La crescente minaccia degli attacchi alla catena di fornitura del software
Gli attacchi alla catena di fornitura del software sono rapidamente emersi come una delle minacce alla sicurezza informatica più insidiose che le organizzazioni devono affrontare oggi. Man mano che fornitori di software, fornitori di cloud, appaltatori e altre terze parti diventano sempre più interconnessi, le vulnerabilità introdotte ovunque lungo la catena di fornitura digitale di un'organizzazione possono avere impatti a cascata a valle.
I recenti attacchi di alto profilo alla catena di approvvigionamento come SolarWinds e Log4j hanno messo in risalto questi rischi. Chiaramente, le pratiche tradizionali di sicurezza informatica non sono più sufficienti a proteggere le organizzazioni nell'odierno ecosistema aziendale complesso e iperconnesso. Sono necessarie nuove strategie e tecnologie proattive per anticipare i rischi della catena di fornitura del software prima che si trasformino in crisi conclamate.
Questo articolo fornisce ai leader della sicurezza informatica e ai decisori tecnologici una panoramica completa del panorama degli attacchi alla catena di fornitura del software. Definisce cosa sono gli attacchi alla catena di fornitura, fornisce esempi reali, esplora gli impatti aziendali e offre raccomandazioni attuabili per identificare e mitigare le vulnerabilità della catena di fornitura su larga scala.
Cosa sono esattamente gli attacchi alla catena di fornitura del software?
Prima di esplorare le strategie difensive, è importante stabilire un livello su ciò che costituisce esattamente un attacco alla catena di fornitura del software.
Una catena di fornitura del software comprende tutti i fornitori esterni, le librerie open source, le applicazioni Software-as-a-Service (SaaS), i fornitori di infrastrutture e altre terze parti che creano e forniscono la tecnologia su cui si basa un'organizzazione. La catena di fornitura consente alle organizzazioni di assemblare in modo efficiente le migliori soluzioni senza dover creare tutto internamente.
Tuttavia, questa interconnessione introduce anche rischi per la sicurezza. Le vulnerabilità lungo tutta la catena di fornitura, che si tratti del codice sorgente di un fornitore o dell'infrastruttura IT, possono essere potenzialmente sfruttate per compromettere i clienti a valle. Gli aggressori prendono sempre più di mira la catena di fornitura come punto di ingresso iniziale per penetrare organizzazioni altrimenti ben difese.
Gli attacchi alla catena di fornitura rientrano generalmente in tre categorie:
Attacchi all'infrastruttura
Questi attacchi prendono di mira l'infrastruttura IT alla base della distribuzione del software, ad esempio i sistemi di un provider di cloud o di un fornitore di software. I dati sensibili, le configurazioni, le chiavi o le credenziali archiviati su questa infrastruttura compromessa possono quindi essere intercettati e sfruttati per infiltrarsi negli ambienti dei clienti.
Gli attacchi SolarWinds e Codecov sono i primi esempi in cui codice dannoso è stato iniettato surrettiziamente negli aggiornamenti software distribuiti dagli ambienti di sviluppo dei fornitori. Microsoft attribuisce la campagna SolarWinds agli attori nazionali che hanno compromesso l'infrastruttura IT di un importante fornitore IT federale per accedere ai dati dei clienti.
Attacchi di dipendenza
Le applicazioni e i servizi si basano invariabilmente su librerie di codice e moduli provenienti da archivi pubblici come GitHub e da fornitori commerciali. Gli attacchi di dipendenza prendono di mira queste basi di codice condivise, iniettando malware che viene poi integrato in molti prodotti software finiti e trasmesso agli utenti.
Le vulnerabilità open source come Log4Shell, relative alla popolarissima libreria di registrazione Log4j, possono essere potenzialmente catastrofiche data l'onnipresente integrazione della libreria tra le applicazioni. Le dipendenze di Log4j esistono nei prodotti di quasi tutti i principali fornitori di software, il che espone milioni di utenti agli exploit.
Furto di credenziali
Molti attacchi alla catena di approvvigionamento mirano a rubare le credenziali, le chiavi e i certificati dei fornitori, consentendo agli aggressori di aggirare i controlli di sicurezza e mascherarsi da attori legittimi. Con queste chiavi di accesso al regno, gli aggressori possono infiltrarsi nei sistemi a valle, accedere a dati sensibili e spostarsi lateralmente tra ambienti connessi.
Il recente attacco al provider di servizi cloud Okta tramite un agente di supporto di terze parti ha comportato il furto di credenziali di questo tipo. Con una credenziale di amministratore di Okta, l'aggressore è stato in grado di aggirare i controlli di sicurezza dell'azienda e accedere a centinaia di reti di clienti a valle.
Attacchi reali alla catena di fornitura del software
Oltre a definire in astratto cosa comportano gli attacchi alla catena di approvvigionamento, è istruttivo esplorare esempi reali che illustrano la diversità e la complessità di queste minacce in azione.
Venti solari
Alla fine del 2020, gli attori delle minacce degli stati-nazione associati alla Russia hanno eseguito uno degli attacchi informatici alla catena di approvvigionamento più estesi e sofisticati della storia. Secondo le agenzie di sicurezza informatica negli Stati Uniti e nel Regno Unito, gli aggressori hanno prima violato l'infrastruttura IT di SolarWinds, un fornitore di software di monitoraggio della rete aziendale.
Gli aggressori hanno quindi sottoposto a trojan gli aggiornamenti software per il prodotto Orion di SolarWinds iniettando codice dannoso. Una volta scaricato dai clienti governativi e commerciali di SolarWinds, questo codice ha creato una backdoor invisibile ai sistemi dei clienti. Funzionari statunitensi hanno riferito che oltre 18.000 organizzazioni del settore pubblico e privato hanno installato gli aggiornamenti danneggiati di Orion.
Questo attacco iniziale alla catena di fornitura del software ha aperto la porta agli autori delle minacce per rubare dati e ottenere un accesso persistente a obiettivi di alto valore come il Tesoro degli Stati Uniti, il Dipartimento di Giustizia, il Dipartimento di Stato, il Dipartimento dell'Energia e componenti del Dipartimento della Difesa. La Casa Bianca lo ha definito «probabilmente di origine russa» e ha dichiarato che ci vorranno anni per valutare appieno e riprendersi dai danni.
Vulnerabilità Log4j
Nel dicembre 2021, una grave vulnerabilità nota come Log4Shell è stata scoperta in Log4j, un framework di registrazione Java open source estremamente popolare. Log4j è integrato in milioni di applicazioni aziendali di fornitori tra cui Apple, Amazon, IBM, Cisco, HP, Tesla e innumerevoli altri.
La vulnerabilità Log4j consente agli aggressori remoti non autenticati di scaricare codice Java dannoso, accessi e altro sui server vulnerabili. Ha richiesto l'applicazione urgente di patch praticamente in tutto il settore. Le principali interruzioni si sono verificate quando le organizzazioni si sono affrettate a identificare e aggiornare le istanze Log4j nelle loro vaste aree applicative e nelle catene di fornitura.
I criminali informatici si sono affrettati a utilizzare Log4j come arma per schemi di cryptojacking, creazione di botnet e campagne di ransomware. La vulnerabilità rimane oggetto di uno sfruttamento diffuso a livello globale. La società di dati sull'identità ForgeRock ha riferito che il 46% dei suoi clienti aziendali è stato preso di mira da tentativi di exploit Log4j solo nei primi cinque giorni.
Attacco Codecov
Nell'aprile 2021, Codecov, un servizio utilizzato per testare la copertura del codice delle applicazioni durante lo sviluppo del software, è stato violato da aggressori che hanno ottenuto l'accesso alla sua utilità Bash Uploader. Questo uploader è ampiamente utilizzato dagli oltre 29.000 clienti di Codecov per inviare codice da analizzare sulla piattaforma SaaS di Codecov.
Gli aggressori sono stati in grado di modificare lo script Bash Uploader e iniettare codice dannoso nelle build del software elaborate da Codecov, che sono state poi restituite ai clienti. Questi clienti a loro volta hanno integrato i codebase compromessi nelle proprie applicazioni e li hanno distribuiti in produzione.
L'attacco ha colpito centinaia di organizzazioni nei settori tecnologico, finanziario, assicurativo, sanitario e governativo. La sua ampia portata illustra i rischi sistemici delle pipeline di sviluppo interconnesse lungo la catena di fornitura del software.
Impatti aziendali di attacchi riusciti alla catena di fornitura
Gli attacchi alla catena di fornitura del software consentono agli avversari di eludere le tradizionali difese perimetrali di rete. Gli impatti aziendali in caso di successo di questi attacchi possono essere catastrofici su più livelli:
- Compromissione dei dati sensibili - L'accesso backdoor ai sistemi interni forniti dagli attacchi alla catena di approvvigionamento può portare a una diffusa compromissione di dati sensibili come proprietà intellettuale, informazioni sui clienti, registri finanziari, piani strategici e altro ancora.
- Interruzioni del sistema e interruzioni dell'attività - L'accesso ai sistemi operativi tramite canali di fornitori compromessi può consentire agli aggressori di interrompere direttamente i processi aziendali mission critical chiudendo le applicazioni di produzione, eliminando dati, interrompendo i servizi, ecc.
- Perdita della fiducia dei clienti - Gli incidenti di alto profilo nella catena di fornitura danneggiano la reputazione aziendale e possono far perdere ai clienti la fiducia nella sicurezza e nell'integrità dei prodotti e servizi interessati.
- Costi finanziari - Impatti come i tempi di inattività del sistema, il ripristino/riparazione dei dati, le responsabilità legali, i costi di notifica e il controllo dei danni alle pubbliche relazioni possono costare milioni. Il costo totale medio di una violazione della catena di fornitura è di oltre 6 milioni di dollari.
- Multe e sanzioni per la conformità - La mancata protezione dei dati sensibili dei clienti o dei sistemi che supportano le infrastrutture critiche può violare gli obblighi normativi, con conseguenti multe, azioni correttive obbligatorie e perdita delle licenze operative.
Quattro chiavi per proteggere la catena di fornitura del software
Date le implicazioni potenzialmente enormi, i leader della sicurezza informatica devono fare della gestione del rischio della catena di fornitura del software una priorità urgente. L'adozione di queste quattro best practice può contribuire a migliorare in modo significativo la resilienza:
1. Inventario di tutte le connessioni esterne
Non puoi proteggere ciò che non capisci. Il primo passo è ottenere la piena visibilità sui numerosi fornitori, appaltatori e componenti software che compongono i tuoi ecosistemi tecnologici. Cataloga tutte le connessioni esterne all'interno dell'azienda per comprendere le potenziali vie di compromissione a monte.
Guardate oltre i vostri fornitori di primo livello immediati, ma anche i loro partner e fornitori. Mappate queste relazioni interconnesse per identificare i nodi ad alto rischio che potrebbero esporre la rete più ampia.
2. Valuta il rischio intrinseco
Una volta stabilita la visibilità, sviluppa un profilo di rischio per ogni partner esterno. Valuta fattori come la sensibilità del loro accesso, la conformità ai controlli di sicurezza, gli incidenti di violazione passati, l'affidamento a tecnologie rischiose come Log4j, ecc.
Le entità a rischio più elevato richiedono un controllo aggiuntivo e requisiti di sicurezza più rigorosi. Rivaluta periodicamente i profili di rischio man mano che le partnership e le relazioni commerciali si evolvono.
3. Convalida i controlli di sicurezza
Non credete alla parola dei fornitori quando si tratta delle loro pratiche di sicurezza. Verifica che siano in atto controlli adeguati in modo dimostrabile chiedendo a terze parti di completare valutazioni di sicurezza standardizzate e richiedendo prove come il rapporto di conformità, la configurazione dell'infrastruttura e i risultati della scansione delle vulnerabilità.
4. Monitoraggio delle minacce emergenti
Le valutazioni puntuali forniscono solo una visione istantanea del rischio dei fornitori. Monitora continuamente la catena di fornitura del software per individuare nuove minacce e modifiche nei profili di rischio dei partner.
Utilizza strumenti che setacciano il dark web alla ricerca di credenziali rubate, scansionano i malware nelle dipendenze software e avvisano quando emergono vulnerabilità negli ambienti dei fornitori. Risolvi immediatamente qualsiasi scoperta critica con i partner.
Colmare il divario nella sicurezza della catena di fornitura del software
Poiché gli attacchi alla catena di fornitura del software proliferano in frequenza e impatto, le organizzazioni non possono più aggrapparsi a pratiche di sicurezza reattive. Poiché le funzioni aziendali critiche si affidano più che mai a terze parti, la superficie di attacco si è estesa ben oltre il tradizionale perimetro di rete.
Adottando un approccio basato sui dati e sull'intelligence, i leader della sicurezza informatica possono anticipare i rischi della catena di fornitura. Possono identificare in modo proattivo i punti di esposizione, convalidare la sicurezza dei fornitori, rilevare le minacce emergenti e imporre azioni correttive sulla superficie di attacco esterna con sufficiente anticipo per evitare che si verifichino compromessi.
Coloro che adottano questi approcci di nuova generazione saranno ben posizionati per proteggere le proprie organizzazioni dalla crescente minaccia degli attacchi alla catena di fornitura del software nel nostro mondo sempre più interconnesso. L'alternativa è attendere impotenti l'inevitabile notifica di violazione da parte di un fornitore compromesso, che porterà la vostra azienda sulle prime pagine delle notizie di domani. La scelta è chiara.
