® 
Atac a la Cadena de Subministrament
Definicio
Un atac a la cadena de subministrament compromet un proveidor en lloc de l'objectiu final.
Un atac a la cadena de subministrament es un ciberatac en el qual l'atacant no compromet directament l'objectiu final, sino un proveidor, desenvolupador de programari o prestador de serveis de la cadena de subministrament. Segons l'ENISA Threat Landscape 2024, els atacs a la cadena de subministrament han augmentat un 300% des de 2020.
Com funciona un atac a la cadena de subministrament?
L'atacant identifica un eslabon feble a la cadena de subministrament de l'objectiu. Pot ser un proveidor de programari el mecanisme d'actualitzacio del qual es compromes, un proveidor de serveis gestionats amb acces a xarxes de clients, o una biblioteca de codi obert utilitzada en milers d'aplicacions. En comprometre el proveidor, l'atacant obte acces indirecte a tots els clients que utilitzen el programari o servei compromes.
Tipus d'atacs a la cadena de subministrament
Els atacs a la cadena de subministrament de programari comprometen el proces de compilacio o distribucio. L'atac a SolarWinds (2020) es l'exemple mes conegut: els atacants van infiltrar el sistema de compilacio i van inserir una porta del darrere en una actualitzacio instal-lada per mes de 18.000 organitzacions. Els atacs de confusio de dependencies abusen de gestors de paquets publicant paquets maliciosos. Els atacs a serveis de tercers es dirigeixen a proveidors de serveis gestionats.
Impacte per a les organitzacions
Aquests atacs son especialment perillosos per la seva escala: un sol proveidor compromes pot afectar milers d'organitzacions. L'atac NotPetya (2017) va comenar com un atac a la cadena de subministrament i va causar mes de 10.000 milions de dolars en danys a nivell mundial. NIS2 exigeix explicitament a les organitzacions gestionar el risc de la cadena de subministrament. La Llei de Ciberresiliencia (CRA) estableix requisits per a la seguretat de tota la cadena de subministrament de programari.
Proteccio contra atacs a la cadena de subministrament
La proteccio efectiva requereix avaluacio de proveidors i mesures tecniques. Les avaluacions de seguretat de proveidors avaluen la postura de seguretat abans de signar contractes. El Software Bill of Materials (SBOM) proporciona visibilitat de tots els components. La signatura de codi i verificacio d'integritat asseguren que el programari no ha estat manipulat. La segmentacio de xarxa limita l'impacte.
Com ajuda DEFION
DEFION realitza Vendor Security Assessments que avaluen objectivament la postura de seguretat dels proveidors. El servei de Managed Threat Intelligence monitoritza activament indicadors de compromisos a la cadena de subministrament.