Estado de los ataques a la cadena de suministro de software

En los últimos dos años, probablemente haya escuchado más de lo que esperaba sobre los ataques a la cadena de suministro. Según un estudio, estos ataques han experimentado un crecimiento interanual de aproximadamente el 650 %. La encuesta reveló que Desarrollo de software ad-hoc Los entornos aún presentan bajos niveles de seguridad. Además, todas las empresas analizadas presentaban fallas y errores de configuración que las hacían vulnerables a ataques a la cadena de suministro.

¿Qué son los ataques a la cadena de suministro de software?

Cuando hackers maliciosos penetran en las dependencias de software de terceros utilizadas en numerosas aplicaciones posteriores, se produce un ataque a la cadena de suministro de software. El elemento común es el software de código abierto, con frecuencia una fuente de código de confianza automática utilizada por los desarrolladores internos de sistemas. Los atacantes podrían robar información confidencial, interrumpir los servicios o vulnerar las redes de cientos o incluso miles de empresas al infiltrarse en un solo programa o biblioteca de código abierto.

Daño infligido

Investigaciones más recientes arrojan luz sobre la tendencia de que tres de cada cinco empresas fueron víctimas de ataques a la cadena de suministro de software. En 2021, solo el 38 % de las empresas afirmaron no verse afectadas por este ataque. No todos los ataques son iguales; algunos son graves, mientras que otros quedan rápidamente en el olvido. Algunos de los ataques de software de alto perfil que arrasaron con internet fueron:

• Solarwinds (diciembre de 2020)

  Los actores de amenazas utilizaron el software Orion como arma para acceder a varias redes gubernamentales y miles de sistemas privados en todo el mundo, convirtiendo el ataque a la cadena de suministro de SolarWinds en un ataque informático global. Los departamentos de salud, tesoro y estado de EE. UU. fueron víctimas destacadas de este ataque.

• Codecov (abril de 2021)

  Los atacantes lograron insertar una puerta trasera en Codecov para acceder a datos confidenciales de clientes, lo que provocó una importante brecha de seguridad reciente. Atacantes muy hábiles aprovecharon una falla en la creación de imágenes de Docker por parte de Codecov para llevar a cabo esta intrusión. La utilizaron para alterar un script que les permitió lanzar varios ataques desde un servidor remoto utilizando las variables de entorno de la CI de los usuarios de Codecov.

• Winget de Microsoft (mayo de 2021)

  El registro de software de WinGet se llenó de solicitudes de extracción de aplicaciones duplicadas o con mal funcionamiento el fin de semana posterior al lanzamiento. Se llenó de paquetes defectuosos o duplicados que sobrescribían los ya existentes.

• Kaseya (julio de 2021)

  Las plataformas de software de monitorización y gestión remota de numerosos proveedores de seguridad gestionada contenían una vulnerabilidad de día cero que una organización de ransomware detectó y explotó. Este incidente cifró los archivos de más de 1,500 empresas.

• Vulnerabilidad de Log4j (diciembre de 2021)

  La falla permite a los atacantes obtener acceso remoto a Uso de Log4j Aplicaciones. La vulnerabilidad se encuentra en el mecanismo de comunicación, lo que permite a un atacante insertar código malicioso en los registros y ejecutarlo en el sistema.

Y muchos más en la lista.

Principales vectores de ataque

Se utilizan diversos vectores de ataque para comprometer a un proveedor de software y atacar con éxito durante el proceso de desarrollo. Los atacantes centraron sus ataques principalmente en estos puntos:

• Explotación de fallas en aplicaciones de código abierto

  La mayoría del software comercial tiene código abierto. Dos áreas son el foco de ataques a la cadena de suministro de aplicaciones vulnerables:

  • Se trata de explotar vulnerabilidades en programas previamente instalados y difundidos ampliamente. Por ejemplo, la vulnerabilidad Log4j.
  • Incluir código malicioso en paquetes privados y de código abierto conocidos para que las herramientas de canalización automatizadas lo incluyan en el proceso de compilación de aplicaciones. Por ejemplo, el envenenamiento del paquete us-parser-js.

• Herramientas de canalización comprometidas y proceso de compilación alterado

  El segundo método de ataque es la vulneración de las herramientas de canalización, lo que permite a los atacantes alterar o introducir código malicioso. El código fuente de una aplicación, que sirve como modelo, así como la infraestructura y los procedimientos de desarrollo, puede hacerse público mediante una canalización de CI/CD vulnerada.

  Al mismo tiempo, se desarrolla el programa (como en el caso de SolarWinds). Además, el pipeline está acoplado a docenas de dependencias externas que pueden utilizarse para acceder y lanzar ataques, como el ataque Codecov.

• Manipulando el Código de Integridad

  En los entornos de muchos clientes se observaron con frecuencia datos confidenciales en el código, mala calidad del mismo y vulnerabilidades de seguridad. El envío de código defectuoso a repositorios de código fuente se ha reconocido como el tercer factor de riesgo. Esto influye en la seguridad y la calidad de los artefactos.

¿Cómo puede ayudar Codesigning?

Firma de código Es un proceso para confirmar la autenticidad y originalidad de la información digital, como un fragmento de código de software. Garantiza a los usuarios la validez de esta información digital y establece la legitimidad de su autor.

La firma de código también garantiza que esta información digital no haya cambiado ni sido revocada tras su firma válida. La firma de código puede garantizar la doble autenticación, impedir ataques e incluso evitar conflictos de espacio de nombres al compartir el código fuente a lo largo del ciclo de vida del desarrollo de software (SDLC).

BUENAS PRÁCTICAS

A continuación se presentan algunas prácticas recomendadas de firma de código para garantizar la seguridad del código de su aplicación.

• Asegurando todas las claves privadas

  La pérdida, el robo o la vulneración de una clave privada de firma de código supone un grave riesgo de seguridad. Existen algunas reglas sencillas que podemos seguir para evitarlo:

  • Restringir el acceso no autorizado a las claves.
  • Implementar control de seguridad física sobre las llaves para limitar el proceso.
  • Protección de claves con elementos de hardware criptográficos.

• Automatización del proceso de firma mediante Pipelines

  Un enfoque centralizado de extremo a extremo para los procedimientos de firma de código al tiempo que se aplican las normas de seguridad es parte de la automatización. proceso de firma de códigoSin ralentizar el ciclo de vida del desarrollo de software (SDLC), este enfoque de automatización se conecta con los procesos de CI/CD y utiliza un control de acceso granular.

• Describa los roles, responsabilidades y procedimientos para la aprobación.
• La integración con entornos y herramientas existentes puede hacer que la firma de código sea rápida y sencilla para los equipos internos.
• Usando marcas de tiempo para registrar todas las actividades de diseño de código.

Conclusión

Su cadena de suministro de software es compleja, extensa e interrelacionada, lo que la hace vulnerable a ataques. Ha habido algunos ataques pequeños y devastadores en el pasado, y el futuro podría ser mucho mejor. Los atacantes han utilizado diferentes vectores de ataque para atacar a un sector específico. La aplicación de la firma de código es una técnica crucial para reforzar la seguridad.

La firma de código garantiza la ausencia de manipulaciones por parte de terceros no autorizados y que el software final publicado provenga del editor original. Al seguir las mejores prácticas de firma de código, podemos asegurarnos de que los ataques a la cadena de suministro ya no nos amenacen.

Para más información, puede contactarnos. [email protected]