Defiéndase de los ataques a la cadena de suministro de software

Hemos añadido a DigiCert^® Software Trust Manager funciones de detección de amenazas y de creación de listas de materiales de software (SBOM) con la tecnología de ReversingLabs, con el objetivo de ofrecer a los clientes la capacidad de detectar amenazas y vulnerabilidades en su software antes de proceder a la firma de seguridad.

¿Otra pandemia global?

Cada vez se producen más ataques a la cadena de suministro de software. Algunos gigantes tecnológicos como MSI, Intel, Microsoft, CircleCI y 3CX han sufrido un ataque de este tipo hace poco, pasando a engrosar una lista de víctimas que incluye a empresas como SolarWinds, Asus, Codecov, Docker y A.P. Moller-Maersk. Nadie es inmune.

Un informe reciente de Gartner afirma que, de aquí a 2025, el 45 % de las empresas de todo el mundo habrán sufrido un ataque a su cadena de suministro de software. Otro informe del sector concluye que, en los últimos tres años, este tipo de ataques han crecido un 742 % (no, por increíble que parezca, no es una errata: un setecientos cuarenta y dos por ciento).

Los ataques a la cadena de suministro de software pueden perpetrarse de muchas maneras distintas. En algunos casos, el objetivo es hacerse con claves de firma de código desprotegidas para, bien venderlas en la dark web, bien utilizarlas para firmar malware.

En otros, los atacantes se aprovechan de las vulnerabilidades en el ciclo de desarrollo de software y la infraestructura de compilación de una empresa para, en secreto, insertar malware directamente en sus productos de software. También puede producirse un ataque de este tipo cuando una empresa incorpora software de terceros (por ejemplo, de código abierto) en sus productos sin saber que está infectado con malware.

Las técnicas de ataque varían; las consecuencias para la víctima, no: erosión de la confianza de los clientes, daños a su reputación, pérdidas de ingresos, filtraciones de datos confidenciales de la empresa o de los clientes, etc.

Una carrera contrarreloj para encontrar una cura

Al igual que en el caso de un virus resistente a los medicamentos que muta constantemente, encontrar una cura preventiva para esta pandemia requiere una estrategia multidimensional. Distintos gobiernos y asociaciones del sector han propuesto ya una serie de recomendaciones.

En 2021, por ejemplo, el gobierno de EE. UU. emitió la Orden Ejecutiva 14028 para la mejora de la ciberseguridad nacional, que fue la precursora de las directrices para la seguridad de la cadena de suministro de software del Instituto Nacional de Normas y Tecnología (NIST). El Departamento de Defensa de EE. UU. también respondió con la redacción del documento Securing the Software Supply Chain: Recommended Practices Guide for Developers (Protección de la cadena de suministro de software: guía de prácticas recomendadas para desarrolladores). La Oficina de Administración y Presupuesto del mismo país, por su parte, publicó el memorando M-22-18, que exige que cada agencia federal establezca protecciones de seguridad para la información que recopila o conserva, tanto si lo hace directamente como si un tercero lo hace por ella. En consecuencia, los proveedores de software que sirven al Gobierno estadounidense deben garantizar la seguridad del software y los servicios que ofrecen.

Estados Unidos no está solo en la lucha contra esta pandemia cada vez más extendida: la Unión Europea y sus países miembros, el Reino Unido y Japón, entre otros, están desarrollando directrices similares. 

Un conjunto de remedios

Hasta ahora, se han encontrado varios remedios para contrarrestar los ataques a la cadena de suministro de software. Cada uno de ellos contribuye a la detección y prevención, pero casi nunca hay ninguno que baste por sí solo. Las pruebas de seguridad de aplicaciones dinámicas (DAST), las pruebas de seguridad de aplicaciones estáticas (SAST), el análisis de composición de software, la firma de código segura y las SBOM son ejemplos de lo que incluye ese conjunto de remedios.

En algunos casos, las empresas no cuentan con una estrategia unificada para la seguridad de la cadena de suministro de software. Por ejemplo, puede que un equipo utilice mucho una determinada técnica y que otro recurra a algo completamente distinto. Esta falta de coordinación en la empresa es peligrosa por dos razones: en primer lugar, porque la organización puede quedar expuesta a los ataques y, en segundo lugar, porque los responsables de protegerla pueden tener la falsa sensación de que todo está en orden desde el punto de vista de la seguridad.

Pensemos un momento en la firma de código. Se trata de una técnica de seguridad que lleva más de 30 años a disposición de las empresas y que funcionó hasta que los atacantes se dieron cuenta de que lo único que tenían que hacer era robar las claves de firma de código privadas. Las empresas respondieron trasladando las claves de firma a sistemas de almacenamiento seguros, como los módulos de seguridad de hardware (HSM); pero los ciberdelincuentes contraatacaron recurriendo a otros métodos, como el phishing, que les permiten hacerse con las credenciales necesarias para acceder a las claves privadas. Así las cosas, ahora las empresas no solo tienen que almacenar sus claves privadas de forma segura, sino que, además, deben implementar un proceso de firma de código seguro que incluya protección de claves, acceso y control basado en funciones, definición centralizada de políticas y registros irrefutables de las actividades de firma de código.

En el ámbito sanitario, cuando hay que luchar contra un virus que muta constantemente, es necesario adoptar una estrategia basada en diferentes tratamientos que evolucionen con el tiempo. Y lo mismo tiene que hacer el sector del software para combatir los ataques a sus cadenas de suministro.

No firme a ciegas

DigiCert ofrece a sus clientes una solución de firma de código segura optimizada para uso empresarial: DigiCert^® Software Trust Manager. Con Software Trust Manager, las empresas pueden gestionar todos sus procesos de firma de código de forma centralizada, independientemente de dónde se encuentre el equipo de software, de qué plataforma o lenguaje de programación utilice o del tipo de software que desarrolle (nativo de la nube, incrustado, de aplicaciones móviles, etc.). La solución ha resuelto varias de las vulnerabilidades en los procesos de firma de código de las que se han aprovechado los atacantes en el pasado, sobre todo porque ha permitido aplicar unas políticas de firma de código más seguras en toda la empresa.

Sin embargo, cuando firmamos software, damos por supuesto que este no contiene errores, malware ni ninguna otra vulnerabilidad, que no ha sido manipulado y que el equipo de software sabe exactamente qué componentes contiene (algo que, por cierto, es un requisito normativo, y de ahí la necesidad de elaborar las SBOM).

Nuestros clientes nos han hecho saber lo importante que es para ellos la detección de amenazas en el software y por qué ven necesario que se integre en sus flujos de trabajo de seguridad. También nos dicen que tiene que ser accesible para los distintos equipos de software que trabajan en el desarrollo de muchos tipos distintos de aplicaciones de software y que no debería afectar a la productividad de ninguno de ellos (por ejemplo, ralentizando los ciclos de CI/CD).

Los equipos de seguridad también quieren trabajar con único entorno desde el que establecer políticas de seguridad aplicables a toda la empresa, como las relativas al proceso de firma de código, otras que requieran analizar los archivos binarios en profundidad para detectar posibles amenazas y vulnerabilidades, y otras que obliguen a crear SBOM completas para cumplir los nuevos requisitos normativos.

Threat Detection de DigiCert® Software Trust Manager: detección de amenazas con la tecnología de ReversingLabs

En DigiCert, nos complace anunciar hoy nuestra colaboración con ReversingLabs, un líder en seguridad de la cadena de suministro de software. Esta colaboración mejora la seguridad del software gracias a la combinación de, por un lado, el análisis avanzado de binarios y la detección de amenazas de ReversingLabs y, por el otro, la solución de firma de código segura de DigiCert de nivel empresarial. Los clientes de DigiCert se beneficiarán de una mayor integridad del software, ya que los análisis profundos demuestran que su software no contiene amenazas conocidas (como malware) ni implantes de software, que no ha sido manipulado y que no tiene ningún secreto expuesto antes de proceder a la firma de seguridad.

DigiCert ha integrado la tecnología de ReversingLabs en Threat Detection de Software Trust Manager, una nueva función que comercializa DigiCert (quien también está a cargo de la asistencia técnica) y que se integra en los flujos de trabajo de Software Trust Manager para que los equipos puedan trabajar desde un único panel de control y con una visibilidad unificada.

Threat Detection de Software Trust Manager ofrece un único flujo de trabajo que se controla de forma centralizada en toda la organización. También genera una SBOM exhaustiva que abarca tanto el software interno como el de terceros (por ejemplo, el de código abierto o el que se comercializa bajo licencia).

A medida que aumentan los ataques a la cadena de suministro de software, la detección de amenazas y la generación de SBOM es cada vez más importante, y se han convertido en el epicentro de las normativas gubernamentales y sectoriales.

Tal y como ocurrió recientemente con la pandemia de COVID-19, durante la cual se recurrió a una variedad de herramientas, tratamientos y medidas preventivas, las empresas deben apostar por diversos mecanismos de seguridad para protegerse de los ataques a la cadena de suministro. La colaboración entre DigiCert y ReversingLabs es un paso importante en esa dirección.

El próximo 13 de junio, no se pierda lo que nuestro panel de expertos tiene que contarnos acerca de las dificultades actuales y de las estrategias y soluciones necesarias para garantizar la confianza digital y la seguridad del ecosistema de software. Inscríbase aquí para participar en nuestro seminario web en directo o ver la grabación.