Mientras la atención de los estadounidenses se centraba en las barbacoas y la cerveza al comienzo del reciente fin de semana del Día del Trabajo, los ciberguerreros del Mando Cibernético de los Estados Unidos tenían otra cosa en mente: Alertar a los 180.000 usuarios del software Confluence de Atlassian de que corrían el riesgo de ser víctimas de un ataque masivo a la cadena de suministro de software.

 

En una publicación de Twitter del 3 de septiembre, USCYBERCOM advirtió que “la explotación masiva de Atlassian Confluence CVE-2021-26084 está en curso y se espera que se acelere. Por favor, conéctese inmediatamente si no lo ha hecho ya – esto no puede esperar hasta después del fin de semana”.

 

Es fácil ver por qué el USCYBERCOM estaba tan asustado. Según su sitio web , el software Confluence de Atlassian “ofrece a su equipo un lugar para crear, capturar y colaborar en cualquier proyecto o idea…., de modo que cada miembro del equipo tiene visibilidad del conocimiento institucional y acceso a la información que necesita para hacer su mejor trabajo”. Debido a su naturaleza abierta y colaborativa, un atacante que consiga penetrar en el espacio de trabajo colaborativo de Confluence de una organización podría fugarse con una cantidad masiva de información empresarial privada, así como lanzar ataques posteriores a la cadena de suministro contra clientes y proveedores. Y al sumarse a otros ataques a la cadena de suministro de software, como los de Solar Winds, Codecov y Kaseya, sería claramente conveniente que los proveedores de software desplegaran de forma proactiva soluciones que puedan evitar la manipulación del código y proteger la integridad del ciclo de vida del desarrollo de software, especialmente en esta nueva era de integración continua/despliegue continuo (CI/CD).

 

Por suerte para los desarrolladores, cada vez hay más empresas de ciberseguridad que se centran específicamente en proteger la seguridad del código de los desarrolladores. Y no es de extrañar que muchas de estas empresas sean israelíes:

 

WhiteSource Software https://www.whitesourcesoftware.com/ WhiteSource ofrece una solución integral para proteger la seguridad de los paquetes de software de código abierto.. Se integra en los entornos de desarrollo y en el proceso de DevOps para detectar en tiempo real las bibliotecas de código abierto con problemas de seguridad o de conformidad.

WhiteSource también proporciona rutas de corrección procesables y validadas para permitir una resolución rápida y la aplicación de políticas automatizadas para acelerar el tiempo de corrección. WhiteSource es compatible con más de 200 lenguajes de programación y realiza un seguimiento continuo de múltiples bases de datos de vulnerabilidad de código abierto, como la base de datos nacional de vulnerabilidad de EE.UU., los avisos de seguridad, las bases de conocimiento de vulnerabilidad revisadas por expertos y los rastreadores de problemas de proyectos de código abierto.

 

Argon Security https://argon.io/ Argon proporciona una seguridad integral para las cadenas de suministro de software. Argon permite a los equipos de DevOps y de seguridad crear conductos de entrega de software a prueba de manipulaciones, desde la confirmación hasta el lanzamiento. La primera solución de seguridad de la empresa que sale al mercado ofrece visibilidad, seguridad e integridad a los canales CI/CD, garantizando una mayor confianza en las publicaciones de software.

 

Spectral https://spectralops.io/ Spectral ofrece una plataforma de seguridad de código automatizada para empresas y desarrolladores. El enfoque de Spectral, que da prioridad a los desarrolladores, permite asegurar el software y distribuirlo libremente en cualquier plataforma mediante la detección y mitigación en tiempo real de los fallos de seguridad que pueden provocar violaciones masivas de datos y problemas de continuidad de la actividad.

 

Dustico https://dusti.co/ Demostrando la creciente importancia de la protección de las cadenas de suministro de software, Dustico -a pesar de llevar apenas unos meses fuera de la clandestinidad- acaba de ser adquirida por la empresa cibernética israelí Checkmarx. Dustico ofrece una plataforma de análisis dinámico del código fuente para prevenir los ataques a la cadena de suministro de software de código abierto. Su caja de arena de código detecta el comportamiento malicioso en los cambios de código (combinando el análisis estático y dinámico), ayudando a prevenir el código malicioso no deseado y los paquetes de código abierto antes de que el código se despliegue en la producción.

 

Cycode https://cycode.com/ Cycode utiliza su motor Source Path Intelligence, pendiente de patente, para proporcionar a los equipos de seguridad de TI visibilidad en todos sus sistemas de gestión de código fuente locales y basados en la nube, detectando y respondiendo automáticamente a las anomalías en el acceso, movimiento y manipulación del código fuente. Cycode permite a los usuarios responder rápida y eficazmente a las amenazas a medida que se materializan, implementando nuevos controles de seguridad y ajustando los existentes.