La alianza de inteligencia anglófona Five Eyes ha emitido un aviso conjunto, coincidiendo con la conferencia anual CyberUK del Centro Nacional de Seguridad Cibernética (NCSC), alertando a los proveedores de servicios gestionados (MSP) de TI y a sus clientes sobre posibles ciberataques en la cadena de suministro.
El aviso conjunto, respaldado por los organismos cibernéticos nacionales de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU., establece una serie de pasos prácticos que se pueden tomar para reducir el riesgo de ser víctima de un compromiso de la cadena de suministro, como como los que sucedieron a los usuarios de Solarwinds y Kaseya, en los que los actores de amenazas utilizaron un producto o servicio vulnerable como punto de acceso inicial a las redes de los clientes, lo que resultó en efectos en cascada a nivel mundial.
Las autoridades han emitido previamente una guía sobre este tema, pero el último aviso se centra en permitir discusiones transparentes y bien informadas entre los MSP y sus clientes, centrándose en proteger información y datos confidenciales.
Dijeron que estas discusiones deberían conducir a una reevaluación de los procesos de seguridad existentes y los acuerdos contractuales para acomodar el apetito de riesgo del cliente.
También se puede leer junto con la guía relacionada emitida en relación con la guerra en Ucrania, ya que muchas intrusiones recientes en la cadena de suministro han sido orquestadas por actores de amenazas con sede en Rusia, y se considera una clara posibilidad de que tales incidentes continúen ocurriendo como la guerra va mal para Rusia.
“Estamos comprometidos a fortalecer aún más la resiliencia del Reino Unido, y nuestro trabajo con socios internacionales es una parte vital de eso”, dijo Lindy Cameron, directora ejecutiva de NCSC.
“Nuestro asesoramiento conjunto con socios internacionales tiene como objetivo aumentar la conciencia de las organizaciones sobre la creciente amenaza de los ataques a la cadena de suministro y los pasos que pueden tomar para reducir su riesgo”.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), dijo: “Recomiendo encarecidamente tanto a los proveedores de servicios gestionados como a sus clientes que sigan esta y nuestra guía más amplia; en última instancia, esto ayudará a protegerlos no solo a ellos, sino también a las organizaciones a nivel mundial.
“Como deja en claro este aviso, los actores cibernéticos maliciosos continúan apuntando a los proveedores de servicios administrados, por lo que es fundamental que los MSP y sus clientes tomen las medidas recomendadas para proteger sus redes.
“Sabemos que los MSP que son vulnerables a la explotación aumentan significativamente los riesgos posteriores para las empresas y organizaciones que respaldan”, dijo Easterly. “La protección de los MSP es fundamental para nuestra ciberdefensa colectiva, y CISA, y nuestros socios interinstitucionales e internacionales, están comprometidos a fortalecer su seguridad y mejorar la resiliencia de nuestra cadena de suministro global”.
La contraparte australiana de Cameron y Easterly, Abigail Bradshaw, agregó: “Los MSP son vitales para muchas empresas y, como resultado, un objetivo importante para los actores cibernéticos maliciosos.
“Estos actores los usan como plataformas de lanzamiento para violar las redes de sus clientes, que vemos a menudo comprometidas a través de ataques de ransomware, compromisos de correo electrónico comercial y otros métodos.
“Se pueden tomar medidas efectivas para fortalecer sus propias redes y proteger la información de sus clientes”, dijo. “Alentamos a todos los MSP a revisar sus prácticas de seguridad cibernética e implementar las estrategias de mitigación descritas en este aviso”.
Orientación consultiva
Parte de la orientación contenida en el aviso incluye un énfasis en la importancia de almacenar los registros más importantes durante al menos seis meses, dado que los incidentes pueden tardar mucho tiempo en detectarse; la adopción de la autenticación multifactor en las bases de clientes de MSP y la obligatoriedad de su uso en los contratos; y pronta atención para parchear las vulnerabilidades explotadas conocidas en el software, los sistemas operativos y el firmware: CISA mantiene una lista muy detallada de estos, que, aunque se lanzan a las organizaciones de los EE. UU., son relevantes a nivel mundial.
El aviso también aclara que estas pautas deben implementarse según corresponda al entorno único de una organización, de acuerdo con sus necesidades de seguridad específicas y en cumplimiento de diversas reglamentaciones.