COMENTARIO
La resiliencia operativa se está convirtiendo en un lema para los líderes de TI y empresariales, y con razón. La infraestructura global de TI está ahora altamente interconectada y es interdependiente y debe ser resiliente frente a todo tipo de amenazas. Pero uno de los riesgos de ciberseguridad que más se pasa por alto y un punto ciego destacado en un estudio reciente Encuesta de seguridad de HP Wolf – es el desafío de mitigar las amenazas al hardware y al firmware. La seguridad de la cadena de suministro de hardware no termina con la entrega del dispositivo. Se extiende a lo largo de toda la vida útil de los dispositivos utilizados en la infraestructura e incluso más allá, cuando son reutilizados de un propietario a otro.
Las interrupciones de la cadena de suministro de hardware pueden tomar muchas formas: desde interrupciones físicas de la cadena de suministro por parte de grupos de ransomware hasta manipulación de hardware o firmware para implementar implantes de malware persistentes y sigilosos en cualquier etapa del ciclo de vida del dispositivo. Estos ataques socavan las bases de hardware y software de los dispositivos en los que se ejecuta todo el software, por lo que es esencial que las empresas estén equipadas con terminales diseñados desde cero para resistir tales amenazas.
Los gobiernos han comenzado a actuar para fortalecer la seguridad de la cadena de suministro. En 2021, Orden ejecutiva de EE. UU. 14028 La Unión Europea (UE) ha acelerado el desarrollo de requisitos de seguridad de la cadena de suministro de software para la contratación pública, incluido el firmware. La Unión Europea (UE) está introduciendo nuevos requisitos de ciberseguridad en cada etapa de la cadena de suministro, comenzando con el software y los servicios, con Directiva de redes y sistemas de información (NIS2)y extendiéndose a los propios dispositivos con el Ley de resiliencia cibernética para garantizar hardware y software más seguros. Muchos otros países participan activamente en este ámbito, como el Reino Unido con su nuevo Regulaciones de ciberseguridad de Internet de las cosas (IoT)y el Proyecto de ley de ciberseguridad y resiliencia “ampliar el alcance de la regulación para proteger más servicios digitales y cadenas de suministro”.
Mientras tanto, las organizaciones se enfrentan a amenazas de hardware y software. El treinta y cinco por ciento de las organizaciones Las empresas informan haber sido víctimas, o haber experimentado, actores patrocinados por el estado que intentan insertar hardware o firmware malicioso en PC o impresoras. En medio de este entorno regulatorio y de las crecientes preocupaciones sobre los ataques a la cadena de suministro, las empresas deben considerar un nuevo enfoque para la seguridad de los dispositivos físicos.
El impacto de los ataques a la integridad del hardware y el firmware
Las consecuencias de no proteger la integridad del hardware y el firmware de los terminales son graves. Los atacantes que logran comprometer dispositivos a nivel de firmware o hardware pueden obtener visibilidad y control incomparables. La superficie de ataque expuesta por las capas inferiores de la pila tecnológica ha sido durante algún tiempo un objetivo para actores de amenazas capacitados y con buenos recursos, como los Estados-nación, porque permiten una penetración sigilosa debajo del sistema operativo. Estas capacidades ofensivas pueden llegar rápidamente a manos de otros actores maliciosos. Los compromisos a nivel de hardware o firmware son persistentes, lo que brinda a los atacantes un alto nivel de control sobre todo lo que hay en el sistema. Son difíciles de detectar y remediar con las herramientas de seguridad actuales que normalmente se centran en las capas del sistema operativo y del software.
Dada la naturaleza sigilosa y la sofisticación de las amenazas al firmware, los ejemplos del mundo real no son tan comunes como el malware dirigido al sistema operativo. Ejemplos como LoJax, en 2018, apuntaron al firmware UEFI de PC para sobrevivir a las reinstalaciones del sistema operativo y los reemplazos de discos duros en la mayoría de los dispositivos, que carecían de protección de última generación. Más recientemente, el Kit de inicio UEFI de BlackLotus fue diseñado para eludir los mecanismos de seguridad de arranque y dar a los atacantes control total sobre el proceso de arranque del sistema operativo. Otros UEFI malware, como CosmicStrandpuede iniciarse antes que el sistema operativo y las defensas de seguridad, lo que permite a los atacantes mantener la persistencia y facilitar el comando y control sobre la computadora infectada.
Las organizaciones también están preocupadas por los intentos de alterar los dispositivos en tránsito, y muchos de ellos son indiscriminados y no están equipados para detectar y detener tales amenazas. Setenta y siete por ciento de las organizaciones Dicen que necesitan una forma de verificar la integridad del hardware para mitigar la amenaza de manipulación del dispositivo.
Lleve la madurez de la seguridad al hardware y firmware de los endpoints
Como comunidad, hemos perfeccionado nuestros procesos para administrar y monitorear la configuración de seguridad del software durante la vida útil de un dispositivo y estamos mejorando nuestra capacidad para rastrear la procedencia del software y garantizar la cadena de suministro. Es hora de aportar los mismos niveles de madurez a la gestión y supervisión de la seguridad del hardware y el firmware, durante toda la vida útil de los puntos finales. Porque los dispositivos, mientras estén en uso, constituyen la cadena de suministro de hardware de una organización.
Las capacidades técnicas para implementar este enfoque en todos los dispositivos aún no estaban disponibles a escala, porque todo debe comenzar con la seguridad desde el diseño, desde el hardware hasta el nivel más alto. Esta es un área en la que hemos estado invirtiendo durante más de dos décadas y hoy las bases están sentadas. Las organizaciones deben comenzar a adoptar activamente las capacidades de seguridad y resiliencia disponibles de los fabricantes y dispositivos para tomar de manera proactiva el control de la gestión de seguridad del hardware y el firmware durante todo el ciclo de vida de sus dispositivos.
Las organizaciones pueden tomar cuatro pasos clave para administrar de manera proactiva la seguridad del hardware y firmware del dispositivo:
-
Administre de forma segura la configuración del firmware durante todo el ciclo de vida de un dispositivo, utilizando certificados digitales y criptografía de clave pública. Esto permite a los administradores administrar el firmware de forma remota y eliminar la autenticación de contraseña débil.
-
Benefíciese de los servicios de fábrica de los proveedores para permitir configuraciones sólidas de seguridad de hardware y firmware directamente desde la fábrica.
-
Adopte tecnología de certificado de plataforma para verificar la integridad del hardware y el firmware una vez que se entreguen los dispositivos.
-
Supervise el cumplimiento continuo de la configuración de hardware y firmware del dispositivo en toda su flota de dispositivos. Este es un proceso continuo que debe implementarse mientras la organización utilice los dispositivos.
La seguridad de los sistemas depende de una cadena de suministro sólida, que comienza garantizando que los dispositivos, ya sean PC, impresoras o cualquier forma de IoT, se fabriquen y entreguen con los componentes previstos. Es por eso que las organizaciones deben centrarse cada vez más en desarrollar bases seguras de hardware y software, que les permitan administrar, monitorear y remediar la seguridad del hardware y software durante la vida útil de cualquier dispositivo de su parque.