Buscar

Software Supply Chain Security

Proteja la cadena de suministro de software con una visibilidad completa y aplicación de políticas en todos los componentes de software y ciclos de entrega.
Solicitar una prueba gratuita

El desarrollo nativo en la nube recurre a las cadenas de suministro de software para aumentar la productividad de los desarrolladores y acortar el tiempo medio de comercialización de las nuevas funciones. Pero las cadenas de suministro de software conllevan sus propios riesgos y complejidades, ya que incorporan software y herramientas de terceros en los flujos de trabajo de los desarrolladores. Los equipos de seguridad deben, por tanto, configurar barreras de protección de forma proactiva para blindar las cadenas de suministro de software frente a las amenazas sin perder agilidad.

Lea el último informe de Unit 42 sobre los riesgos que afectan a la cadena de suministro de software.

Descargar el informe
1

Los componentes de terceros poco seguros son una de las primeras causas de ataque

Los componentes de código abierto de terceros, como las plantillas de infraestructura como código (IaC, por sus siglas en inglés), los paquetes y las imágenes de contenedor, ayudan a mejorar la productividad de los desarrolladores de manera drástica, pero son propensos a las vulnerabilidades e inseguros por naturaleza.

La falta de visibilidad continua y proactiva de las vulnerabilidades y los errores de configuración lleva a los desarrolladores a utilizar componentes poco seguros en sus aplicaciones, lo que genera alertas innecesarias y debilidades en tiempo de ejecución de las que los atacantes pueden aprovecharse para atacar a la cadena de suministro de software.
2

Los ciclos débiles son una puerta abierta para los atacantes

Los repositorios de los sistemas de control de versiones y ciclos de integración y entrega continuas (VCS y CI/CD, respectivamente, por sus siglas en inglés) permiten a los equipos nativos en la nube maximizar la velocidad a la que publican sus versiones. Pero las configuraciones de VCS y los flujos de trabajo de CI/CD son permisivos por naturaleza y carecen de mecanismos de protección frente al envío imprudente de código, la inyección de código o los ataques por envenenamiento. Las configuraciones débiles pueden permitir a los atacantes acceder a código privado y sistemas críticos. Con un acceso privilegiado, los atacantes pueden filtrar datos, inyectar código malicioso o utilizar otros componentes de software débiles para desplazarse por los sistemas.

Sin una cobertura de la cadena de suministro automatizada, a las organizaciones les resulta difícil asegurarse de que todos los repositorios, registros y ciclos estén blindados.
3

Mantener el control de todos los activos del código a la nube es todo un reto

Entre que las cadenas de suministro de software nativas en la nube cambian constantemente y que sus sistemas están interconectados, es de lo más complicado mantener una visibilidad completa. Las soluciones puntuales no proporcionan la cobertura del código a la nube necesaria para llevar un control de los recursos, los paquetes, las vulnerabilidades y los errores de configuración en todo el ciclo de vida de desarrollo.

Sin una cobertura contextualizada para todas las soluciones nativas en la nube y el ciclo de vida de desarrollo, es difícil priorizar los problemas de seguridad en función de la exposición y el riesgo real.

Proteja los componentes de terceros y los ciclos de entrega

Prisma Cloud no solo brinda a las organizaciones visibilidad de todos los componentes de sus cadenas de suministro de software —desde el código hasta los recursos pasando por los ciclos de entrega—, sino también la capacidad de aplicar una configuración segura en todo momento. Además, utiliza fuentes de datos de confianza líderes del sector junto con integraciones de desarrollo nativas para facilitar la gestión y mitigación de todos los riesgos que conllevan las cadenas de suministro de terceros:
  • Visualización de los riesgos que afectan a los componentes de software y ciclos de entrega.
  • Integración con las herramientas y los flujos de trabajo de los desarrolladores.
  • Los mejores motores de búsqueda de vulnerabilidades y errores de configuración.
  • Inventario y visualización del código
    Inventario y visualización del código
  • Análisis de secretos
    Análisis de secretos
  • Análisis de registros
    Análisis de registros
  • Aplicación de imágenes de confianza
    Aplicación de imágenes de confianza
  • Seguridad de los flujos de CI/CD
    Seguridad de los flujos de CI/CD
  • Adaptación de los sistemas de IAM automatizados
    Adaptación de los sistemas de IAM automatizados
LA SOLUCIÓN PRISMA CLOUD

Nuestra forma de proteger la cadena de suministro

Cobertura y visualización consolidadas de la cadena de suministro

Con Supply Chain Graph de Prisma Cloud, las organizaciones pueden visualizar cada uno de los componentes de su cadena de suministro y conocer todos los riesgos asociados. Supply Chain Graph de Prisma Cloud reúne un inventario de todos los componentes de ciclos y código de la organización en una sola visualización —mejorada con una superposición de datos de la estrategia de seguridad— para ofrecer una representación visual completa de las dependencias de los activos de sus aplicaciones e infraestructura. Con esta información, las organizaciones pueden priorizar los riesgos en toda su cadena de suministro e implementar recursos de forma más eficiente para resolver los problemas más susceptibles de ser explotados.

  • Visibilidad y catalogación de la cadena de suministro de software

    Supply Chain Graph ofrece un inventario consolidado de los ciclos de entrega y los componentes de software de una organización. Al visualizar todas las conexiones, obtiene la visibilidad que necesita de la superficie de ataque de su cadena de suministro. Las organizaciones pueden tomar medidas basadas en esos resultados, como ejecutar la función de Prisma Cloud que permite corregir varios problemas en bloque con una única petición de validación. Esta función les permite crear una sola petición de validación que aplicará una corrección automatizada a muchas infracciones a la vez.

  • Análisis de composición de software (SCA) contextualizado

    Prisma Cloud permite analizar paquetes de código abierto con análisis ilimitados de árboles de dependencias y correcciones selectivas con el cambio de número de versión. SCA de Prisma Cloud, gracias a la superposición de las detecciones de vulnerabilidades con los errores de configuración en la infraestructura y a su integración con las herramientas de desarrollo, permite a los desarrolladores priorizar y corregir los riesgos asociados con el código abierto más rápidamente.

  • Seguridad de la infraestructura IaC líder en el sector

    Checkov, el motor de política como código de código abierto más robusto del mercado, dota a Prisma Cloud de miles de políticas para ayudar a aplicar prácticas recomendadas de seguridad en la nube de forma proactiva. Prisma Cloud identifica los problemas de seguridad en la nube al principio del proceso de desarrollo y proporciona correcciones de código para garantizar que solo se implemente código de infraestructura seguro.

Más información
Cobertura y visualización consolidadas de la cadena de suministro

Repositorios y registros seguros

Las bases de código nativas en la nube son cada vez más complejas y, para almacenar y gestionar su código, así como para llevar un control de las versiones, las organizaciones necesitan echar mano de sistemas de terceros. Los sistemas de control de versiones (VCS), como GitHub, GitLab o Bitbucket, deben ofrecer la posibilidad de gestionar el código y, dado que contienen código privado y sistemas críticos, resulta esencial que también sean seguros. Por su parte, los registros de imágenes como DockerHub son imprescindibles para almacenar y permitir el acceso rápido a las imágenes de contenedor; sin embargo, sin los mecanismos de protección adecuados, también pueden introducir vulnerabilidades o imágenes maliciosas. Prisma Cloud está equipado con políticas para valorar en todo momento los ajustes de organización del VCS para mantenerlos actualizados con las prácticas recomendadas de seguridad de acuerdo con los niveles de cadena de suministro para artefactos de software (SLSA, por sus siglas en inglés) y las directrices del CIS.

  • Análisis automatizado de los ajustes de organización del VCS

    Cuando no vamos muy sobrados de tiempo, es fácil pasar por alto los ajustes de organización del VCS y dar por hecho que todas las contribuciones de código serán seguras. Prisma Cloud está equipado con políticas para garantizar que las prácticas recomendadas en materia de VCS, como el inicio de sesión único y la autenticación de dos factores (SSO y 2FA, respectivamente, por sus siglas en inglés), se aplican correctamente para prevenir que un tercero se haga con el control de nuestras cuentas.

  • Análisis de los ajustes de repositorio del VCS

    Para mejorar aún más la seguridad de los VCS, Prisma Cloud también ayuda a los equipos a aplicar reglas de protección de las sucursales fácilmente para prevenir la inyección de código malicioso y demás actividad no autorizada o sospechosa. Con políticas que analizan constantemente los ajustes de los repositorios de VCS y mantienen las reglas de protección de las sucursales, los equipos pueden estar tranquilos de que sus repositorios estarán a salvo y de que solo podrá fusionarse código debidamente revisado.

  • Seguridad de los registros ininterrumpida e imágenes fiables

    Los registros de contenedor simplifican el almacenamiento y la entrega de imágenes de contenedor, pero plantean unos problemas de seguridad propios que los equipos nativos en la nube deben tener en cuenta para evitar el envenenamiento de imágenes o la implementación de imágenes poco seguras. Prisma Cloud analiza y supervisa constantemente los registros de contenedor, y bloquea la implementación de imágenes vulnerables o que no sean fiables mientras permite a los equipos definir reglas de implementación selectivas que hagan saltar las alarmas si se detectan vulnerabilidades o problemas de cumplimiento normativo.

Repositorios y registros seguros

Ciclos de CI/CD seguros

Los ciclos de CI/CD son muy importantes para que los equipos nativos en la nube puedan trabajar a buen ritmo. Pero estos ciclos son poco seguros por naturaleza y los atacantes suelen aprovecharse de sus debilidades para instigar ataques a la cadena de suministro. La biblioteca de políticas de Prisma Cloud incluye prácticas recomendadas en materia de CI/CD para que las organizaciones puedan valorar la seguridad de los ciclos en todo momento a través de la automatización.

  • Establezca barreras para impedir la inyección de código y el envenenamiento

    Con las políticas de CI/CD listas para usar de Prisma Cloud, las organizaciones pueden automatizar la creación y aplicación de barreras de seguridad para, por ejemplo, bloquear el uso de comandos no seguros o de funciones beta.

  • Localización y eliminación de secretos codificados de forma rígida

    Aunque lo ideal sería no hacerlo, a los equipos a veces no les queda más remedio que codificar secretos de forma rígida en plantillas de IaC o archivos de configuración de CI/CD. Con el análisis de secretos de Prisma Cloud, las organizaciones pueden identificar los secretos codificados de forma rígida rápidamente y evitar su exposición pública.

  • Aplique el principio del mínimo privilegio automáticamente

    Prisma Cloud permite adaptar los sistemas de IAM automatizados mediante el uso de políticas como código. Gracias a que analiza y audita las políticas de IAM continuamente, Prisma Cloud elimina los permisos sin usar y ajusta el acceso a entornos host de CI/CD excesivamente permisivos. Prisma Cloud también permite a los equipos validar e implementar código seguro de manera automática para reducir la probabilidad de que se produzcan errores humanos.

Más información
Ciclos de CI/CD seguros

Creación de listas de materiales de software (SBOM) consolidadas

Una lista de materiales de software (SBOM por sus siglas en inglés) es un inventario completo de los componentes de software de una organización y todos los problemas de seguridad asociados. Pero la exhaustividad de una SBOM depende de los datos que se le suministran y, cuando se utilizan soluciones independientes sueltas, conseguir esa exhaustividad pasa por desduplicar y consolidar sus datos de forma manual. Prisma Cloud simplifica el proceso de generación de listas SBOM para las aplicaciones nativas en la nube con una sola SBOM para todos los componentes de las aplicaciones y la infraestructura, lo que permite a las organizaciones compartir información sobre inventarios y riesgos fácilmente con clientes internos y externos.

  • Exportaciones consolidadas y flexibles

    Una lista SBOM completa incluye todos los recursos de IaC, paquetes de código abierto, componentes de imágenes, vulnerabilidades conocidas, errores de configuración y licencias de código abierto. Prisma Cloud exporta las listas SBOM en formatos de informe estandarizados, como CSV y CycloneDX.

  • Cumpla los requisitos de su proveedor de SBOM

    Cada vez son más los clientes finales —entre ellos, la administración pública estadounidense— que resuelven muchas de sus preocupaciones con las listas SBOM. Las SBOM se utilizan, principalmente, para saber cuál es la responsabilidad de cada proveedor en procesos de aprovisionamiento y asegurarse de que el riesgo atribuido a cada uno de ellos quede reflejado en las evaluaciones de riesgo periódicas que realiza una organización.

  • Mantenga un inventario de software fiable y preciso

    Comparar las listas SBOM generadas antes y después de la implementación permite a las organizaciones detectar y contrarrestar la manipulación de la información almacenada en la SBOM con el fin de mantener su validez y fiabilidad.

Consolidated software bill of materials (SBOM) generation

Módulos de seguridad del código

INFRASTRUCTURE AS CODE SECURITY

Seguridad de la infraestructura IaC automatizada e integrada en los flujos de trabajo de desarrollo

Más información

SOFTWARE COMPOSITION ANALYSIS (SCA)

Funciones que tienen en cuenta el contexto para garantizar la seguridad del código abierto y el cumplimiento normativo de las licencias

Más información

SOFTWARE SUPPLY CHAIN SECURITY

Protección integral de los componentes y ciclos de software

Más información

SECRETS SECURITY

Análisis de secretos multidimensional de toda la solución en cualquier repositorio y ciclo

Más información
Recursos destacados

Descubra todo lo que puede hacer Prisma Cloud por su empresa

Ver todos los recursos
INFORME TÉCNICO

Seguridad de la cadena de suministro de software: lista de comprobación

Descargar
SEMINARIO WEB A PETICIÓN

Ataques a la cadena de suministro: cómo funcionan y cómo detenerlos

Ver ahora
BLOG

Anatomía de un ataque a un ciclo de suministro en la nube

Leer el blog
INFORME DE INVESTIGACIÓN

Informe sobre amenazas en la nube de Unit 42, volumen 5: Proteger la nube pasa por proteger la cadena de suministro de software

Leer el informe
DATASHEET

Seguridad del código

Descargar la ficha técnica

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas

Empresa

Avisos legales

Cuenta

Copyright © 2024 Palo Alto Networks. Todos los derechos reservados.