender el software de la cadena de suministro de la organización para el que se revela una vulnerabilidad.
- Colaborar estrechamente con los proveedores clave.
- Incluir a los proveedores clave en las actividades de resiliencia y mejora.
- Evaluar y supervisar toda la relación con el proveedor.
- Planificar todo el ciclo de vida.
Un vector digno de aprobación es el de la integración del software de terceros en la oferta de un proveedor. La transparencia exige que los proveedores revelen su existencia. Chris Blask, director global de innovación aplicada de Unisys, señala: "CISA ha dado un paso importante al incluir el término "lista de materiales de software" (SBOM, por sus siglas en inglés) en la guía de seguridad de la cadena de suministro cibernética de hoy".
Blask explica que las SBOM son una de las varias certificaciones de la cadena de suministro que se harán más comunes. Cita la infraestructura de compartición de la lista de materiales digital de código abierto (DBOM, por sus siglas en inglés) a la que se hace referencia en las directrices de la CISA. Está pensada como un marco común para que los socios de la cadena de suministro controlen y utilicen estas atestaciones en estructuras programáticas de C-SCRM. "Estamos en el comienzo de una era persistente en la que los vendedores, los integradores y las empresas utilizarán, producirán y exigirán los SBOM", afirmó.
Entre las recomendaciones formuladas a los proveedores de software figura la de crear un ciclo de vida de desarrollo de software (SDLC, por sus siglas en inglés) como norma y no como excepción. Esto incluiría el uso, lo mejor posible, del marco de desarrollo de software seguro (SSDF) del NIST. Los cuatro pasos recomendados para que los proveedores de software incluyan en el desarrollo de código seguro son
- Definir los requisitos de seguridad del desarrollo de software.
- Establecer las funciones y responsabilidades del SSDF dentro del SDLC.
- Automatizar las cadenas de herramientas de desarrollo y seguridad.
- Establecer criterios y procesos de seguridad del software para recoger los datos necesarios para las comprobaciones de seguridad.
El informe de orientación de CISA contiene una plétora de recursos que merecen ser revisados por el personal, aunque la revisión no será suficiente. Las claves de un entorno seguro están en manos de los CIO, CISO y DPO, que están en posición de exigir y garantizar que sus equipos aprendan de las lecciones de otros, y comprendan el "por qué" de la implementación tanto de la RSS como de la C-SCRM en los productos creados y utilizados.
Basado en el artículo de Christopher Burgess (CSO) y editado por CIO Perú