La infraestructura global de TI se ha vuelto cada vez más conectada e interdependiente. Como resultado, la resiliencia operativa ha seguido aumentando en la agenda de los CISO. Si bien las organizaciones han madurado en su manejo de las amenazas de software, muchas luchan con una visibilidad deficiente y herramientas inadecuadas para defenderse contra amenazas de nivel inferior dirigidas al hardware y firmware, lo que está demostrando ser una barrera para la resiliencia.
Los ataques a la cadena de suministro pueden presentarse de muchas formas, desde grupos de ransomware que comprometen la infraestructura de los proveedores hasta la manipulación del hardware y el firmware. Más allá de la interrupción, la razón por la que estos ataques son tan dañinos es porque socavan las bases de hardware y firmware de los dispositivos, a menudo de maneras que son difíciles de detectar y reparar, lo que significa que no se puede confiar en el software y los datos seguros.
Los reguladores han comenzado a tomar medidas para fortalecer la seguridad de la cadena de suministro. El Reino Unido ha implementado nuevas regulaciones de seguridad cibernética de IoT y está redactando un proyecto de ley de resiliencia y seguridad cibernética para “ampliar el alcance de la regulación para proteger más servicios digitales y cadenas de suministro”. En los EE. UU., la Orden Ejecutiva 14028 ha acelerado el desarrollo de requisitos de seguridad de la cadena de suministro de software para adquisiciones gubernamentales, incluido el firmware específico para los propios dispositivos con la Ley de Resiliencia Cibernética para garantizar hardware y software más seguros.
Una encuesta realizada por HP Wolf Security encontró que el 30% de las organizaciones del Reino Unido dicen que ellas u otras personas que conocen se han visto afectadas por actores patrocinados por el estado que intentan introducir hardware o firmware malicioso en computadoras o impresoras, lo que destaca la necesidad de abordar los riesgos de seguridad de los dispositivos físicos.
Los ataques de hardware y firmware tienen implicaciones importantes
El impacto de no proteger la integridad del hardware y firmware de los terminales es alto. Un compromiso exitoso en estas capas inferiores puede proporcionar a los atacantes una visibilidad y control incomparables sobre un dispositivo. La superficie de ataque expuesta por el hardware y el firmware ha sido el objetivo de actores de amenazas capacitados e ingeniosos, como los estados nacionales, durante años, ofreciendo un punto de apoyo sigiloso debajo del sistema operativo (SO). Pero a medida que disminuyen el costo y la habilidad para atacar hardware y firmware, esa capacidad llega a manos de otros malos actores.
Dada la naturaleza maliciosa y la complejidad de las amenazas al firmware, los ejemplos del mundo real no son tan comunes como el malware dirigido al sistema operativo. Ejemplos como LoJax, en 2018, apuntaron al firmware UEFI de PC para sobrevivir a las reinstalaciones del sistema operativo y los reemplazos de discos duros en dispositivos desprotegidos. Más recientemente, el kit de arranque BlackLotus UEFI fue diseñado para eludir los mecanismos de seguridad de arranque y brindar a los atacantes control total sobre el proceso de arranque del sistema operativo. Otro malware UEFI, como CosmicStrand, puede ejecutarse antes que el sistema operativo y las protecciones de seguridad, lo que permite a los atacantes mantener la persistencia y facilitar el comando y control de la computadora infectada.
Las empresas también están preocupadas por los intentos de alterar los dispositivos en tránsito, y muchas informan que son ciegas y están mal equipadas para detectar y detener tales amenazas. El 75% de las organizaciones del Reino Unido dicen que necesitan una forma de verificar el estado del hardware para reducir la amenaza de manipulación del dispositivo.
Maduración del enfoque de seguridad de hardware y firmware de los puntos finales
En los últimos años, los equipos de TI han mejorado en la gestión y el control de la configuración de seguridad del software de los dispositivos, mejorando su capacidad para rastrear la procedencia del software y la garantía de la cadena de suministro. Ahora es el momento de aportar el mismo nivel de madurez a la gestión y supervisión de la seguridad del hardware y el firmware durante todo el ciclo de vida de los dispositivos finales.
Las organizaciones pueden comenzar tomando los siguientes pasos:
- Administre de forma segura la configuración del firmware durante todo el ciclo de vida de un dispositivo mediante certificados digitales y cifrado de clave pública. Al hacer esto, los administradores del sistema pueden comenzar a administrar el firmware de forma remota y eliminar la autenticación basada en contraseñas débiles.
- Utilice los servicios de fábrica del proveedor para habilitar configuraciones sólidas de seguridad de hardware y firmware directamente desde la fábrica.
- Adopte la tecnología de certificado de plataforma para verificar la integridad del hardware y el firmware una vez entregados los dispositivos.
- Realice un seguimiento de la compatibilidad continua de la configuración del hardware y el firmware del dispositivo en su flota de dispositivos; este es un proceso continuo que debe implementarse mientras los dispositivos estén en uso.
En última instancia, la seguridad de los terminales depende de una sólida seguridad de la cadena de suministro, que comienza con garantizar que los dispositivos, ya sean PC, impresoras o cualquier forma de IoT, se fabriquen y entreguen con los componentes previstos. Es por eso que las organizaciones deben centrarse cada vez más en proteger las bases de hardware y firmware de sus terminales, mediante la gestión, el monitoreo y la aplicación de parches de seguridad de hardware y firmware durante la vida útil de cada dispositivo de su flota.
Hemos presentado el mejor curso de ciberseguridad en línea.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí:
