Seguridad en la cadena de suministro: tres factores clave para obtener resultados inmediatos y medibles

Actualidad
securite de la supply chain

Los ciberataques a la cadena de suministro han sido portada de las noticias últimamente, pero no son nada nuevo. De hecho, los ciberdelincuentes patrocinados por naciones han estado apuntando y abusando de las vulnerabilidades en la cadena de suministro durante años.

Estas vulnerabilidades son una “entrada” fácil, lo que les da a los atacantes una puerta abierta a objetivos más lucrativos. Los proveedores de servicios administrados (MSP) y los proveedores de servicios de seguridad administrados (MSSP) son objetivos particularmente atractivos porque tienen las claves de muchas organizaciones diferentes. Solo hace falta analizar lo que sucedió cuando cientos de clientes de clínicas dentales fueron atacados con ransomware después de que el MSP que compartieran fuera comprometido.

Todos somos objetivos

“No pensé que seríamos un objetivo”, es algo que repiten las organizaciones comprometidas con demasiada frecuencia.

Sin embargo, la verdad es que todos somos objetivos. Todos somos eslabones en la cadena de suministro de alguien y eso nos hace vulnerables si no estamos protegidos.

Es fácil imaginar cómo te puedes convertir en una puerta trasera a un contratista militar si le proporcionas servicios o herramientas, pero ¿considerarías que tu peluquería es un riesgo para la cadena de suministro? Deberías. De hecho, un ataque contra una gran empresa comenzó comprometiendo una peluquería y utilizando su sistema de facturación para enviar archivos PDF maliciosos a los ejecutivos de la empresa que utilizaban sus servicios.

¿Qué hacer?

Existe una gran oportunidad para los MSP y los MSSP para mejorar las defensas de seguridad de la cadena de suministro, tanto internamente como para los clientes a los que proveen.

Esto puede parecer una tarea abrumadora, pero factible, a menudo con resultados inmediatos y medibles, centrándose en tres áreas importantes:

  1. Autenticación

Los proveedores de servicios deben dejar de compartir contraseñas. Suena a sentido común, pero es un problema habitual.

Hemos comprobado de primera mano los riesgos de los proveedores de terminales de pago que utilizan software de acceso remoto, como TeamViewer o VNC, con una única contraseña compartida para administrar miles de cuentas de clientes.

A principios de esta semana, los funcionarios encargados de hacer cumplir la ley en Florida anunciaron que un atacante usó TeamViewer para obtener acceso con éxito a un panel de control protegido con contraseña e intentó atacar una infraestructura crítica (envenenar un suministro de agua). Afortunadamente, el ataque se detuvo, pero podría haber sido mortal.

Esta falta de seguridad ya no es aceptable. En muchos casos, la suplantación de identidad de un miembro del personal de soporte es suficiente para destruir la reputación y potencialmente un negocio en un solo incidente.

Al igual que en los departamentos de TI tradicionales, las cuentas que poseen privilegios solo deben usarse cuando sea necesario y siempre deben requerir autenticación de múltiples factores. Todo el uso también debe registrarse y revisarse con frecuencia.

  1. Derechos de acceso

¿Debería permitirse a todos los técnicos acceder a todos los clientes? Quizás, pero probablemente no.

A menudo, los grupos de clientes, especialmente los clientes clave, tienen una persona o un equipo de apoyo dedicado. No es diferente de cómo segmentamos las redes para proporcionar puntos de auditoría y contener el riesgo, los privilegios requieren límites.

El registro de actividad es fundamental para reconocer el acceso inusual, como el uso fuera de horario o el acceso a una cuenta asignada a un equipo diferente, que pueden ser signos de fraude interno o un amenaza externa que se prepara para lanzar un ataque de ransomware.

  1. Monitorizar posibles compromisos

La monitorización a menudo no cuenta con los recursos necesarios en comparación con la prevención. El problema es que sabemos que la prevención no siempre se puede lograr al 100%, sin embargo, cuando se trata de detección y monitoreo de compromisos en nuestros controles preventivos, estamos siendo demasiado reactivos. Una vez que un ataque se vuelve obvio, a menudo es demasiado tarde. Para cuando un delincuente aplica el ransomware, ya ha robado datos críticos y, en la mayoría de los casos, ha tenido acceso a la red durante 30 días o más.

Durante las investigaciones realizadas por el equipo de Sophos Managed Threat Response, dos cosas se destacan como indicadores tempranos de compromiso. Uno es el uso de credenciales para fines administrativos y de acceso remoto fuera del horario laboral, el otro es el abuso de las herramientas de administración del sistema para realizar vigilancia y robar datos de la red.

El uso de cuentas legítimas y herramientas propias a menudo se conoce como Living Off the Land (LotL). Detectar esto requiere vigilancia y habilidad. Para un analista capacitado del centro de operaciones de seguridad, estas cosas destacan claramente y pueden alertar para frustrar el ataque antes de que haya hecho la mayor parte del daño. Se debe invertir en capacitar al personal para monitorear estos comportamientos o involucrarse con expertos externos para monitorearlos.

Priorizar la seguridad en la cadena de suministro

Mejorar estas tres áreas importantes reducirá significativamente el riesgo en ciberseguridad, colocando a los MSP y MSSP por delante de su competencia cuando se trata de proteger a los clientes.

Dar prioridad a las defensas de seguridad en la cadena de suministro puede ser una ventaja competitiva significativa para los proveedores de servicios a la hora de adquirir nuevos clientes, y quizás lo más importante, retener a los que ya tienen.

Estos son simplemente puntos de partida donde hemos identificado puntos comunes de problemas. La seguridad es un viaje y asegurar la cadena de suministro es solo una pieza de un rompecabezas más grande.

Leave a Reply

Your email address will not be published.