La cadena de suministro de software, en el punto de mira de los adversarios
- Actualidad
©Freepik
La falta general de preparación ha contribuido a un precipitado aumento de los ataques a la cadena de suministro de software y, por tanto, las empresas deben aumentar sus esfuerzos para que esta sea más sólida y menos vulnerable. Según IDC, los adversarios la ven un blanco fácil y, además, se han vuelto más sofisticados a la hora de no ser detectados.
Dice IDC, que ha elaborado recientemente cuatro informes sobre el tema, que todas las organizaciones que crean software son objetivos potenciales. En consecuencia, cada una de ellasdebe ser diligente para evitar ser la próxima víctima de una brecha de alto perfil.
El objetivo de la seguridad de la cadena de suministro de software es proteger los componentes y actividades que intervienen en el desarrollo y despliegue de una aplicación, como las personas, los procesos, las dependencias y las herramientas. Su protección difiere de la seguridad tradicional de las aplicaciones, y se centra en herramientas, tecnologías y procesos automatizados utilizados para identificar, corregir y proteger el software contra vulnerabilidades que podrían afectar a la aplicación en tiempo de ejecución.
La mayoría de las empresas, sin embargo, no son conscientes de su exposición y están protegidas de forma inadecuada, lo que las hace propensas a los ataques a la cadena de suministro. En una encuesta reciente de DevSecOps, IDC descubrió que menos del 30% de los encuestados identificaron una cadena de suministro de software vulnerable como una de sus principales vías de exposición de seguridad, y el 23% indicó que experimentó algún tipo de brecha de la cadena de suministro de software, un aumento del 241% desde el año anterior.
Los atacantes, por su parte, reconocen ahora que la cadena de suministro de software es un blanco fácil. Se están volviendo más sofisticados a la hora de ocultarse de la detección, son más pacientes y sutiles, y se toman su tiempo para conocer el entorno antes de atacar. Estos adversarios, como explica la firma de análisis, pueden ser naciones-estado o hackers deshonestos con intenciones criminales o maliciosas e "intentarán atacar a una empresa, ya sea directamente o como daño colateral, a través de su cadena de suministro de software".
En los últimos años se han producido numerosas brechas de la cadena de suministro de software. Algunas de las más conocidas son SolarWinds, Codecov, Kaseya, PyTorch, Applied Materials o el reciente ataque al sistema de telefonía empresarial 3CX.
Para IDC, el aumento de los ataques "debería obligar a las organizaciones a examinar sus cadenas de suministro de software de aplicaciones y hacer lo necesario para endurecerlas y evitar ser vulneradas".
