Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Detener los ataques a la cadena de suministro con segmentación de confianza cero

Illumio Editorial
,
May 19, 2021
23 min. lectura

Sección 4 de la Administración Biden Orden Ejecutiva en mejorar la ciberseguridad de la nación centrada en la cadena de suministro. No me sorprendió.

La cadena de suministro es especialmente difícil de asegurar debido a su complejidad.

Considere la fabricación de automóviles como un contraste. En esta industria, los ingenieros diseñan cada pieza: cuadros de automóviles, componentes del motor, partes y subcomponentes — específicamente para cada vehículo. Cada elemento tiene especificaciones que aseguran durabilidad y seguridad.

Por el contrario, piense en el proceso de Proof of Concept (POC) y de Adquisiciones de un comprador de seguridad. En muchas circunstancias, el cumplimiento de normas exigirá soluciones o estados finales deseados que puedan ser abordados por cualquier número de productos. Rara vez hay un conjunto definido de especificaciones a las que se basa el proveedor. ¿Cuándo fue la última vez que su proveedor de firewall hizo un producto personalizado para usted?

Claro, puede adaptar la configuración, pero no está diseñada a medida para su propósito específico y nada más. En su lugar, el proveedor crea un producto que tiene la aplicabilidad más amplia posible con el fin de capturar la pieza más grande del mercado. Además, cada proveedor está en una carrera para crear, lanzar y entregar productos rápidamente para mantenerse al día con un mercado en rápido movimiento.

Sumado a esto (y al igual que en la industria automotriz), los vendedores están bajo presión para entregar ganancias. Para ello, algo tiene que dar. En el caso de SolarWinds, la búsqueda de ganancias hizo que comprometieran la seguridad. Simplemente no podemos dejar que esto vuelva a suceder.

Los profesionales de la seguridad confían en otras soluciones para “ver” otros productos, pero desafortunadamente, esto también plantea desafíos. Nuevamente, en el caso de SolarWinds, su solución de detección de punto final tenía siempre señaló el software SolarWinds como malware, tanto que SolarWinds recomendó deshabilitar las capacidades de monitoreo de su software en un artículo de Knowledge Base.

Entonces, ¿qué debemos hacer?

Ante la Orden Ejecutiva, Jonathan Reiber de AttackIQ y yo publicé un blog en Lawfare que esbozó lo que esperábamos ver de la Orden Ejecutiva de Biden. Un elemento que no exploramos es la cadena de suministro. Me gustaría examinar algunas reflexiones aquí:

  1. Cualquier herramienta de monitoreo de punto final necesita tener un programa sólido para monitorear a terceros, pero sin crear falsos positivos. Esto será costoso para los proveedores de endpoints, ¡pero los beneficios podrían ser enormes! Desafortunadamente, el gasto de estos programas, aunado a las sensibilidades de los precios de los clientes, dificultará este logro.
  2. La Orden Ejecutiva reconoce que el desarrollo de software carece de transparencia, pero la pregunta es cómo quitar el velo para garantizar que la cadena de suministro de un proveedor no se haya visto comprometida. Para ello, recomiendo no reinventar la rueda, sino mirar a uno de nuestros pares internacionales: Francia.
  3. El Gobierno francés creó un organismo, ANSI, que identifica la infraestructura crítica (no solo la infraestructura gubernamental), establece estándares para proteger esa infraestructura y luego audita a los proveedores que suministran el software que protege esa infraestructura.
  5. El beneficio de este enfoque es que los proveedores de software no ven al regulador como un competidor, y ANNSI no “roba” software. En cambio, garantiza la seguridad de la infraestructura francesa mediante la auditoría de los proveedores.
  7. Una última nota sobre ANNSI. Como se indicó anteriormente, la ANNSI no aplica sus principios sólo a la infraestructura gubernamental, sino también a la infraestructura “crítica”. En Illumio, hemos visto la participación de esta agencia en la industria farmacéutica francesa, manufacturera, bancaria y otras infraestructuras que se consideran “críticas” para el pueblo francés.
  9. También habría ayudado en el Ataque de ransomware Colonial Pipeline (que obviamente también es infraestructura crítica).

En muchos sentidos, el capitalismo y nuestra feroz independencia estadounidense pueden no hacer posibles los dos elementos anteriores. Muchos estadounidenses no apreciarían que el gobierno dictara cómo dirigir sus negocios. Entonces, ¿qué más podemos hacer?

La respuesta es simple y muchas organizaciones del sector privado ya lo están haciendo: Cero Confianza.

La adopción de un marco Zero Trust garantiza que si se produce un ataque a la cadena de suministro, el evento se compartimenta.

El Orden Ejecutivo de la Administración Biden estuvo de acuerdo con esta tesis. La Sección 4 (i) establece que la infraestructura crítica debe tener el menor privilegio y segmentación de red - en otras palabras, deben aplicar los principios de Confianza Cero.

La aplicación de un marco de confianza cero no evita la necesidad de auditar la cadena de suministro de una organización. Pero incluso si la cadena de suministro se auditó completamente para los ataques conocidos de la cadena de suministro, Zero Trust protege contra ataques desconocidos a la cadena de suministro.

Al auditar cómo un proveedor trae software de terceros para asegurarse de que no se marca falsamente como malware, observar las prácticas de codificación de software y usar contraseñas complejas, las organizaciones pueden ayudar a proteger la cadena de suministro. Dicho esto, los malos actores de hoy (estado-nación patrocinados o patrocinados por el crimen organizado), encontrarán una manera. La pregunta es ¿cómo limitar el radio de explosión cuando sucede?

La respuesta es aplicando Zero Trust — ¡y el Orden Ejecutivo de la semana pasada demuestra que el gobierno está en camino!

¿Busca cumplir con los requisitos de la Orden Ejecutiva de la Casa Blanca más rápido? Aprenda cómo aquí o únete a nosotros para un taller donde aprenderás a diseñar una arquitectura Zero Trust para tu agencia federal.

Temas relacionados

Ataque a la cadena de suministro

Artículos relacionados

Cómo la confianza cero permite a las organizaciones abordar cada paso en la cadena de cibermuerte
Segmentación de confianza cero

Cómo la confianza cero permite a las organizaciones abordar cada paso en la cadena de cibermuerte

En esta entrada de blog nos fijamos en la Cyber Kill Chain, cómo los modelos de seguridad que asumen confianza solo ayudan a mitigar los Pasos 1 a 6 en la cadena.

Leer más
¿Cómo sacarás el máximo provecho de Black Hat USA 2015 y DEF CON 23?
Segmentación de confianza cero

¿Cómo sacarás el máximo provecho de Black Hat USA 2015 y DEF CON 23?

Black Hat y DEF CON definitivamente han crecido desde los primeros años, e incluso desde la última vez que asistí, hace siete años. Los eventos siguen siendo una reunión anual ecléctica de muchas tribus de seguridad, pero el piso de la exposición en Black Hat ahora también está lleno de puestos de vendedores.

Leer más
La Onda Forrester™ para la confianza cero
Segmentación de confianza cero

La Onda Forrester™ para la confianza cero

El informe Q418 Forrester Wave sobre Proveedores de Ecosistemas Zero Trust Extended (ZTX) informa la estrategia a largo plazo mediante la cual las organizaciones pueden lograr una mejor postura de seguridad.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información