El ángulo de ataque de terceros: por qué está aumentando y 8 consejos para reforzar las defensas

Los proveedores de software de terceros son el último vector de ataque que los cibercriminales están utilizando para atacar objetivos aún más grandes.

El cibercrimen se ha convertido en un tema de titulares habitual en las noticias, pero en los últimos años se ha producido un notable aumento de los informes de ataques y violaciones que hacen referencia a software de terceros o a la “cadena de suministro digital”. En 2023, Bank of America, Home Depot, T-Mobile, Okta y Citrix sufrieron este tipo de ataques.

La alarmante tendencia continúa con el reciente ataque de ransomware dirigido a una empresa de software como servicio (SaaS) basada en la nube. El ataque ha sido extenso, ha afectado a más de 15,000 de sus clientes y se ha producido durante la temporada alta para que se produzcan las máximas interrupciones.

El impacto ha sido costoso: la CBS informó de que la interrupción provocada por el ataque podría dar lugar a más de 100,000 ventas menos en los próximos meses de 2024. Sin duda, el ataque también supondrá un duro golpe para la reputación de la empresa dentro de su sector.

El riesgo de vectores de terceros

Entonces, ¿por qué los ataques, como el de esta empresa, se producen con mayor frecuencia? Desde la perspectiva de los piratas informáticos, es fácil ver el atractivo de llegar a los objetivos indirectamente a través de proveedores y proveedores de la nube. Los cibercriminales saben que los grandes objetivos atractivos, como los principales servicios financieros y las organizaciones de atención médica, tendrán defensas sólidas en torno a sus propios activos. Pero también saben que estas organizaciones probablemente tengan relaciones con docenas o incluso cientos de aplicaciones SaaS y otros proveedores de TI.

Comenzar por ahí, con proveedores de software de terceros, proporciona acceso a una multitud de vectores de amenaza que pueden producir resultados significativos a partir de un exploit. Una vez que los atacantes obtienen acceso a esos datos y esas redes, pueden lanzar sus propios ataques de ransomware o simplemente vender el acceso a otros.

¿Mantendrán todas estas partes defensas comparables? Tal vez sí, tal vez no. Igual de importante: ¿pueden los clientes de las aplicaciones (los objetivos previstos) monitorear y vigilar a todos sus proveedores para asegurarse de que están tomando todas las medidas de seguridad adecuadas?

La seguridad de la cadena de suministro y de los proveedores es una de las principales preocupaciones de los CISO, incluidos aquellos que participaron en la reciente mesa redonda de CISO de Pure Storage. Lo calificaron como uno de los mayores desafíos de seguridad de la información a los que se enfrentan.

A continuación, se muestra cómo los CISO de las principales organizaciones se protegen, reducen el riesgo y se mantienen fuera de los titulares.

1. Comprometerse con la realidad del nuevo panorama de amenazas: Los CISO y sus equipos tienen claramente mucho por hacer, pero hay una tarea esencial que agregar a la lista: instituir nuevas políticas y procedimientos en torno a la adquisición, auditoría y monitoreo de proveedores externos. Un enfoque ad hoc, o esperar que los proveedores lo protejan, definitivamente no es el mejor camino para seguir.

2. Controlar la proliferación de SaaS: Cada aplicación adicional es un vector de ataque potencial. Muchas organizaciones tienen múltiples integraciones con proveedores de SaaS. Una evaluación exhaustiva podría encontrar formas de eliminar algunas aplicaciones innecesarias. Tal vez ciertas aplicaciones carezcan de los beneficios para justificar los nuevos riesgos emergentes.

   Otras podrían volverse prescindibles al desarrollar aplicaciones internamente. Finalmente, el problema de los ingenieros y el personal que configuran sus propias mejoras de productividad con proveedores externos, conocido como “TI en la sombra”, se suma a la proliferación de SaaS.

3. Poner a los proveedores bajo la lupa: Desarrollar procesos para evaluar la postura de seguridad de los terceros conectados a sus redes. Los cuestionarios detallados e incluso las auditorías independientes pueden ser apropiados, pero el proceso debe ser exhaustivo.

Para ayudar, ha aparecido en el mercado una nueva clase de herramientas: las plataformas de gestión de riesgos de ciberseguridad de terceros (TPCRM) pueden ayudar a gestionar tanto la evaluación como el seguimiento continuo.

4. Cree un cumplimiento personalizado: Las auditorías pueden determinar la postura de seguridad y la evaluación de riesgos, pero a menudo esta información simplemente se ajustará al cumplimiento utilizando estándares establecidos como SOC 2 e ISO 27001. Pero estas son pautas de referencia que se aplican a todos.

Si el perfil de riesgo de tu empresa es más complejo, considera desarrollar su propio régimen de cumplimiento, con detalles derivados de los procesos comerciales reales para evaluar a los posibles proveedores y monitorear las relaciones en curso.

Es importante entender, según mi experiencia, que a nadie le importan sus “cosas” (infraestructura, aplicaciones, seguridad, etc.) como a ti. No puedes simplemente lanzar un servicio por encima del muro y esperar buenos resultados. Obtienes lo que INSPECCIONAS, no lo que ESPERAS…

5. Fomenta la colaboración: Las decisiones de adquirir soluciones de terceros a menudo involucran a numerosos departamentos, como TI, compras e InfoSec. Con tantas partes interesadas, es esencial tener procesos que permitan la participación y, al mismo tiempo, proporcionen una hoja de ruta hacia un conjunto codificado de acuerdos con un número limitado de obstáculos que superar.
6. Utiliza un modelo de privilegios mínimos para el acceso a los datos: Muchos flujos de trabajo en la nube carecen de controles de acceso, lo que otorga a los usuarios más acceso del que necesitan para realizar su trabajo.

   Esto puede ser una bendición para los piratas informáticos, que pueden usar un conjunto de credenciales para moverse lateralmente a través de los datos y aumentar su huella. Un modelo de acceso con privilegios mínimos, uno que restrinja el acceso de los usuarios desde su entorno, podría proteger contra esta situación.

7. Aboga por la regulación: Este puede parecer un consejo extraño (¿quién quiere más regulaciones?), pero en verdad, los estándares, los puntos de referencia y la aplicación de la regulación podrían ayudar a mejorar el cumplimiento y, lo que es más importante, la transparencia en torno a las relaciones con proveedores externos.

   Un modelo de regulación podría ser la Ley de Resiliencia Operativa Digital (DORA) de la UE, que fortalece y estandariza la seguridad y el cumplimiento de TI para entidades financieras como bancos, compañías de seguros y firmas de inversión.

8. Incentiva a los equipos de desarrollo a “desplazarse a la izquierda, asegurando la derecha”: En un espíritu de responsabilidad y propiedad, concéntrate en implementar pruebas de seguridad de “desplazamiento a la izquierda” antes y de manera continua en el ciclo de vida del desarrollo.

   En la seguridad de desplazamiento a la izquierda, las pruebas de seguridad se integran antes en las etapas iniciales del desarrollo, en comparación con la seguridad de desplazamiento a la derecha, que se centra en las pruebas en el entorno de producción con monitoreo. El desplazamiento a la izquierda alienta a los equipos a encontrar vulnerabilidades antes y corregir defectos.

Avanzando hacia el futuro

Los recientes ataques a CDK y otros líderes de la industria sirven como un claro recordatorio de cuán avanzados se han vuelto los cibercriminales de hoy y cuán destructivos pueden ser los ataques de ransomware. Si bien es posible que no sea posible eliminar por completo el riesgo de ransomware, implementar de manera proactiva la combinación adecuada de mejores prácticas y tecnologías modernas puede marcar la diferencia. Esto incluye contar con una plataforma de almacenamiento de datos que mejore la mitigación de riesgos, garantice la seguridad de los datos y permita una protección permanente.