El Instituto Nacional de Estándares y Tecnología de E.U. (NIST) ha revisado la Guía de Gestión de Riesgos de Cadena de Suministro de Ciberseguridad (C-SCRM), desarrollada a petición del presidente Joe Biden con el fin de brindar asesoría para la identificación, evaluación y control de riesgos de ciberseguridad en toda la cadena de suministro.
En el documento, titulado “Prácticas de Gestión de Riesgos de Cadena de Suministro de Ciberseguridad para Sistemas y Organizaciones”, se invita a los compradores y usuarios finales de hardware, software y servicios digitales a llevar a cabo las debidas diligencias sobre el origen y seguridad de los componentes de un producto digital/tecnológico.
Los ataques de cadena de suministro se han convertido en una de las variantes de hacking más peligrosas, ya que permiten a los actores de amenazas comprometer múltiples dispositivos a la vez, además de explotar vulnerabilidades en componentes ampliamente utilizados. Basta recordar el ataque SolarWinds, que impactó en miles de organizaciones a nivel mundial.
Para Ilkka Turunen, especialista en seguridad de la cadena de suministro de software de Sonatype, estas medidas son importantes para mejorar sustancialmente la seguridad de las organizaciones: “Este documento describe las mejores prácticas fundamentales, como generar listas de materiales de software (SBOM), además de describir las actividades de mantenimiento necesarias para mantener prácticas efectivas de seguridad en la cadena de suministro”.
El investigador agrega que la mitigación de los riesgos de software comienza con la comprensión de cómo se produce el uso de software administrado y no administrado en una organización, además de la mitigación progresiva de esos riesgos a nivel de proveedor y con la constante participación de los clientes.
Por otra parte, los expertos de Cequence Security recientemente alertaron a la comunidad de la ciberseguridad sobre la persistencia de ataques explotando fallas como Log4Shell, descubierta hace unos meses y que permite abusar de la utilidad de registro Apache Log4j, considerada como omnipresente.
Una nueva oleada de ataques, identificada como LoNg4j, demuestra la interacción entre la infraestructura de TI empresarial moderna y la cadena de suministro digital, extendiéndose en toda clase de aplicaciones y creando un vector de ataque crítico en caso de que se explote alguna vulnerabilidad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
