Amenazas

Una cadena de suministro es la red de todos los individuos, organizaciones, recursos, actividades y tecnologías involucradas en la creación y venta de un producto. Un ataque a la cadena de suministro de software explota la confianza que las organizaciones tienen en sus proveedores externos, particularmente en actualizaciones y parches.

Esto es especialmente cierto para las herramientas de monitoreo de red, los sistemas de control industrial, las máquinas "inteligentes" y otros sistemas habilitados para redes con cuentas de servicio. Se puede realizar un ataque en muchos lugares contra el ciclo de vida del software de integración continua y entrega continua (CI/CD) del proveedor, o incluso contra bibliotecas y componentes de terceros, como se ve a través de Apache y Spring.

Tipos de ataques a la cadena de suministro de software:

• Compromiso de las herramientas de creación de software o la infraestructura de desarrollo/prueba
• Compromiso de dispositivos o cuentas propiedad de proveedores externos privilegiados
• Aplicaciones maliciosas firmadas con certificados de firma de código robados o ID de desarrollador
• Código malicioso implementado en componentes de hardware o firmware
• Malware preinstalado en dispositivos como cámaras, USB y teléfonos móviles