Los ataques a la cadena de suministro no son un problema nuevo, pero su frecuencia ha ido en aumento desde 2013, cuando se violó Target. Pero los recientes ataques a SolarWinds Orion, Kaseya VSA, Accellion, Microsoft han puesto de relieve el hecho de que los ciberdelincuentes han cambiado su enfoque de los objetivos principales a sus proveedores. ¿Por qué? Porque los ciberdelincuentes son conscientes de la dependencia excesiva de los componentes de software comercial y de código abierto y su mantenimiento en el sector público y privado.
Pero lo que la mayoría no se da cuenta es que esta dependencia de terceros no se da solo en forma de soluciones de administración de infraestructura de TI, sino también en componentes de terceros que se utilizan en millones de aplicaciones móviles. 50-90% del código de ejecución del lado del cliente en sitios web y aplicaciones móviles es de terceros. Determinar si cada actualización de terceros es necesaria y segura se vuelve costoso y difícil muy rápidamente. Y, lamentablemente, el mercado no exige este nivel de escrutinio, lo que permite a las organizaciones cambiar esta diligencia debida por un desarrollo de funciones más rápido.
La investigación muestra que solo en el primer trimestre de 2021, los ataques a la cadena de suministro aumentaron en 42%, impactando a 7 millones de personas. Durante este tiempo, 137 organizaciones informaron que sus cadenas de suministro fueron atacadas y en 27 proveedores externos diferentes. El mapeo de la Agencia de Ciberseguridad de la Unión Europea sobre los ataques emergentes a la cadena de suministro encuentra 66% de los ataques se centran en el código del proveedor. Hoy en día, las organizaciones de todo el mundo se han dado cuenta de que ya no es suficiente proteger su empresa. Necesitan pensar en su cadena de suministro y sus riesgos asociados.
Este cambio a los ataques a la cadena de suministro tiene sentido por dos razones clave. En primer lugar, los desarrolladores de software crean productos mediante el ensamblaje de componentes de software comerciales y de código abierto existentes para acelerar la velocidad de comercialización. Pero en la mayoría de los casos, desconocen el protocolo de seguridad del tercero. En segundo lugar, los desarrolladores no actualizan estos componentes el 80 % del tiempo, ya que no pueden mantenerse al día con las actualizaciones y no quieren arreglar algo que no está roto. Desafortunadamente, los ciberdelincuentes y los grupos de piratas informáticos son conscientes de este comportamiento y apuntan al mismo código de terceros para robar datos confidenciales, redirigir a sitios con malware, dispositivos de adquisición y mucho más.
Los ataques a la cadena de suministro de software son efectivos ya que se enfocan en encontrar el componente de terceros más débil y luego explotarlo. Los ataques más recientes afectaron a Fortune 500, las Fuerzas Armadas de EE. UU., el Pentágono, el Departamento de Estado y muchos más, lo que llevó a la Casa Blanca a emitir una orden ejecutiva para proteger mejor la infraestructura digital de la nación en los sectores público y privado. Al establecer nuevos estándares federales de Software Bill of Materials (SBOM), la orden tiene como objetivo brindar más transparencia a los ingredientes de los componentes de software comercial y de código abierto.
El SBOM será útil para aquellos que desarrollan o fabrican software, seleccionan o compran software y operan el software. Los compradores pueden usar un SBOM para realizar un análisis de vulnerabilidad para evaluar el riesgo en un producto y los componentes de terceros asociados. Los SBOM ayudarán rápida y fácilmente a las organizaciones a determinar si están en riesgo cuando se descubren nuevas vulnerabilidades.
Todos los desarrolladores de software deberán cumplir con la Orden Ejecutiva para que las agencias continúen usando su software y vendiéndolo a agencias gubernamentales. Las agencias gubernamentales que construyen su software o subcontratan el desarrollo a integradores de sistemas también tendrán que cumplir.
Zimperium, una empresa líder en seguridad móvil, está ayudando a las organizaciones a crear aplicaciones móviles seguras y compatibles. Es la única solución unificada que combina una protección completa en la aplicación con una visibilidad de riesgos centralizada.
Con la plataforma, las organizaciones pueden obtener visibilidad de cualquier vulnerabilidad dentro de sus aplicaciones móviles. El análisis binario de la aplicación inspecciona los componentes nativos y de terceros para encontrar vulnerabilidades de seguridad, brechas de privacidad y violaciones de cumplimiento. Esta visibilidad ayuda a las organizaciones a comprender mejor los riesgos en sus aplicaciones móviles y los componentes subyacentes de terceros y cumplir con los nuevos estándares federales SBOM.
Contáctenos para obtener más información sobre cómo Zimperium puede ayudarlo a automatizar e integrar SBOM en sus programas de administración de vulnerabilidades.
Relacionado:
4 riesgos comunes de seguridad de aplicaciones móviles que no debe ignorar
5 cosas nuevas que debe saber sobre la seguridad de aplicaciones móviles de OWASP
4 cosas que puede hacer con un SBOM móvil
