Ciberprotección de elevado nivel de madurez y ciberresiliente en las cadenas de suministro
La gestión eficiente de la ciberseguridad de las cadenas de suministro (que hace referencia al ecosistema de procesos, producción, distribución, clientes/personas, organizaciones implicadas en la creación y entrega del producto, servicio o solución final) es una parte esencial de cualquier programa de ciberseguridad. El entender las cadenas de suministro es clave para los productos y servicios ICT (Information and Communications Technology) ya que la naturaleza global y extensa de dichas cadenas de suministro las hacen muy vulnerables y son vectores de ciber-ataques cada día más sofisticados y en aumento posibilitando la inserción de productos/soluciones/servicios maliciosos/contaminados/con malware-inteligente en vida latente esperando muy escondidos su activación múltiple, etc.
Una cadena de suministro es un ecosistema o red globalmente distribuida e interconectada de clientes/fabricantes/suministradores, empresas/organizaciones, procesos, comerciantes mayoristas/minoristas, distribuidores, funciones, información, recursos, etc. implicados en la creación y entrega de productos/soluciones/servicios finales en la que fluyen servicios, productos, información y finanzas. Las cadenas de suministro implican un amplio espectro de recursos hardware/firmware/software, almacenamientos locales/en nubes (cloud-fog-edge-computing) incluso deslocalizadas, mecanismos de distribución (almacenamientos on-line, aplicaciones Web/APPs/APIs y software de gestión), etc.
Daños producidos en la sociedad debidos a ciber-ataques a las cadenas de suministro
Los daños/impactos de los ciber-ataques inciden en numerosas dimensiones:
(1) Daños a individuos: (a) Perjuicios, lesiones o matar a personas. Productos falsificados/clonados, alterados, infectados que afecten a las personas directa o indirectamente. (b) Maltrato físico o psicológico. El público no puede confiar su ciberseguridad a productos/servicios/proveedores que utilizan en sus vidas diarias (vehículos, infraestructuras críticas, prótesis-implantes médicos, juguetes infantiles conectados, etc.).
(2) Daños a activos: (a) Daños o perdidas de activos de información. Son los ciber-ataques que afectan a datos, metadatos, código, etc. debidos a malware, que realizan DoS/DDoS, secuestro, espionaje, inhabilitan infraestructuras IT/OT que soportan el ecosistema de la cadena de suministro. (b) Daño o pérdida de instalaciones físicas. Es el caso de ataques terroristas que se aprovechan de las vulnerabilidades de la cadena de suministro para dañar instalaciones físicas causando pérdidas humanas, daños al medio ambiente. (c) Perdida de la propiedad intelectual. Robando, espiando, exfiltrando información de empresas, gobiernos, organizaciones, particulares, etc. (d) Daño o pérdida de partes de componentes o suministros. Es difícil gestionar los ciber-ataques a los activos digitales cuando la cadena de suministro se transforma en una Web de suministro caótica (donde existen nubes, ecosistemas IoT, Dark-Web, etc.). (e) Daño o pérdida de activos de información. Los activos de información son ciber-atacado tratando de obtener conocimientos técnicos, protocolos, prácticas, secretos, etc.
(3) Daños a las operaciones: (a) Incapacidad o capacidad limitada para realizar funciones/misiones de negocios en el futuro. Las vulnerabilidades crecen día a día en las organizaciones lo que dificulta la recuperación frente a los ciber-ataques continuos. (b) Incapacidad para realizar las funciones/misiones de negocio. Los ciber-ataques a través de las cadenas de suministro es un lugar común donde las organizaciones son más vulnerables. (c) Daños en las relaciones. Las relaciones de confianza entre organizaciones suelen perderse al gestionar la cadena de suministro si no utilizan los mismos patrones de madurez/eficiencia/ciber-resiliencia y tecnología ZT (Zero Trust, verificar antes de confiar). (d) Daños (costos financieros, sanciones) debido a un no cumplimiento. Muchas veces las regulaciones no se implementan adecuadamente.
(4) Daños en las relaciones con otras organizaciones: La naturaleza interconectada de las cadenas de suministro causa daños a todos los integrantes si el ecosistema no se puede ciber-proteger con un nivel muy alto de madurez.
(5) Daños en las relaciones a nivel nacional/internacional y geopolítico: La pérdida de relaciones con otras naciones, la pérdida de reputación nacional, la pérdida de seguridad nacional debido a impactos en las infraestructuras críticas.
Técnicas de ciberataque contra las cadenas de suministro
Las principales categorías de ciber-ataques a las cadenas de suministro ICT (Information Communications Technology) para obtener acceso a sus activos son: (a) Ciberataques sobre software. Se basa en explotar vulnerabilidades del software para inhabilitar, destruir trastornar recursos, procesos o servicios de la cadena de suministro. Log4j es una utilidad de logging/open-source que contiene una vulnerabilidad RCE (Remote Code Execution)/CVE-2021-44228. (b) Ciberataques con software. Un ciber-atacante se infiltra en la red del fabricante de software y emplea malware para comprometer el software antes que el fabricante lo envía a sus clientes. Este software contaminado infecta los datos y sistemas de sus clientes. El objetivo se dirige al diseño, desarrollo, entrega o mejora del propio software. (c) Ciberataques con hardware. Un ciber-atacante modifica/reemplaza componentes hardware/firmware de la cadena de suministro, por ejemplo, insertando 'backdoor-hardware' en las redes del cliente (en servidores, estaciones de trabajo, periféricos/impresoras, infraestructura de red como routers, etc.) para controlar los sistemas del cliente.
Entre las técnicas de ciberataque más importantes de tipo software se pueden identificar:
(1) Firma de código no determinista. La firma de código se utiliza para validar la identidad del autor del código y la integridad de dicho código. Los ciber-atacantes socavan la firma del código auto-firmado de certificados, rompiendo sistemas de firma digital o explotando controles de acceso de cuentas mal configuradas. Socavando la firma de código los ciber-atacantes pueden secuestrar con éxito las actualizaciones de software suplantando un fabricante de confianza e insertando malware en las actualizaciones.
(2) Comprometer el código fuente abierto. El comprometer el código fuente abierto ocurre cuando los ciber-atacantes insertan malware en las librerías de código públicamente accesibles cuyos desarrolladores ingenuos buscan bloques de código libres para realizar funciones específicas luego los añaden en su código de terceras partes. Por ejemplo, el caso de las librerías Python maliciosas subidas a PyPI (Python Package Index) oficial que contenían la capacidad maliciosa para obtener persistencia de arranque y abrir un reverse Shell en las estaciones remotas de las víctimas. El código fuente abierto comprometido puede afectar a software propietario ya que sus desarrolladores a veces lo utilizan para construir su código propietario bloques de código fuente abierto.
(3) Secuestro de actualizaciones. La mayoría del software moderno necesita recibir actualizaciones/updates rutinarias para resolver vulnerabilidades-bugs detectadas. Los fabricantes de software distribuyen las actualizaciones desde servidores centralizados (propios o arrendados) a sus clientes como una parte rutinaria del mantenimiento de sus productos. Los ciber-atacantes pueden secuestrar las actualizaciones infiltrándose en la red del fabricante para insertar malware en las actualizaciones salientes o alterando las actualizaciones para conceder al ciber-atacante control sobre la funcionalidad normal del software. Así mismo los ciber-atacantes pueden realizar estrategias MITM (Man In The Middle) para reemplazar las actualizaciones buenas por otras contaminadas/infectadas o con agentes perversos en vida latente, por ejemplo, en actualizaciones OTA (Over The Air) dirigidas, por ejemplo, a vehículos conectados/autónomos. Otro ejemplo, son los ciber-ataques basados en malware NotPetya del 2017 de Rusia contra el software 'tax accounting' de Ucrania. El nivel de información de las cadenas de suministro y los recursos de clientes/suministradores se convierten en el objetivo de ciber-ataques con actividades ilícitas como sabotajes, fraudes, espionajes, falsificaciones, intrusiones no autorizadas (por ejemplo, a nivel de información en una cadena de suministro de gas se puede causar un bloqueo del sistema de pedidos y una parada de la entrega y de la consiguiente producción de energía), etc.
Consideraciones finales
Los análisis continuados de ciber-riesgos (apoyados por pentest, monitorización profunda, defensa generalizada multi-direccional, herramientas defensivas con IA como DAIM, etc.) permiten evaluar, valorar y medir el grado de ciberseguridad y nivel de madurez/ciber-resiliencia existente, así como defender y proteger a las cadenas de suministro realizando las actuaciones necesarias para su adecuado funcionamiento. La CITC (Communications and Information Technology Comision) de Arabia Saudí pretende reforzar la ciber-protección de los proveedores de servicios en el sector de las comunicaciones, las tecnologías de la información y los servicios postales para obtener una ciber-protección eficiente más madura, ciber-resiliente basada en estándares sólidos internacionales y certificada por organismos homologados competentes.
Referencias
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2022.
- Areitio, J. “Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware”. Revista Seguridad, SG-35. Septiembre, 2021.
- Areitio, J. “Ampliación de funciones del DAIM/MIAD para la defensa y protección contra todo tipo de ciber-ataques ofensivos”. Revista Seguridad, SG-38 y Revista Eurofach Electrónica, EF-487 Interempresas. Abril 2022.
- Hughes, C. “Software Transparency: Supply Chain Security in an Era of a Software–Driven Society”. John Wiley & Sons Inc. 2022.
- Batina, L., Bäck, T., Buhan, I. and Picek, S. “Security and Artificial Intelligence: A Crossdisciplinary Approach”. Springer. 2022.
- Blokdyk, G. “Supply Chain Cybersecurity A Complete Guide”. 5STARCooks. 2021.
- Khojasteh, Y., Xu, H., Zolfaghari, S. “Supply Chain Risk Mitigation: Strategies, Methods and Applications”. Springer. 2022.