Es hora de proteger la cadena de suministro digital extendida

La mercantilización de la nube no ha hecho más que exacerbar este desafío. Las empresas están aumentando rápidamente la cantidad de servicios basados en la nube de los que dependen, a menudo sin comprender completamente cómo se conectan a su red más amplia.

Cómo las regulaciones aumentan la presión sobre la cadena de suministro

Para ayudar a fortalecer la resiliencia cibernética, la UE ha introducido regulaciones como DORA y NIS2 . Ambas se centran más en proteger las cadenas de suministro y buscan responsabilizar a las empresas de sus prácticas de ciberseguridad.

DORA se dirige específicamente a los proveedores de servicios de TI y adopta un enfoque muy prescriptivo que ofrece a las organizaciones financieras y a sus proveedores un camino claro hacia el cumplimiento normativo. Hace especial hincapié en la comprensión de los riesgos de terceros como parte de esfuerzos más amplios para salvaguardar la continuidad operativa.

El reglamento tiene como objetivo mejorar la resiliencia operativa en todo el sector financiero. Las empresas financieras deben identificar los sistemas y datos que plantean el riesgo más significativo para sus operaciones y trabajar en sentido inverso para rastrear las rutas de ataque, extendiendo esta práctica a sus cadenas de suministro.

El NIS2 también hace hincapié en el riesgo de la cadena de suministro para la infraestructura crítica. Sus requisitos de gestión de riesgos incluyen políticas más sólidas en torno a la seguridad de la cadena de suministro, aunque son menos específicos que el DORA. Una vez más, la resiliencia operativa es el objetivo principal aquí, garantizando que los servicios críticos puedan seguir funcionando incluso cuando están bajo ataque.

Adopción de un enfoque basado en riesgos para la seguridad de la cadena de suministro

Todas las organizaciones corren el riesgo de sufrir vulnerabilidades en la cadena de suministro y no existe una solución única para todos los riesgos de la cadena de suministro.

Independientemente de los presupuestos, todas las organizaciones deben adoptar un enfoque basado en el riesgo para proteger las cadenas de suministro. Esto significa centrar los esfuerzos en los activos, las cargas de trabajo y las redes más críticos, es decir, en todo aquello que pueda causar un daño operativo y reputacional significativo en caso de una infracción.

Una vez que se han identificado, los equipos de seguridad pueden trabajar en sentido inverso para descubrir posibles rutas de ataque y las mayores áreas de vulnerabilidad. Estas rutas de ataque pueden rastrearse fuera de la empresa hasta terceros. Esto abarca una variedad de conexiones, desde software de nóminas de contabilidad basado en la nube hasta contratistas o limpiadores con acceso al sistema. Cualquier parte de la cadena de suministro con un cierto grado de acceso a la red tiene el potencial de ser explotada en un ataque.

Luego, con visibilidad de todas las conexiones entrantes y salientes con los proveedores, el siguiente paso es controlar y restringir el acceso entre los recursos. Implementar un enfoque de confianza cero es una parte importante de este proceso. El modelo de “no confiar en nada, verificar todo” elimina la confianza implícita de la cadena de suministro, lo que garantiza que los actores de amenazas no puedan violar fácilmente sus objetivos sin una verificación adicional.

Si bien la UE no ha impuesto un enfoque de confianza cero, muchos aspectos del cumplimiento de DORA y NIS2 se alinean naturalmente con la estrategia. Al bloquear el acceso al sistema solo a los usuarios esenciales y verificados, el enfoque reduce drásticamente la amenaza de una cadena de suministro digital extendida.

La resiliencia es más alcanzable que la prevención

Si bien lo ideal es evitar que ocurra un incidente, no siempre es posible. Casos como el infame ataque a la cadena de suministro de SolarWinds, en el que el malware se propaga a través de un software legítimo que ya se ha instalado, son muy difíciles de detener. Sin embargo, las medidas proactivas de contención de infracciones, como la microsegmentación , pueden mitigar el impacto operativo de un ataque.

La resiliencia es un objetivo más alcanzable que la prevención. Al comprender dónde se encuentran las mayores amenazas, las organizaciones pueden priorizar sus defensas.

Dividir el entorno en zonas seguras, con estrictos procesos de verificación a través de la confianza cero, proporcionará una barrera eficaz contra los ataques que buscan aprovecharse de terceros de confianza para acceder a la red. Asimismo, se evitará que los ataques que ya han ingresado al sistema logren un movimiento lateral para acceder a activos críticos.

Esto impide que los actores de amenazas y el malware se muevan fácilmente a través de la red y respalda la gestión de seguridad flexible y pragmática y el enfoque basado en riesgos enfatizados por DORA y NIS2.

Fuente y redacción: helpnetsecurity.com

Cómo las regulaciones aumentan la presión sobre la cadena de suministro

Adopción de un enfoque basado en riesgos para la seguridad de la cadena de suministro

La resiliencia es más alcanzable que la prevención

Cuidado con este malware: no tiene fichero, es invisible y puede robar tus contraseñas, datos bancarios y contactos

Cómo lograr el equilibrio entre la ciberseguridad y la eficiencia operativa.

Miles de servidores C&C de malware expuestos por un «extraño espacio»