¿Cuál es el eslabón más débil en la arquitectura de seguridad de un fabricante? Una de las respuestas más comunes es "la que no puedes controlar", siendo el acceso de terceros el ejemplo más destacado. Los ataques a la cadena de suministro son uno de los desafíos más difíciles con los que luchan los equipos de seguridad, particularmente para las empresas de fabricación que dependen en gran medida de un ecosistema de contratistas externos. Su acceso es crucial para las operaciones comerciales, pero está casi completamente fuera del control de la seguridad de identidad .
En este blog analizaremos este desafío en detalle y arrojaremos luz sobre el único lugar donde se puede imponer la seguridad: autenticación y acceso. Luego descubriremos cómo SilverfortLa plataforma Unified Identity Security puede aprovechar varios controles, como ITDR, MFA y firewall de autenticación, para mitigar el riesgo de la cadena de suministro y garantizar que el acceso de terceros nunca comprometa la postura de seguridad de la organización.
Cadena de suministro 101: cómo proteger lo que no posee
La lógica detrás de los ataques a la cadena de suministro es simple. A veces, el objetivo real es demasiado fuerte. En lugar de perder tiempo y esfuerzo atacando directamente, los adversarios se centran en un tercero en el que confía la organización objetivo. Por lo general, este tercero es menos resistente a los ataques que el objetivo principal; de lo contrario, no hay ningún beneficio en perseguirlo en primer lugar.
Entonces, aquí está el problema en su forma más resumida: por definición, siempre habrá un tercero que sea más fácil de comprometer que su propia empresa. Tarde o temprano, los atacantes descubrirán esta ruta potencial hacia su entorno. Sin embargo, tiene las manos atadas: no tiene voz y voto respecto de la postura de seguridad de este tercero y no puede hacer cumplir sus prácticas y controles de seguridad internos en un entorno que no es el suyo.
Los ataques a la cadena de suministro son el mejor punto ideal para las amenazas a la identidad
Existen varias formas de ataques a la cadena de suministro, pero nos centraremos en las que implican el robo de identidad de un contratista o proveedor externo de confianza. Como se explicó anteriormente, es más fácil para el adversario comprometer las credenciales de un tercero que atacar su entorno directamente. Y este compromiso produce un tremendo retorno, ya que proporciona al adversario acceso completo sin necesidad de involucrar ningún código malicioso, correos electrónicos armados o phishing.
Cuidado con los fabricantes: están muy expuestos a ataques a la cadena de suministro
Las empresas manufactureras son el objetivo natural de los ataques a la cadena de suministro. La naturaleza de su negocio implica una extensa cadena de suministro, desde la entrada de materias primas hasta la salida de productos producidos, con numerosos proveedores de software que brindan soporte continuo a las operaciones comerciales, logísticas, financieras y de planta.
Esto complica aún más el problema porque cuantas más entidades de terceros haya, mayores serán las posibilidades de que un atacante encuentre una que sea fácilmente comprometida. Literalmente podría ser cualquiera: un pequeño proveedor de materia prima, un proveedor de software de almacenamiento o un minorista que compre el producto fabricado.
¿Cómo sería un ataque típico a la identidad de la cadena de suministro?
Echemos un vistazo más de cerca al flujo de ataques a la cadena de suministro.
Parte #1: Identificar y comprometer a un miembro vulnerable de la cadena de suministro
Los adversarios pueden realizar fácilmente el reconocimiento necesario para obtener una imagen clara del ecosistema de la cadena de suministro de su objetivo. Una vez realizado el mapeo, se seleccionan varios objetivos potenciales en función de su resistencia estimada al compromiso y sus posibles privilegios de acceso. Para obtener acceso inicial a estos miembros de la cadena de suministro generalmente se emplea el flujo estándar de ingeniería social/correo electrónico armado/ejecución remota de código, lo que permite a los atacantes obtener fácilmente un nombre de usuario y una contraseña para acceder remotamente al fabricante objetivo.
Parte #2: Aprovechar la identidad de terceros comprometida para acceso malicioso
Una vez obtenidas las credenciales, los atacantes pueden conectarse al entorno del fabricante como lo haría el miembro legítimo de la cadena de suministro. Es importante tener en cuenta que este acceso malicioso no implica ningún malware ni la instalación de una puerta trasera. Simplemente abusa de una ruta de acceso legítima, lo que hace que sea extremadamente difícil para los controles de seguridad establecidos detectar que algo anda mal.
Parte #3: Ejecutar el objetivo del ataque
Una vez realizado el acceso, el adversario ejecuta su objetivo inicial: ransomware, robo de datos, etc. En la mayoría de los casos, realizaría acciones adicionales. movimiento lateral dentro del entorno del fabricante.
Protección 101: coloque sus defensas en el primer punto que pueda controlar
La principal razón del riesgo en la cadena de suministro es que usted no tiene control sobre el nivel de resiliencia de los entornos de sus contratistas externos. La suposición pragmática –y realista– debería ser que esto no se puede cambiar. Naturalmente, debe establecer sus medidas de protección en la primera línea de defensa que sí controla: la etapa de autenticación. Este es el primer lugar donde el tercero (o el atacante que lo ha comprometido) interactúa con su entorno e idealmente, aquí es donde necesitaría controles de seguridad que puedan detectar y bloquear el acceso malicioso con credenciales comprometidas.
Silverfort Plataforma unificada de seguridad de identidad: defensa en profundidad contra ataques a la cadena de suministro
Silverfort proporciona la primera plataforma Unified Identity Security diseñada específicamente para detectar y prevenir el acceso malicioso con credenciales comprometidas por parte de cualquier usuario a cualquier recurso, tanto local como en la nube. SilverfortLa plataforma se integra con el infraestructura de identidad ya implementado, que ofrece visibilidad en tiempo real, análisis de riesgos y aplicación activa de cada intento de autenticación y acceso. Esta tecnología impulsa varios módulos de seguridad de identidad que operan juntos para mitigar completamente los riesgos de acceso malicioso a la cadena de suministro:
Autenticación multifactor: aplique MFA en cualquier acceso de terceros sin agentes ni servidores proxy
Con Silverfort, puedes aplicar fácilmente MFA protección en todo el ecosistema de su cadena de suministro, lo que reduce significativamente la probabilidad de acceso malicioso con credenciales comprometidas. Esta protección se aplica al acceso inicial al entorno del fabricante, así como al acceso a cualquier recurso posterior dentro del mismo.
Firewall de autenticación: reduzca la superficie de ataque de la cadena de suministro con políticas de acceso con privilegios mínimos
SilverfortEl cortafuegos de autenticación permite a los equipos de seguridad de identidad segmentar fácilmente sus entornos en función de las identidades de los usuarios. Al hacerlo, los contratistas externos pueden acceder a los recursos que necesitan, sin poder acceder a ningún otro recurso. Esta capa de seguridad adicional reduce significativamente el radio potencial de explosión de un acceso malicioso exitoso. Además, si se descubre una infracción, los equipos de identidad pueden solicitaru un procedimiento de ruptura de cristales al bloquear todo acceso a los recursos con un solo clic.
Detección y respuesta a amenazas de identidad (ITDR): defensa en profundidad contra escenarios de acceso malicioso
SilverfortEl motor de riesgos de analiza continuamente cada intento de autenticación y acceso para detectar cualquier indicación de acceso a credenciales. escalada de privilegios o movimiento lateral. El motor de riesgos puede identificar una multitud de técnicas maliciosas, como Pass-the-Hash, kerberasting y otros, así como anomalías de acceso que indiquen un compromiso. Esto actúa como una capa de defensa adicional, por lo que incluso si un atacante lograra acceder al entorno objetivo, Silverfort ITDR revelará su presencia.
Silverfort ITDR va mucho más allá de la simple detección y alerta, y puede activar tanto MFA como el firewall de autenticación para bloquear proactivamente cualquier acceso malicioso.
¿Es usted un fabricante? Ganar ventaja contra los ataques a la cadena de suministro está a su alcance
La seguridad de la identidad es ahora más urgente que nunca. Las credenciales comprometidas son el principal vector de ataque en la actualidad y desempeñan un papel fundamental en cualquier ataque a la cadena de suministro. Recupere el control de su entorno implementando hoy mismo las capas de seguridad de identidad necesarias.
¿Quieres saber más? Comuníquese con uno de nuestros expertos para programar una llamada.
