Nueva investigación sobre la amenaza de la nube en los ataques a la cadena de suministro de software

Con la creciente amenaza de los ataques a la cadena de suministro, tal y como demuestran las campañas recientes como SolarWinds y Kaseya, los investigadores de amenazas en la nube de Unit 42 de Palo Alto Networks trataron de entender este tipo de ataques para ayudar a las empresas a protegerse de ellos.

En su último informe sobre amenazas a la nube, el equipo de la Unit 42 analizó datos procedentes de diversas fuentes públicas y también ejecutó un ejercicio en el entorno de desarrollo de software de un gran proveedor de SaaS (cliente de Palo Alto Networks) a petición suya. Sus conclusiones indican que muchas organizaciones pueden tener una falsa sensación de seguridad en la nube y que, en realidad, no están preparadas para las amenazas a las que se enfrentan.

Por ello, Palo Alto Networks detalla las principales conclusiones del informe y ofrece los recursos necesarios para ayudar a las empresas a adelantarse a las amenazas de seguridad de la cadena de suministro en la nube.

Los fallos en la cadena de suministro afectan a la infraestructura de la nube
El gran proveedor de SaaS evaluado en el ejercicio del equipo rojo tiene lo que muchos considerarían una postura de seguridad en la nube madura. Sin embargo, durante el ejercicio, los investigadores de Unit 42 fueron capaces de aprovechar los errores de configuración en el entorno de desarrollo de software de la organización, como la presencia de claves IAM codificadas, que les habrían permitido controlar todos los procesos de desarrollo y, por tanto, llevar a cabo un ataque exitoso a la cadena de suministro.

Además, los investigadores de la Unit 42 descubrieron que el 21% de los escaneos de seguridad que ejecutaron contra el entorno de desarrollo del cliente dieron como resultado configuraciones erróneas o vulnerabilidades, lo que pone de manifiesto cómo las lagunas en los procesos y los fallos de seguridad críticos dejan a una empresa expuesta y susceptible de sufrir un ataque que afecte al negocio.

El código de terceros rara vez es digno de confianza
En su investigación, la Unit 42 descubrió que el 63% de las plantillas de código de terceros utilizadas en la construcción de la infraestructura de la nube contenían configuraciones inseguras, y que el 96% de las aplicaciones de contenedores de terceros desplegadas en la infraestructura de la nube contienen vulnerabilidades conocidas. Con este nivel de riesgo, un atacante podría acceder fácilmente a datos sensibles en la nube e incluso tomar el control del entorno de desarrollo de software de una empresa.

Basándose en los hallazgos del equipo de Unit 42, es evidente que el código no validado puede convertirse rápidamente en una brecha de seguridad, especialmente porque los fallos de la infraestructura pueden afectar directamente a miles de cargas de trabajo en la nube. Por esta razón, es fundamental que las organizaciones comprendan de dónde procede su código, ya que el código de terceros puede proceder de cualquier actor, incluso incluir una amenaza persistente avanzada (APT).

Cómo proteger tu empresa de la inseguridad en la cadena de suministro de software
El último informe de la Unit 42 detalla los ataques a la cadena de suministro de software y cómo se producen, para ayudar a las empresas y sus equipos de seguridad a entender estos ataques y protegerse mejor. De esta forma, en el informe se pueden encontrar recomendaciones que empezar a implementar de inmediato, así como obtener una visión valiosa de cómo sigue evolucionando esta amenaza creciente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .