¿Qué ocurre en la nube?

El código abierto es el talón de Aquiles informático de la cadena de suministro de software

Desde el ataque a la cadena de suministro de software de SolarWinds hasta la vulnerabilidad revelada de Apache Log4j, los actores de amenazas se dirigen cada vez más a las vulnerabilidades críticas tanto en los proveedores de la nube como en la cadena de suministro. Sin embargo, las empresas dependen cada vez más de las plataformas de computación en nube: el 35% de todas las empresas ejecutan más del 50% de sus cargas de trabajo en Microsoft Azure, AWS y Google Cloud. El problema: muchas de ellas luchan por asegurar sus infraestructuras en múltiples plataformas en la nube. Al mismo tiempo, tienen que hacer frente a la escasez de competencias y, por si fuera poco, el número de incidentes de seguridad en la nube ha aumentado un diez por ciento en comparación con el año pasado. Esto se debe a que los ciberdelincuentes también han trasladado sus ataques a la cadena de suministro a la nube.

NotPetya

En la actualidad, el mayor riesgo para la cadena de suministro de las empresas procede del software de código abierto. La comunidad del código abierto proporciona muchos módulos y paquetes que se utilizan en todo el mundo, incluidas las empresas de la cadena de suministro. Sin embargo, el problema del software de código abierto es que es intrínsecamente inseguro. Esto se debe a que está escrito por individuos, algunos de los cuales carecen de la experiencia o el presupuesto para asegurarlo.

Esto crea una brecha en la arquitectura de seguridad, porque los paquetes de código abierto importados pueden tener dependencias que el departamento de TI simplemente desconoce. Esto es exactamente lo que ocurrió con NotPetya: NotPetya es una evolución de una cadena de malware que logró infiltrarse en sistemas de todo el mundo basándose en software de contabilidad de código abierto ampliamente disponible. Como resultado, se extendió como la pólvora, causando el caos en Ucrania, así como en varios países importantes, como el Reino Unido, Francia, Alemania, Rusia y los Estados Unidos. La ubicuidad del software y el código de fuente abierta significa que puede ser difícil para las empresas averiguar si ellas o sus proveedores son vulnerables a los ataques. Esto convierte a las cadenas de suministro en un objetivo atractivo para los ciberdelincuentes, porque saben que penetrando en un sistema pueden acceder rápidamente a muchos más.

DevSecOps

Todas las plataformas en la nube tienen vulnerabilidades, independientemente del proveedor elegido. Los responsables de TI pueden investigar y recurrir a los mejores expertos del sector, pero no pueden controlar toda la seguridad de la plataforma del proveedor elegido. No obstante, las empresas pueden tener en cuenta los siguientes aspectos para protegerse: Las empresas tienden a construir las medidas de seguridad como un único punto de control de protección, y los atacantes intentarán saltárselo. Una implementación de seguridad que asuma que la primera capa puede fallar y penetre en múltiples capas tiene más posibilidades de sobrevivir a un ciberataque sofisticado. Para mantener firmemente cerradas las puertas virtuales de su red, las empresas deben automatizar DevSecOps. Esto garantiza que las medidas de seguridad puedan llevarse a cabo en tiempo real y en línea con otros objetivos empresariales.