Muchas organizaciones todavía mantienen un enfoque de ciberseguridad tradicional donde tiende a predominar la protección dentro del perímetro ante las amenazas externas de ciberatacantes. Uno de los motivos es que los ciberataques no han parado de aumentar en número y sofisticación, por lo que al final, los CISO y responsables de IT se ven obligados a dedicar gran parte de sus de su carga de trabajo a mitigarlos.

Sin embargo, este enfoque ha demostrado ser insuficiente, ya que las amenazas no sólo provienen de ciberatacantes externos o incluso del propio personal actuando de insiders, como ya hemos abordado anteriormente, sino que el malware puede estar presente en la propia cadena de suministro de la organización.

Vectores variados_

La cadena de suministro conforma el sistema que comprende a las entidades, personal, actividades, información y recursos que están implicados en proporcionar un producto o servicio y por ello, suele trascender a una sola organización, dado que es poco habitual que una sola abarque todos los eslabones de la cadena (desde la recolección de recursos o información hasta la venta). Es por este motivo que las amenazas de ciberseguridad en la cadena de suministro pueden adoptar múltiples formas, dependiendo del elemento que utilicen como vector de ataque. Algunos de los más habituales son:

  • Hardware de los equipos o sistemas en red que adquiere la organización y en realidad está falsificado y contiene malware.
  • Hardware legítimo al que un tercero instala malware antes de entregarlo a la organización.
  • Vulnerabilidades en aplicaciones y redes que son aparentemente fiables y son aprovechadas por los ciberatacantes.
  • Terceros que no forman parte de la organización, pero que gozan de acceso legítimo parcial o total a sus sistemas por formar parte de los procesos de negocio de la compañía, tales como proveedores de materiales y servicios o determinados partners.

Este último punto resulta uno de los más comunes. De hecho, de acuerdo con el estudio de Ponemon Research Cost of a Data Breach Report 2020, para el 51% de las organizaciones que tuvieron que recurrir a un seguro por haber sufrido un ciberincidenteestuvo implicado un tercero que generalmente se trataba de otra organización como un partner o proveedor de servicios tecnológico. Un ejemplo reciente son los ciberataques a través de proveedores hospitalarios al Sistema de Salud del Reino Unido.

Principios de ciberseguridad_

Para poder hacer frente a estas amenazas con el reto que supone al estar implicados tantos actores y eslabones de la cadena, el Instituto Nacional de Estándares y Tecnología de EEUU (NIST) estableció tres principios en los que debe basarse la ciberseguridad aplicada a la cadena de suministro:

  • La ciberseguridad nunca es solo un problema tecnológico: es un problema que implica a personas, procesos e información y por eso en muchas ocasiones existen errores humanos más que fallos tecnológicos. Es por eso que todos los miembros que forman parte de la cadena de suministro deben procurar aplicar buenas prácticas de ciberseguridad.
  • La seguridad en sentido amplio incluye al ámbito físico: no debería haber una gran separación entre la seguridad física y la digital, ya que en ocasiones, los ciberatacantes explotan fallos y vulnerabilidades físicas para llevar a cabo a sus ciberataques en el entorno digital.
  • Hay que desarrollar las defensas basándose en el principio de que todas ellas podrán ser traspasadas: si se parte desde la premisa de que los incidentes pueden llegar a ser inevitables, la organización tendrá un punto de partida para estar mejor preparada, tanto en su prevención como en su capacidad de mitigación si finalmente se produce.

La defensa en profundidad y Zero Trust_

El concepto de defensa en profundidad es el que resume el último punto de los principios desarrollados por el NIST. Pero, tal y como explicó Daniel Zapico, CISO de Globalia, la defensa en profundidad tiene una gran relación con el enfoque Zero Trust, en tanto que con la nula confianza en la ejecución de las aplicaciones también se parte de la premisa de todo componente de un sistema puede ser vulnerado.

Por estos motivos, para Cytomic, es el único enfoque válido para frenar las nuevas amenazas de ciberseguridad y supone el núcleo del servicio Zero-Trust Application, que está presente en todas las soluciones de seguridad avanzada en el endpoint de Cytomic y con ello, deniega la ejecución de toda aplicación que no haya sido anteriormente verificada y certificada por el servicio. De esta manera, ningún elemento que provenga de un eslabón, por muy confiable y seguro que parezca, quedará exento de análisis y así la cadena de suministro tendrá muchas menos posibilidades de constituir un vector de ataque.