A medida que el año 2023 llega a su fin, el panorama de la ciberseguridad arde con informes y análisis. Entre ellos, el Resumen del año de ciberseguridad 2023 de la NSA ha llamado la atención. Xygeni, en este año convulso, pretende contribuir a la comprensión y mitigación de las amenazas a la cadena de suministro de software. En una era en la que la complejidad del software es abrumadora, nuestra dependencia de los componentes de código abierto y la evolución de DevSecOps y los enfoques nativos de la nube han alcanzado nuevas alturas. Este adelanto de El informe de Xygeni. proporciona información sobre los desafíos clave que enfrentan software supply chain security en 2023 y ofrece estrategias para abordarlos en 2024.
Índice
La compleja red de Software Supply Chain Security
En el estado actual de la SSCSLas ciberamenazas cobran gran importancia y plantean importantes preocupaciones tanto a empresas como a particulares. El auge del teletrabajo y la mayor dependencia de los servicios en la nube han ampliado la superficie de ataque, lo que convierte la protección de la cadena de suministro de software en un desafío aún mayor. La industria del software se está dando cuenta poco a poco de que la cadena de suministro se ha convertido en un vector de ataque deliberado. Surgen preguntas: ¿Cómo podemos proteger esta compleja red? ¿Podemos confiar en el software tanto de las comunidades de código abierto como de los proveedores comerciales? ¿Cómo pueden las organizaciones infundir confianza en sus usuarios de software respecto a la ausencia de vulnerabilidades o malware?
Lo que descubrirá el informe de Xygeni
El informe de Xygeni pretende arrojar luz sobre los acontecimientos y tendencias que definieron software supply chain security en 2023 y ofrece una visión inicial de lo que podría traer el 2024. El informe cubrirá:
Lo más destacado: “En números”
Denominado el año de 'incendios forestales digitales,' 2023 fue testigo de incidentes que acapararon los titulares, incluidos los que afectaron a PyTorch, 3CX y MOVEit Transfer. La triste realidad es que el 82% de las organizaciones Actualmente son vulnerables a ataques a la cadena de suministro de software, y el número promedio de componentes vulnerables en una cadena de suministro aumenta más del 50% anualmente. NTT Ltd informa que el sector tecnológico es la industria más atacada y representa el 28% de todos los ataques a la cadena de suministro.
Software de código abierto, que comprende Del 70 % al 90 % de las pilas de aplicaciones contemporáneas, se enfrenta a un aumento de paquetes maliciosos en los registros públicos: la asombrosa cifra de 245,032 casos, el doble que las cifras de años anteriores.
El panorama del ataque
En 2023, los ciberataques iban en aumento, con la Agencia de la UE para la Ciberseguridad registró 2,580 incidentes de seguridad, 220 de los cuales apuntaron específicamente a varios Estados miembros. Dominaron los ataques de ransomware y de denegación de servicio, pero también se observaron ataques dirigidos a la cadena de suministro de software. En particular, los chatbots de IA entraron en el panorama de las amenazas a la ciberseguridad, generando preocupaciones sobre las "falsificaciones baratas" y la manipulación de información habilitada por la IA.
Técnicas de ataque en 2023
Los atacantes continuaron aprovechando técnicas familiares como el phishing selectivo y la ingeniería social, credenciales robadas y ataques de dependencia como paquetes typosquat. Sin embargo, en 2023 se produjo un aumento de métodos sofisticados, incluidos vishing (Voice Phishing) utilizando mensajes que imitan la voz generados por IA. Los paquetes maliciosos desplegados en registros públicos alcanzaron la alarmante cifra de 245,032 casos, lo que enfatiza la necesidad de medidas preventivas sólidas.
Actores de amenazas avanzadas
La geopolítica influyó en las operaciones cibernéticas, y las APT respaldadas por el Estado se dedicaron a la desinformación, el espionaje y el sabotaje. La guerra de Ucrania se convirtió en un punto focal, mostrando las operaciones cibernéticas de actores rusos, iraníes y norcoreanos. China consolidó su posición como potencia cibernética mundial, mientras que el delito cibernético siguió evolucionando, como lo ejemplificó el Evasive Panda de China, que atacó a una ONG internacional.
Volviendo a centrarnos en los conflictos recientes, la confrontación cibernética entre Hamás e Israel implicó ataques DDoS recíprocos. Algunos analistas conectan a Hamás con las actividades de amenaza iraníes. La APT Agrius, vinculada a Irán y también conocida como “Serpientes Agonizantes”, famosa por sus destructivos limpiaparabrisas, ha estado apuntando predominantemente a organizaciones israelíes en diversos sectores y países. En 2023, los esfuerzos de Agrius se concentraron en los sectores de educación y tecnología en Israel.
Impacto de los ataques
El impacto digital de los ciberataques, como sistemas dañados, corrupción de datos e intrusiones, superó los impactos financieros y sociales. La encuesta de Splunk destacó el importante tiempo y recursos invertidos en la limpieza, y solo el 4% de los encuestados no informaron consecuencias significativas.
Resumen de ataques relevantes en 2023
El año fue testigo de ataques paradigmáticos, incluido el InfoStealer nocturno de PyTorch, el incidente de CircleCI, el ataque de varios pasos 3CX, la violación de datos de MOVEit Transfer, la suspensión temporal de PyPI, NPM Manifest Confusion, el ataque JumpCloud y la campaña VMConnect. Cada incidente subrayó la naturaleza diversa y evolutiva de los ataques del SSC.
Evolución de Standards y Reglamentos
El marco regulatorio de la SSC está en construcción. Con intensidades muy diferentes entre regiones, parece que Estados Unidos tiene el marco más maduro, con la Unión Europea rezagada. La publicación del Estrategia Nacional de Ciberseguridad y la Hoja de ruta de seguridad del software de código abierto Fueron los principales acontecimientos en Estados Unidos. En la UE, la Ley de Resiliencia Cibernética alcanzó un acuerdo político, pero la mayoría de las organizaciones trabajaron en la directiva NIS2 y la Ley de Resiliencia Operacional Digital (DORA).
Quizás el evento mundial más significativo fue la guía conjunta Cambiando el equilibrio del riesgo de ciberseguridad: principios y enfoques para un software seguro por diseño dirigido por CISA la que se unieron muchas autoridades de ciberseguridad de todo el mundo.
Un vistazo al 2024
El informe ofrece algunas predicciones: para 2025, el 45 % de las organizaciones de todo el mundo experimentarán al menos un ataque SSC. Veremos grupos delictivos organizados participando en delitos cibernéticos, aprovechando ofertas más maduras de delitos cibernéticos como servicio. Las regulaciones que entren en vigor durante el año mejorarán la transparencia sobre los incidentes de seguridad, con la divulgación de más detalles de los ataques y lecciones aprendidas. Los seguros contra riesgos cibernéticos mostrarán límites y franquicias. Y los avances tecnológicos se alinearán con la seguridad por diseño tendencia, con más carga para los fabricantes de software.
La ola de IA atrajo a muchos proveedores de seguridad durante 2023 para agregar un “toque de IA” a sus productos. No obstante, la IA desempeñará un papel fundamental en el futuro de software supply chain security. La IA desempeñará un papel cada vez mayor en áreas como inteligencia de amenazas y evaluación de riesgos, detección de anomalías en repositorios de código, evaluación y priorización de vulnerabilidades, y phishing, atacar detección, pero principalmente en remediación inteligente y automatización de revisión de código.
Pero los malos actores comenzaron a utilizar la IA como arma, y veremos nuevas técnicas como el reconocimiento impulsado por IA, lanzas altamente convincentes. phishing,, herramientas de inteligencia artificial para hacer jailbreak o servicios de resolución de CAPTCHA.
Conclusión
Mientras Xygeni se prepara para presentar su informe completo sobre el estado de software supply chain security En 2023, los desafíos y amenazas que enfrenta la industria son evidentes. La cadena de suministro de software, alguna vez considerada un proceso detrás de escena, se ha convertido en un objetivo principal para los ciberadversarios. La respuesta de la industria a estos desafíos dará forma a la trayectoria de la seguridad del software en los próximos años. Estén atentos al informe completo a medida que profundizamos en los detalles y brindamos información que puede ayudar a navegar por el complejo panorama de software supply chain security.
