Los riesgos que enfrenta cadenas de suministro de software han tomado su lugar a la vanguardia de las conversaciones en el ecosistema de ciberseguridad. Esto se debe en parte al aumento de la frecuencia de estos ataques a la cadena de suministro, sino también por los impactos potencialmente de gran alcance que tienen cuando suceden.
Las cifras de 2021 mostraron ataques a la cadena de suministro de software triplicada en frecuencia respecto al año anterior, una tendencia que es poco probable que se desacelere en el futuro. Afortunadamente, la creciente conciencia sobre el riesgo de ataques a la cadena de suministro de software está impulsando una amplia gama de acciones potencialmente beneficiosas. Una de esas medidas recientes es la emisión de un Orden ejecutiva sobre ciberseguridad por el gobierno de los Estados Unidos.
Lo que es aún más tranquilizador es el creciente interés de muchos de los grandes actores en introducir colectivamente medidas que puedan ayudar en la lucha contra la creciente amenaza de actores maliciosos que atacan las cadenas de suministro de software. En octubre de 2022, Google anunció un nuevo proyecto de código abierto conocido como Graph for Understanding Artifact Composition (GUAC, para abreviar). Aunque esta iniciativa aún se encuentra en sus primeras etapas, la encontramos bastante interesante porque tiene el potencial de cambiar la comprensión actual de la industria sobre las cadenas de suministro de software e introduce medidas avanzadas para mitigar aún más estas amenazas.
¿Por qué GUAC? ¿Porqué ahora?
Como organización, la misión principal de Google es organizar la información del mundo y hacerla universalmente accesible y útil. El Gráfico para comprender la composición de artefactos (GUAC) está en línea con esa misión en lo que respecta al mundo de la ciberseguridad. El objetivo de GUAC es hacer que la información de seguridad de alto nivel esté disponible para todas las organizaciones, incluidas aquellas que no tienen el presupuesto de TI o la infraestructura de seguridad a escala empresarial para obtener esta información por sí mismas.
GUAC es un intento de agregar valiosos metadatos de seguridad de software en una base de datos gráfica de alta fidelidad. La base de datos no sólo incluirá la identidad de diferentes entidades de software sino que también detallará la relación estándar entre ellas.
La colaboración comunitaria entre varios grupos ha dado lugar a documentaciones de políticas como la Listas de materiales del software (SBOM), certificaciones firmadas que detallan cómo se construye el software (como SLSA) y bases de datos que facilitan el descubrimiento y eliminación de vulnerabilidades, como la Base de datos de seguridad global (GSD). GUAC ayudará a combinar y sintetizar la información disponible en todas estas bases de datos y organizarlas en un formato más completo. De esta manera, cualquiera puede encontrar las respuestas que necesita a preguntas de seguridad de alto nivel sobre cualquier activo de software que desee utilizar.
GUAC cubre tres etapas de seguridad de la cadena de suministro de software
GUAC es una plataforma gratuita de código abierto que agregará las diferentes fuentes de metadatos de seguridad de software en una sola fuente. Como herramienta de seguridad, GUAC será útil para las organizaciones en las tres etapas de protección de su infraestructura de software contra ataques a la cadena de suministro. Así es como será útil para cada una de estas etapas:
Etapa #1: Proactiva
La etapa proactiva es donde se implementan medidas para evitar que se produzcan compromisos de software a gran escala. En esta etapa, querrá conocer los componentes críticos del ecosistema de su cadena de suministro de software que más utiliza, y GUAC facilitará su identificación. Con GUAC, puede identificar puntos débiles en su infraestructura de seguridad general, incluidas áreas donde está expuesto a dependencias riesgosas. De esta manera, estará en mejor posición para prevenir ataques antes de que ocurran.
Etapa #2: Operacional
La etapa operativa es la etapa preventiva en la que usted determina si el software que desea utilizar o implementar cumple todos los requisitos en lo que respecta a las salvaguardias contra los riesgos de la cadena de suministro. Con GUAC puede verificar si el software cumple con las políticas requeridas o si todos los archivos binarios en producción se pueden rastrear hasta un repositorio seguro.
Etapa #3: Reactiva
A pesar de todas las medidas, aún puede producirse una ruptura en la cadena de suministro. La etapa reactiva es donde se determina qué hacer cuando se descubre una infracción. Con GUAC, las organizaciones afectadas pueden descubrir qué parte de su inventario se ha visto afectada por la vulnerabilidad, en qué medida están afectadas y cuáles son los riesgos. Esta información ayudará a mitigar un ataque y evitar que se repita en el futuro.
¿Qué significa GUAC para ti?
Entonces, ¿qué significa GUAC para usted como organización o profesional de la ciberseguridad? Como el proyecto aún se encuentra en su etapa de desarrollo, hay varias maneras en que puedes involucrarte ya sea a nivel individual o como organización.
- Para empezar, es un llamado a involucrarse. Las estadísticas de una encuesta realizada a unos 1,000 CIO muestran que hasta el 82% de los entrevistados cree que su organización es vulnerable a los ciberataques. Esto significa que si no está implementando ninguna medida para proteger su infraestructura de software, debería hacerlo ahora más que nunca. Esta medida de Google es otra llamada de atención sobre la necesidad de tomar más medidas para tomar seguridad de la cadena de suministro de software mas serio.
- En segundo lugar, este es un llamado a contribuir. GUAC es actualmente un proyecto de código abierto en Github. Todo lo que es ahora es una prueba de concepto que agrega documentos SLSA, SBOM y Scorecard para respaldar la búsqueda simple de metadatos de software. El proyecto da la bienvenida a contribuyentes que agreguen metadatos a GUAC, así como a asesores que representen las necesidades de los usuarios finales.
- GUAC es una gran combinación nueva para el Marco SLSA. El marco de seguridad (una colaboración entre varias partes interesadas en la ciberseguridad) es un conjunto de estándares industriales acordados que las empresas y los desarrolladores individuales pueden adoptar para tomar decisiones de seguridad informadas al crear software. Combinados, estos dos documentos de política ayudarán a generar mejores resultados en lo que respecta a la seguridad del software.
- GUAC también da fe de la creciente importancia de la Lista de materiales del software (SBOM). Esta lista formal de todos los artefactos utilizados en el software disminuye los riesgos de vulnerabilidades de seguridad para los usuarios y también les ayuda a saber cómo actuar y dónde buscar vulnerabilidades cuando se producen violaciones.
- Finalmente, debe saber que la única manera de garantizar la integridad de todos los componentes de terceros de su software es asegurarse de que cada código que no haya escrito usted mismo esté plenamente contabilizado, sin alteraciones y libre de todo código malicioso. Afortunadamente, existen marcos y herramientas de seguridad de la cadena de suministro de software que pueden ayudarlo a monitorear cada componente durante todo el ciclo de vida de desarrollo de software (SDLC). Aquí tienes un artículo que puede ser un buen punto de partida para ayudarte a encontrar el herramienta de seguridad de la cadena de suministro de software adecuada para sus propias necesidades.
Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.