Seguridad en cadena de suministro
Centro Nacional de Ciberseguridad
El desarrollo nativo de la nube se basa en las cadenas de suministro de software para aumentar la productividad de los desarrolladores y reducir el tiempo medio de comercialización de las nuevas funciones. Pero las cadenas de suministro de software introducen riesgos y complejidad únicos porque incorporan software y herramientas de terceros en los flujos de trabajo de los desarrolladores. Los equipos de seguridad deben establecer proactivamente barandillas para proteger las cadenas de suministro de software contra las amenazas y garantizar que esas barandillas no comprometan la agilidad de los desarrolladores.
Los componentes de código abierto de terceros, como las plantillas de infraestructura como código (IaC), los paquetes y las imágenes de contenedores, ayudan a mejorar drásticamente la productividad de los desarrolladores, pero son propensos a las vulnerabilidades y son inseguros por defecto.
Sin una visibilidad continua y proactiva de las vulnerabilidades y los errores de configuración, es probable que los desarrolladores utilicen componentes inseguros en sus aplicaciones, lo que conduce tanto a alertas ruidosas como a debilidades en tiempo de ejecución que los atacantes pueden aprovechar en un ataque a la cadena de suministro de software.
Los repositorios VCS y las canalizaciones CI/CD permiten a los equipos nativos de la nube maximizar su velocidad de lanzamiento. Sin embargo, las configuraciones de VCS y los flujos de trabajo de CI/CD son permisivos por defecto y carecen de protecciones contra empujes imprudentes, inyección de código o ataques de envenenamiento. Las configuraciones débiles pueden permitir a los atacantes acceder a código propietario y a sistemas de misión crítica. Con acceso privilegiado, los atacantes pueden filtrar datos, inyectar código malicioso o pivotar utilizando otros componentes de software débiles.
Ataque de virus a la cadena de suministro
La parte de la gestión de riesgos de la cadena de suministro que se ocupa de los proveedores externos, los vendedores, la logística y el transporte también se conoce como seguridad de la cadena de suministro. Su importante misión es identificar, analizar y gestionar adecuadamente los riesgos asociados al tratar con otros en una cadena de suministro. Al mismo tiempo, tanto la seguridad física como la ciberseguridad forman parte de la seguridad de la cadena de suministro.
No existe un conjunto único de principios de seguridad de la cadena de suministro establecidos o de mejores prácticas porque las cadenas de suministro varían mucho de un grupo a otro, y pueden participar muchas empresas diversas. Los principios de gestión de riesgos y la ciberseguridad en profundidad son necesarios para una estrategia holística de seguridad de la cadena de suministro. También hay que tener en cuenta los protocolos gubernamentales para las cadenas de suministro extranjeras, como los definidos por el Departamento de Seguridad Nacional o las normas aduaneras.
La seguridad de la cadena de suministro solía referirse en gran medida a la seguridad e integridad físicas. El robo, el sabotaje y el terrorismo son ejemplos de amenazas físicas que pueden provenir tanto de fuentes internas como externas.
Cadena de suministro TIC
Para entender la seguridad de la cadena de suministro de software, es necesario definir primero la propia cadena de suministro de software. La cadena de suministro de software es todo lo que toca una aplicación o juega un papel, de cualquier manera, en su desarrollo a lo largo de todo el ciclo de vida de desarrollo de software (SDLC).
La seguridad de la cadena de suministro de software es el acto de asegurar los componentes, las actividades y las prácticas involucradas en la creación y el despliegue del software. Esto incluye el código de terceros y el propietario, los métodos de despliegue y la infraestructura, las interfaces y los protocolos, y las prácticas de los desarrolladores y las herramientas de desarrollo. Las organizaciones son responsables de llevar a cabo estas actividades de seguridad y de proporcionar pruebas de sus esfuerzos de seguridad a los consumidores.
En respuesta a las organizaciones de desarrollo de software que toman más medidas para asegurar sus aplicaciones, los atacantes han tenido que ser más creativos en sus propios métodos. El fuerte y continuo aumento de la reutilización de código y los enfoques nativos de la nube les han proporcionado ángulos adicionales para montar ataques a varios grados de distancia de sus objetivos previstos. Explotar un solo punto débil abre la puerta a que un actor de la amenaza atraviese la cadena de suministro, donde puede robar datos sensibles, plantar malware y tomar el control de los sistemas, algo de lo que hemos visto muchos ejemplos en los últimos tiempos.
Riesgos para la seguridad de la cadena de suministro
Este artículo necesita citas adicionales para su verificación. Por favor, ayude a mejorar este artículo añadiendo citas de fuentes fiables. El material sin fuente puede ser cuestionado y eliminado.Buscar fuentes: "Supply chain security" - noticias - periódicos - libros - scholar - JSTOR (febrero de 2014) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)
Las actividades de seguridad de la cadena de suministro (también "seguridad de la cadena de suministro") tienen como objetivo mejorar la seguridad de la cadena de suministro o cadena de valor, los sistemas de transporte y logística de la carga mundial y "facilitar el comercio legítimo"[1] Su objetivo es combinar las prácticas tradicionales de gestión de la cadena de suministro con los requisitos de seguridad impulsados por amenazas como el terrorismo, la piratería y el robo.
Según la Oficina del Director de Inteligencia Nacional de Estados Unidos, "los adversarios explotan las vulnerabilidades de la cadena de suministro para robar la propiedad intelectual de Estados Unidos, corromper nuestro software, vigilar nuestras infraestructuras críticas y llevar a cabo otras actividades maliciosas. Se infiltran en proveedores y vendedores de confianza para atacar los equipos, sistemas e información que utilizan a diario el gobierno, las empresas y los particulares"[2].