Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Detener los ataques a la cadena de suministro con la segmentación de confianza cero

Illumio Editorial
Illumio Editorial
19de mayo de 2021
23 min. leer

La Sección 4 de la Orden Ejecutiva de la Administración Biden sobre la mejora de la ciberseguridad de la nación se centró en la cadena de suministro. No me sorprendió.

La cadena de suministro es especialmente difícil de cerciorar debido a su complejidad.

Considere la fabricación de automóvil como un contraste. En esta industria, los ingenieros diseñan cada pieza: bastidores de automóvil, componentes del motor, piezas y subcomponentes, específicamente para cada vehículo. Cada elemento tiene especificaciones que garantizan durabilidad y seguridad.

Por el contrario, piense en la prueba de concepto (POC) y el proceso de adquisición de un comprador de valores. En muchas circunstancias, el cumplimiento exigirá soluciones o estados finales deseados que pueden abordar con cualquier número de productos. Rara vez hay un conjunto definido de especificaciones que el proveedor construye. ¿Cuándo fue la última vez que su proveedor de firewall hizo un producto personalizado para usted?

Claro, puede adaptar la configuración, pero no está hecha a medida para su propósito específico y nada más. En cambio, el proveedor crea un producto que tiene la aplicabilidad más amplia posible para capturar la mayor parte del mercado. Además, todos los proveedores están en una carrera para construir, lanzar y entregar productos rápidamente para mantener al día con un mercado en rápido movimiento.

Sumado a esto (y al igual que en la industria automotriz), los proveedores están bajo presión para generar ganancias. Para hacerlo, algo tiene que ceder. En el caso de SolarWinds, la búsqueda de ganancias hizo que comprometieran la seguridad. Simplemente no podemos permitir que esto vuelva a suceder.

Los profesionales de la seguridad confían en otras soluciones para "vigilar" otros productos, pero desafortunadamente, también existen desafíos con esto. Una vez más, en el caso de SolarWinds, su solución de detección de endpoints siempre marcó el software de SolarWinds como malware, tanto que SolarWinds recomendó deshabilitar las capacidades de monitoreo de su software en un artículo de la base de conocimientos.

Entonces, ¿qué debemos hacer?

Antes de la Orden Ejecutiva, Jonathan Reiber de AttackIQ y yo publicamos un blog en Lawfare que describía lo que esperábamos ver de la Orden Ejecutiva de Biden. Un elemento que no exploramos es la cadena de suministro. Me gustaría examinar algunos pensamientos aquí:

  1. Cualquier herramienta de monitoreo de endpoints debe tener un programa robusto para monitorear a terceros, pero sin crear falsos positivos. Esto será costoso para los proveedores de endpoints, ¡pero los beneficios podrían ser enormes! Desafortunadamente, el costo de estos programas, junto con la sensibilidad a los precios de los clientes, hará que esto sea difícil de lograr.
  2. La Orden Ejecutiva reconoce que el desarrollo de software carece de transparencia, pero la pregunta es cómo quitar el velo para garantizar que la cadena de suministro de un proveedor no se vio comprometida. Para ello, recomiendo no reinventar la rueda, sino mirar a uno de nuestros pares internacionales: Francia.
  3. El gobierno francés desarrolló una agencia, ANNSI, que identifica la infraestructura crítica (no solo la infraestructura gubernamental), establece estándares para proteger esa infraestructura y luego audita a los proveedores que suministran el software que protege esa infraestructura.
  5. El beneficio de este enfoque es que los proveedores de software no ven al regulador como un competidor, y ANNSI no "roba" software. En cambio, garantiza la seguridad de la infraestructura francesa mediante la auditoría de los proveedores.
  7. Una última nota sobre ANNSI. Como se indicó anteriormente, ANNSI no aplica sus principios solo a la infraestructura gubernamental, sino también a la infraestructura "crítica". En Illumio, vimos la participación de esta agencia en la industria farmacéutica, la fabricación, la banca y otras infraestructuras francesas que se consideran "críticas" para los franceses.
  9. También ayudó en el ataque de ransomware Colonial Pipeline (que obviamente también es infraestructura crítica).

En muchos sentidos, el capitalismo y nuestra feroz independencia estadounidense pueden no hacer posibles los dos elementos anteriores. A muchos estadounidenses no les gustaría que el gobierno dictara cómo gestionar sus negocios. Entonces, ¿qué más podemos hacer?

La respuesta es simple y muchas organizaciones del sector privado ya lo están haciendo: Zero Trust.

La adopción de un marco de confianza cero garantiza que si se produce un ataque a la cadena de suministro, el evento se compartimenta.

La Orden Ejecutiva de la Administración Biden estuvo de acuerdo con esta tesis. La sección 4 (i) establece que la infraestructura crítica debe tener el mínimo privilegio y la segmentación de la red , en otras palabras, deben aplicar los principios de Zero Trust.

La aplicación de un marco de Confianza Cero no obvia la necesidad de auditar la cadena de suministro de una organización. Pero incluso si la cadena de suministro fue auditada por completo en busca de hackeos conocidos de la cadena de suministro, Zero Trust protege contra ataques desconocidos a la cadena de suministro.

Al auditar cómo un proveedor trae software de terceros para cerciorar de que no se marque falsamente como malware, observar las prácticas de codificación de software y usar contraseñas complejas, las organizaciones pueden ayudar a proteger la cadena de suministro. Dicho esto, los malos actores de hoy (patrocinados por el estado-nación o patrocinados por el crimen organizado) encontrarán una manera. La pregunta es ¿cómo limitar el radio de explosión cuando sucede?

La respuesta es aplicar Zero Trust , ¡y la Orden Ejecutiva de la semana pasada muestra que el gobierno está en camino!

¿Está buscando cumplir con los requisitos de la Orden Ejecutiva de la Casa Blanca más rápido? Aprenda cómo hacerlo aquí o unir a nosotros para un taller donde aprenderá a diseñar una arquitectura de Zero Trust para su agencia federal.

Temas relacionados

Ataque a la cadena de suministro

Artículos relacionados

¿Se puede medir la eficacia de la microsegmentación?
Segmentación de confianza cero

¿Se puede medir la eficacia de la microsegmentación?

Illumio y Bishop Fox llevaron a cabo y documentaron un plan pionero en la industria sobre cómo medir la eficacia de la microsegmentación.

Read more
RSAC 2024: 3 conversaciones que quizás te perdiste
Segmentación de confianza cero

RSAC 2024: 3 conversaciones que quizás te perdiste

Obtenga un resumen de los tres temas más comunes que escuchamos en torno a RSAC este año.

Read more
Principales noticias de ciberseguridad de febrero de 2025
Segmentación de confianza cero

Principales noticias de ciberseguridad de febrero de 2025

Descubra por qué las bandas de ransomware siguen prosperando a pesar de las medidas enérgicas de las fuerzas del orden, cómo los CTO están asumiendo roles de seguridad más importantes y cómo Illumio y sus socios están fortaleciendo las defensas de Zero Trust para detener el ransomware en seco.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more