NSA, CISA y la Oficina del Director de Inteligencia Nacional (ODNI) han compartido un nuevo conjunto de prácticas sugeridas que los proveedores de software (vendedores) pueden seguir para asegurar la cadena de suministro.
Esta guía se desarrolló a través del Marco de seguridad duradero (ESF) una asociación público-privada que trabaja para abordar las amenazas a los sistemas de seguridad nacional y la infraestructura crítica de EE. UU.
“La prevención a menudo se considera responsabilidad del desarrollador de software, ya que debe desarrollar y entregar código de manera segura, verificar los componentes de terceros y fortalecer el entorno de construcción. Pero el proveedor también tiene una responsabilidad fundamental para garantizar la seguridad y la integridad de nuestro software”, dice la NSA.
“Después de todo, el proveedor de software es responsable de servir de enlace entre el cliente y el desarrollador de software. Es a través de esta relación que se pueden aplicar funciones de seguridad adicionales a través de acuerdos contractuales, lanzamientos y actualizaciones de software, notificaciones y mitigaciones de vulnerabilidades”.
El ESF publicará un aviso más centrado en la parte del cliente (organizaciones adquirentes) del ciclo de vida de la cadena de suministro de software después de emitir el primer capítulo en septiembre con orientación para los desarrolladores de software.
Puede encontrar la guía completa de prácticas recomendadas para proveedores, incluida la planificación de requisitos de seguridad y el mantenimiento de la seguridad del software aquí.
Sobre esta guía
Esta guía se publicó después de varios ataques cibernéticos recientes de alto perfil, incluido el hackeo de SolarWinds que ha resaltado las debilidades de la cadena de suministro de software que los actores de amenazas respaldados por el estado pueden explotar fácilmente.
El peligro detrás de los ataques a la cadena de suministro se ha hecho evidente en los ataques del mundo real varias veces desde que los actores de amenazas rusos comprometieron a SolarWinds para infectar a los clientes intermedios, incluido el software MSP de Kaseya que se usó para cifrar miles de empresas en todo el mundo y por cómo los actores de amenazas han utilizó módulos npm comprometidos para ejecutar comandos de forma remota.
Después de que el ataque a la cadena de suministro de SolarWinds condujera al compromiso de varias agencias gubernamentales de EE. UU. el presidente Biden firmó una orden ejecutiva en mayo de 2021 para modernizar las defensas de EE. UU. contra futuros ataques cibernéticos.
La Casa Blanca lanzó una nueva estrategia federal en enero de 2022, presionando al gobierno de EE. UU. a adoptar un modelo de seguridad de “confianza cero”.
Este movimiento fue impulsado por la orden ejecutiva de Biden y por la recomendación de este enfoque tanto de la NSA como de Microsoft en febrero de 2021 para redes críticas (Sistemas de Seguridad Nacional, Departamento de Defensa, Base Industrial de Defensa) y grandes empresas.
El anuncio de la Casa Blanca fue seguido en mayo por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) que publicó una guía actualizada sobre cómo las empresas pueden defenderse contra los ataques a la cadena de suministro.
Más evidencia de que la cadena de suministro de software es un objetivo popular y constante provino de un informe de Microsoft publicado en octubre de 2021.
La compañía reveló que el grupo de piratería Nobelium respaldado por Rusia siguió apuntando al suministro global de TI después de violar SolarWinds, pirateando al menos 14 proveedores de servicios administrados (MSP) y proveedores de servicios en la nube después de atacar a 140 desde mayo de 2021.