¿SabÃa que nueve de cada diez compañÃas detectaron riesgos en la cadena de suministros de software en los últimos 12 meses? El aumento en el número de dependencias en una cadena de suministros ha extendido la superficie de ataque. Esto también ha hecho que los atacantes cambien su enfoque. Su objetivo ya no es la cadena inferior, que solo afecta a los usuarios finales, sino la cadena superior. Lo anterior afecta a proveedores, clientes y usuarios finales por igual. Abordemos cómo puede hacer que su equipo de SOC detecte y evite ataques a la cadena de suministros en cada etapa del desarrollo de los productos.
Cómo detectar y evitar ataques a la cadena de suministros
Un proceso de desarrollo de productos bien planeado, que también pueda denominarse un ciclo de vida de desarrollo de software (SDLC), es el primer paso hacia la protección de su cadena de suministros. Como gerente de SOC, que sus equipos de gestión de productos y DevOps sean conscientes de las posibles amenazas que acechan la cadena de suministros es su primera lÃnea de defensa contra dichos ataques.
Demos un vistazo detallado a las distintas etapas de un SDLC y descifremos las distintas técnicas para detectar y prevenir un ataque.
Etapas del SDLC |
Descripción |
Planeación |
∙ Esta es la primera etapa de su SDLC. ∙ Es la etapa en la que se establece la infraestructura para el desarrollo. ∙ En esta etapa, las empresas se concentran mayoritariamente en la disponibilidad, adquisición y asignación de recursos. |
Diseño |
∙ Es la etapa en la que el producto empieza tomar forma. ∙ Involucra un conjunto separado de procedimientos para desarrollar un prototipo. ∙ Las dependencias del software requeridas para montar el producto se determinan en esta etapa. |
Implementación |
∙ La etapa de implementación es la etapa de ejecución. ∙ El equipo de DevOps —una combinación de desarrolladores de software y operarios de TI— desempeña un rol vital en este proceso. ∙ El software se programa en esta etapa usando un código. Puede ser patentado o libre. |
Pruebas |
∙ Esta etapa garantiza la calidad del software desarrollado. ∙ AquÃ, el código se ejecuta y se verifica en busca de virus, errores y vulnerabilidades. ∙ Esta etapa involucra la colaboración de terceros para pruebas de penetración y entorno de pruebas. |
Despliegue |
∙ Es la etapa en la que el software evaluado se verifica y avala usando certificados de firma de código. ∙ Esta etapa es crucial para la protección, ya que los atacantes podrÃan robar los certificados de firma de código para crear identidades falsas y hacer que los usuarios descarguen software malicioso. |
Mantenimiento |
∙ Esta es la etapa final del SDLC. Se enfoca en el funcionamiento eficiente del producto tras su despliegue. ∙ Esta es la etapa en la que el producto se mejora continuamente para satisfacer los requisitos de los usuarios finales. ∙ Involucra correcciones frecuentes de errores, actualizaciones del software y parches de vulnerabilidades. |
Mejores prácticas para la planeación
∙ Cree una lista de materiales para el software. Este es un registro de todos los recursos y procesos involucrados en el SDLC. Lo anterior ayuda a controlar todas las actividades durante el proceso.
∙ Implemente un modelo Zero Trust para verificar todas las dependencias y terceros involucrados en el SDLC.
∙ Use un modelado integral de amenazas para identificar las posibles amenazas y vulnerabilidades en todos los componentes de la infraestructura que puedan obstaculizar el SDLC. Implemente una solución para SIEM con funciones efectivas para la cacerÃa de amenazas. Esto ayuda a formular modelos relevantes de amenazas.
∙ Evalúe las amenazas y vulnerabilidades conocidas en el SDLC para planear respuestas ante incidentes adecuadas. Asà podrá contrarrestarlas.
Mejores prácticas para el diseño
∙ Establezca un proceso de verificación para evaluar la postura de seguridad de las organizaciones proveedoras.
∙ Evalúe el nivel de riesgo y la credibilidad de los productos de los proveedores.
∙ Realice la segmentación de la red para limitar el radio de acceso de los terceros a los recursos internos.
∙ Implemente el principio de mÃnimos privilegios para todos los terceros. De esta forma, solo podrán realizar las acciones permitidas.
∙ Asimismo, es crucial tener visibilidad de las actividades de dichos terceros con mÃnimos privilegios en su red. Esto se puede lograr con la implementación de SIEM.
Mejores prácticas para la implementación
∙ Implemente polÃticas de integridad de código sólidas para restringir ejecuciones no autorizadas de dependencias de código.
∙ Evalúe códigos abiertos en una herramienta de entorno de pruebas en lÃnea para filtrar amenazas y vulnerabilidades desconocidas.
∙ Use herramientas para la protección en el lado de los clientes mientras usa servicios desde un proveedor de servicios externo.
∙ Audite la TI invisible. Lo anterior involucra el monitoreo de recursos no autorizados que el equipo de DevOps use sin la aprobación del departamento de TI. Las prácticas de TI invisible se pueden contrarrestar al implementar una solución para SIEM con las funciones de CASB integradas.
Mejores prácticas para las pruebas
∙ Cree instalaciones internas para pruebas de penetración y asà evitar la dependencia de herramientas de terceros.
∙ Identifique y mitigue riesgos para evitar vulnerabilidades de dÃa cero y exploits.
Mejores prácticas para el despliegue
∙ Implemente kaizen, una metodologÃa de desarrollo y mejora continuos, en la lÃnea de despliegue de software.
∙ Integre a los equipos de seguridad con los de desarrollo para proteger los certificados de firma de código y los repositorios de JavaScript.
∙ Implemente soluciones de protección del lado del servidor para inspeccionar todas las solicitudes y el tráfico de los sitios web. La SIEM será una solución más eficiente para monitorear todas las solicitudes de conexión entrantes y salientes a los servidores.
Mejores prácticas para el mantenimiento
∙ Genere un inventario efectivo de activos de software para controlar todas las actualizaciones y mejoras.
∙ Implemente un flujo de trabajo seguro para aplicar regularmente parches de seguridad y actualizaciones de software.
∙ Aplique una seguridad multicapa usando la autenticación multifactor para restringir el acceso no autorizado a compilaciones de software, repositorios de códigos y bibliotecas.
SDLC de ManageEngine Log360
Log360 es una solución para SIEM de ManageEngine, la división de gestión de TI de Zoho Corporation. Log360 consta de distintos módulos que lo ayudan a proteger su red. Para garantizar la seguridad de Log360:
∙ Generamos nuestro producto en los marcos registrados de Zoho y ManageEngine con una infraestructura interna para facilitar el desarrollo del producto.
∙ No dependemos de recursos libres o plataformas de terceros. Cada módulo de Log360 se desarrolla usando código, integraciones y plugins patentados de nuestros productos.
∙ El producto se somete a varios niveles de validación antes de su despliegue. Luego se actualiza y parchea constantemente para un funcionamiento eficiente.
Estos procedimientos convierten a Log360 en un producto fácil de manejar con una calidad e integridad absolutas. Somos muy cautelosos debido a que un ataque a la cadena de suministros es capaz de destruir la confianza entre varias dependencias. Esto es indispensable en el SDLC. ¡CuÃdese contra los ataques a la cadena de suministros al implementar las mejores detalladas arriba en cada etapa de su SDLC!