La cadena de suministro y el elefante en la habitación

Hace unos días, a raíz de los ataques de ransomware “relacionados” con el producto Kaseya de gestión remota de TI, publiqué en LinkedIn una breve publicación en la que decía lo siguiente:

La cadena de suministro es el elefante en la habitación y tenemos que hablar más de ello.

Sí, hablemos un poco de prevención y dejemos la detección y gestión para otro momento. Como dice el dicho, mejor prevenir que curar. Para desarrollarlo un poco más, añadí que:

 

deberíamos empezar a pensar que el software y el hardware de terceros son inseguros por defecto y que se debería imponer la obligación a los fabricantes de software de realizar y publicar, hasta cierto punto, pentestings serios, regulares y profundos para las aplicaciones críticas que venden (y sus actualizaciones). E incluso entonces, cualquier software o dispositivo de terceros debería considerarse inseguro por defecto, a menos que se demuestre lo contrario.

 

En un comentario, Andrew (David) Worley hizo referencia a los informes SOC 2, que deberían ser capaces de prevenir mínimamente este tipo de “problemas”, y comentó un par de iniciativas que yo desconocía: el Software Bill of Materials (SBoMs) y el Digital Bill of Materials (DBoMs).

Me comprometo a hablar de ello en otro post, pero de momento sigamos.

[Read more…]