Hace unas semanas abordamos cómo el masivo ciberataque sobre SolarWinds tuvo como objetivo la cadena de suministro, dejando en evidencia la fragilidad de los sistemas si no se blindan todos los potenciales puntos de acceso. En ese caso, se trató de una maniobra muy elaborada que aprovechó una actualización del software de una plataforma muy utilizada por las compañías para acceder a sus sistemas mediante un troyano. Este programa malicioso campó a sus anchas por las redes de los sistemas comprometidos durante meses y fue detectado cuando ya había pasado demasiado tiempo y su distribución se había extendido en exceso. ¿Por qué falló en este caso la cadena de suministro?

Una capilaridad muy extendida y una escasa conciencia del peligro_

El mejor ejemplo para comprender la gravedad de una escasa protección de la cadena de suministro lo podemos encontrar en un domicilio: el propietario ha podido instalar un moderno sistema de alarma y una puerta acorazada, unas medidas de seguridad con las que, sin duda, se siente mucho más tranquilo; sin embargo, no ha tenido en cuenta que el software del moderno sistema de alarma instalado ha sido comprometido y los amigos de lo ajeno pueden desbloquearlo sin problemas. ¿Qué ha hecho mal el dueño de la propiedad? Aparentemente, nada, y sin embargo, su seguridad se ha visto comprometida.

Esto es precisamente lo que sucede con las autoridades y las cadenas de suministro: centran su atención en blindar el grueso de los sistemas, para luego confiar ciegamente, mediante una peligrosa política de asunciones, en que la seguridad de los proveedores externos es cien por cien fiable. En este sentido, expertos en ciberseguridad de EEUU han advertido recientemente sobre la potencial debilidad de la cadena de suministro de sus agencias federales y planean tomar medidas específicas para afrontarlo.

Las cadenas de suministro, una inversiónmuy rentable_

¿Por qué es potencialmente tan devastador un ciberataque a la cadena de suministro? La gravedad de estas acciones reside fundamentalmente en que tardan mucho en ser detectadas, si es que llegan a serlo antes de activarse el malware. Como hemos apuntado anteriormente, las organizaciones se centran en blindar el corazón de sus sistemas, pero obvian u omiten la capilaridad de sus proveedores, y esta circunstancia es bien conocida por los ciberatacantes, que han encontrado en la cadena de suministro un rentable eslabón débil.

Desde el punto de vista del ciberatacante, la ‘inversión’ en una acción planificada contra la cadena de suministro es muy rentable, ya que logrando franquear la seguridad de un solo sistema acceden a múltiples organizaciones de una forma totalmente subrepticia. Una atomización de las que no son conscientes las autoridades, tal y como recuerda el experto en ciberseguridad Brandon Valeriano, “Estados Unidos no es consciente de la dispersión de las redes”.

Blindaje absoluto y extendido a la cadena de suministro: política de riesgo cero_

El inquietante panorama presentado tras el grave ciberataque empleando la plataforma de SolarWinds ha motivado que siembren las dudas sobre si la protección que están llevando a cabo algunas organizaciones es suficiente. Este incidente fue advertido y ahora son las autoridades las que se están planteando extender la protección también a sus cadenas de suministro.

Por fortuna, esto es posible mediante una política de ciberseguridad proactiva y un modelo Zero Trust, presente en las soluciones de Cytomic. Este modelo se basa en la desconfianza permanente frente a las estrategias convencionales de reaccionar a posteriori a un incidente.

Pero más allá de ello, las organizaciones como las agencias gubernamentales y grandes compañías que han sufrido estos incidentes, deben poder anticiparse a los adversarios. En este sentido, el Threat Hunting a través de Cytomic Orion permite acortar drásticamente los tiempos de detección empleando la mencionada protección proactiva.

Cytomic Orion permite correlacionar eventos rápidamente y probar hipótesis, ayudando a las organizaciones a cambiar su postura de seguridad de defensiva a ofensiva, reduciendo el tiempo de investigación y respuesta. Esta herramienta emplea cientos de algoritmos y reglas analíticas con el objetivo de identificar comportamientos sospechosos en tiempo real y anticiparse a un posible ciberataque.  Además, el enfoque Zero Trust que mantiene supone una garantía frente a los posibles ataques Living off the Land (LotL), que logran entrar en los sistemas de las organizaciones a través de programas confiables que no vayan a despertar ninguna sospecha e introduciendo en ellos códigos maliciosos.

En definitiva, los ciberataques a la cadena de suministro son evitables si se mantiene una política de confianza cero y la organización adopta una posición de ciber resiliencia, asumiendo que los atacantes están en constante movimiento en busca de eslabones débiles en la cadena.