iaremenko - stock.adobe.com

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo asegurarse de que su empresa no tiene hardware comprometido

Las protecciones empresariales son cruciales para garantizar la seguridad de su hardware. Descubra las mejores prácticas para proteger el hardware de su empresa con Nick Lewis.

Probablemente no haya ninguna empresa en el mundo que pueda diseñar y fabricar todos los componentes incluidos en su infraestructura de TI. Existen razones comerciales para no intentar esto, como el hecho de que centrarse en las competencias básicas probablemente produzca el mayor retorno de inversión. Esto significa que la administración de la cadena de suministro y la supervisión de terceros en un entorno de TI son componentes críticos de muchos programas de seguridad de la información.

El problema del hardware comprometido en la cadena de suministro resurgió recientemente cuando Bloomberg Businessweek publicó un informe sobre un proveedor de hardware que, según el punto de venta, había enviado productos con chips comprometidos en sus sistemas.

En este consejo, analizaremos el problema del hardware potencialmente comprometido y las protecciones empresariales.

Hardware potencialmente comprometido

La seguridad física del hardware es la raíz de la confianza para la mayoría de los sistemas. Esta es la razón por la que muchas empresas de escala web, como Google, han invertido importantes recursos en hardware y seguridad física. Puede ser difícil detectar y remediar un servidor si hay malware en el hardware, como en el firmware del disco duro. Las compañías más grandes pueden potencialmente manejar estos riesgos, como lo hizo Google con su seguridad de hardware mejorada, pero pocas empresas tienen los recursos para hacerlo.

La cadena de suministro de hardware es increíblemente compleja, y la mayoría de las empresas compran sus servidores a proveedores establecidos. Los proveedores de hardware pueden diseñar y ensamblar el sistema general e incluir información sobre el software, los componentes y los chips en un servidor. Sin embargo, el proveedor también puede trabajar con muchos proveedores diferentes como parte de su cadena de suministro (proveedores que probablemente tengan que gestionar sus propias cadenas de suministro) para aprovechar los precios más bajos o la experiencia necesaria.

Un atacante o un delincuente interno en la compañía proveedora, o en cualquiera de sus proveedores, podría insertar un diseño malicioso, como un chip completo o un circuito específico, en el diseño del hardware para ponerlo en peligro. El malware o el hardware malicioso podrían hacer casi cualquier cosa, desde debilitar las operaciones criptográficas hasta el robo de datos confidenciales.

Protecciones empresariales ante el hardware potencialmente comprometido

La tolerancia de una empresa al riesgo y los recursos disponibles impulsarán sus planes para gestionar este riesgo; usted tiene un espectro de opciones para ayudarlo a administrar el riesgo de hardware potencialmente comprometido en su entorno.

Se han llevado a cabo proyectos de investigación que comparan el silicio fabricado con los diseños originales; este tipo de enfoque se puede utilizar en entornos de alta seguridad en todo el hardware nuevo o al elegir nuevos componentes para incluir en los sistemas que su empresa diseña o fabrica.

Su empresa también podría agregar cláusulas a los contratos de proveedores que establezcan que sus productos deben estar libres de defectos maliciosos, pero es poco probable que un proveedor acepte esto. Este tipo de amenaza también puede ser parte de un ataque a nivel de estado. Con este tipo de ataque, su empresa debe aceptar el riesgo, ya que hay poco que se pueda hacer para detenerlo.

Para una respuesta más mesurada, su empresa puede querer monitorear los servidores en busca de tráfico de red inexplicable. Cualquier conexión de red, como las copias de seguridad, la administración, el monitoreo y las conexiones de red internas, debe ser monitoreada para detectar tráfico de red inexplicable. Esto podría incluir monitorear el flujo de datos en busca de conexiones de red inexplicables en lugar de utilizar una inspección profunda de paquetes en las conexiones de internet.

Una vez que se identifican las conexiones anómalas, se pueden investigar en profundidad. Esto no identificará el hardware que utiliza conexiones no IP, celulares, bluetooth o satelitales para extraer datos de su empresa, pero si eso es una preocupación, puede usar racks de centros de datos o incluso diseñar el centro de datos para detener el escape de las frecuencias de radio de la instalación.

Para las empresas que utilizan sistemas IaaS en la nube u otros sistemas alojados, sus proveedores deben tomar medidas para garantizar que los sistemas estén físicamente seguros y que exista la seguridad de hardware adecuada. El proveedor puede monitorear su propia infraestructura para identificar conexiones de red sospechosas, ya que es posible que usted no tenga acceso a las conexiones de red que podrían usarse como canales laterales.

Su empresa puede incluso querer incluir en el contrato del proveedor que es responsabilidad del proveedor garantizar que esto se haga. Los proveedores pueden no estar de acuerdo con hacer esto, pero algunos pueden hacerlo, y ponerlo en un contrato puede ayudar a aclarar si es una expectativa del proveedor. Llevarlo al siguiente nivel requiere que el proveedor se asegure de que el hardware esté libre de manipulaciones externas y que, si se encuentra una manipulación, remediará los problemas por su propia cuenta.

Si bien es imposible mitigar todas las vulnerabilidades y detener todos los ataques antes de que comprometan la seguridad de sus sistemas, comprender el potencial de las vulnerabilidades en sus sistemas, en su cadena de suministro o con proveedores de servicios de terceros es fundamental para administrar el riesgo de manera efectiva. Parte de esto puede incluir evaluar el riesgo potencial, implementar un control de compensación para minimizar el impacto de una vulnerabilidad o simplemente aceptar el riesgo.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close