Sicurezza nella supply chain ICT: misure di protezione per minimizzare i rischi - Cyber Security 360

TECNOLOGIA E SICUREZZA

Sicurezza nella supply chain ICT: misure di protezione per minimizzare i rischi

Una via praticabile per il miglioramento del controllo degli aspetti di sicurezza nella supply chain ICT consiste nel definire e poi verificare l’adozione di requisiti di sicurezza adeguati attraverso l’intero ciclo di vita dell’acquisizione e uso di servizi e applicazioni. Ecco un possibile approccio

24 Mag 2021
O
Roberto Obialero

Cybersecurity & Data Protection Advisor

In uno scenario di miglioramento del controllo degli aspetti di sicurezza nella supply chain ICT, uno dei possibili approcci dovrebbe essere focalizzato sull’esigenza di definire, e poi verificare, l’adozione di requisiti di sicurezza adeguati attraverso l’intero ciclo di vita dell’acquisizione e utilizzo di servizi e applicazioni ICT, con l’obiettivo di instaurare un rapporto di partnership nei confronti dei fornitori in modo da condividere obiettivi e successi.

Trend di esternalizzazione e modelli di outsourcing

Nel corso degli ultimi venti anni si è assistito al graduale spostamento della responsabilità di esecuzione delle attività concernenti la gestione operativa ICT dalle organizzazioni verso servizi esternalizzati; questo fenomeno è sostanzialmente riconducibile ai seguenti fattori:

  • difficoltà nel reperimento sul mercato del lavoro di competenze adeguate, da mantenere sempre aggiornate possibilmente a costi ragionevoli;
  • specializzazione e globalizzazione dell’offerta, con player in grado di offrire livelli di servizio adeguati a tutte le esigenze;
  • disponibilità di servizi offerti in modalità cloud in grado di offrire una migrazione delle risorse elaborative in tempi rapidi con buone capacità associate ad offerte competitive;
  • aspettative degli utenti legate alla fruizione di applicazioni da qualunque luogo ed in qualunque orario;
  • scelta delle organizzazioni di concentrarsi sul core business delegando servizi specialistici a partner esterni dedicandosi prevalentemente ad un ruolo di governance.

Il panorama dei servizi ICT erogati per l’organizzazione da una o più terze parti può essere così articolato:

  • outsourcing di servizi sistemistici e manutenzione applicativa erogato sia in modalità on premise che da remoto;
  • esternalizzazione della fornitura di servizi applicativi generalmente tramite modello di servizio cloud, che può arrivare sino alla delega nella gestione di alcune attività strategiche ed operative quali il servizio Security Operations Center (SOC) o il Customer Relationship Management (CRM);
  • adozione di software modulare, in cui alcune componenti specifiche tra cui le librerie, possono essere realizzate da terze parti, ad esempio nel caso dei prodotti software open source.

La penetrazione nel mercato ICT delle attività in outsourcing è in costante aumento trainata in particolar modo dalla crescita dei numeri relativi all’offerta di servizi erogati nelle varie accezioni del paradigma cloud.

Sicurezza nella supply chain ICT: incidenti di sicurezza

Nel corso dell’anno 2020 sono stati registrati parecchi incidenti di sicurezza che hanno coinvolto la catena di fornitura (la supply chain ICT); nella tabella seguente sono sintetizzati i casi principali che hanno ottenuto la rilevanza dei media:

Ambito

Categoria

Data

Incidente

Descrizione

Processo di sviluppo e distribuzione del software

Attacco con compromissione dell’integrità

17/4/2020

Caricate librerie dannose nel repository RubyGems

Un gruppo di hacker ha caricato file dannosi nel sistema di gestore pacchetti software RubyGems. Tali file hanno nomi con uno o due caratteri diversi dai file legittimi. Nel caso di download di librerie dannose, il software che verrà compilato includerà del malware funzionale a rubare bitcoin.

Attacco con compromissione dell’integrità

28/5/2020

Attacco alla catena di fornitura software open source: infettati 26 progetti ospitati da GitHub tramite Il Malware Scanner Octopus

All’inizio di marzo 2020, l’Incident Response Team di GitHub ha appreso che alcuni repository allocati in progetti open source erano stati infettati da malware noto come Octopus Scanner. Il malware è una backdoor creata per infettare i progetti NetBeans. Un rapporto GitHub descrive l’attacco dalle fasi di rilevamento sino alla neutralizzazione.

Vulnerabilità dei componenti software CMS

3/8/2020

Aggiornamento disponibile per risolvere i difetti del plugin newsletter di WordPress

Sono stati rilevati difetti nel plug-in Newsletter per WordPress che possono essere sfruttati per stabilire backdoor, creare account amministrativi e probabilmente assumere il controllo di siti vulnerabili. Gli sviluppatori del plugin hanno rilasciato una versione aggiornata, Newsletter 6.8.3, che risolve la vulnerabilità.

Funzionalità illecite su componenti di terze parti

7/8/2020

Più di 80 milioni di installazioni di estensioni dannose di Google Chrome

Sono state trovate disponibili nel Google Chrome Web Store quasi 300 estensioni dannose del browser. Le estensioni includono utility fasulle e programmi ad blocker che inseriscono annunci nei risultati di ricerca o sfruttano cookie stuffing. Google ha rimosso le estensioni dopo la pubblicazione di un post sul blog di AdGuard. Le estensioni in questione sono state scaricate 80 milioni di volte

Sfruttamento di exploit dovuti a componenti software CMS

1/9/2020

Possibilità di sfruttare la vulnerabilità del plugin di WordPress File Manager

Gli sviluppatori del plug-in File Manager per WordPress hanno rilasciato una versione aggiornata per risolvere una vulnerabilità che interessa le versioni di File Manager dalla 6.0 alla 6.8. Gli utenti sono stati invitati ad aggiornare il plug-in alla versione 6.9. Il difetto potrebbe essere sfruttato per consentire agli utenti non autenticati di eseguire comandi e caricare file dannosi su un sito di destinazione. Il plug-in File Manager può contare più di 700.000 installazioni.

Servizi ICT gestiti

Attacco ransomware

10/1/2020

L’aeroporto di Albany, New York è stato colpito da un ransomware diffuso tramite il fornitore di servizi ICT

I server di gestione dell’aeroporto internazionale di Albany (New York) sono stati colpiti da un attacco ransomware nel dicembre 2019. Il malware è stato veicolato tramite la rete dell provider di servizi gestiti (MSP) che ha infettato i server di backup dell’aeroporto. La società di gestione dell’aeroporto ha chiuso la relazione con il fornitore, confermando di aver pagato un riscatto non precisato per riottenere l’accesso ai suoi dati.

Attacco ransomware

3/6/2020

La banda che opera sul Ransomware DoppelPaymer ha confermato di aver colpito un appaltatore della NASA

Gli operatori del ransomware DoppelPaymer affermano di aver infettato la rete di DMI, un’azienda di servizi IT e di sicurezza informatica gestiti. I clienti DMI includono aziende incluse nell’elenco Fortune 100 e agenzie governative. Pare che gli attaccanti abbiano ottenuto file riservati relativi al cliente NASA attraverso la rete di DMI e ne hanno pubblicati alcuni su un portale dark web.

Attacco ransomware

26/9/2020

Tyler Technologies: un attacco ransomware colpisce enti pubblici statali e locali

Una società che fornisce servizi IT ai governi statali e locali degli Stati Uniti ha confermato un incidente informatico qualificato come attacco ransomware. Alcuni clienti di Tyler Technologies hanno segnalato di aver rilevato accessi sospetti. La società sta sollecitando i propri clienti a modificare le proprie password per gli account di accesso remoto.

Attacco ransomware

17/11/2020

Managed.com colpita da un attacco Ransomware

Il provider di servizi hosting Managed.com è stato colpito da un attacco ransomware iniziato all’inizio di questa settimana. La società ha disattivato tutti i suoi server per far fronte all’incidente. L’attacco ha colpito i sistemi di hosting pubblico; i siti di alcuni clienti sono stati crittografati.

Data Breach

27/7/2020

I dati dei clienti SEI sono stati compromessi in seguito ad un attacco ransomware verso il fornitore

Un attacco ransomware alla rete di M.J. Brunner, un fornitore di servizi applicativi, ha esposto i dati appartenenti ai clienti di uno dei suoi clienti, SEI Investments. Gli attaccanti hanno rubato file contenenti nomi utente, e-mail e altre informazioni personali associate al prodotto software sviluppato e supportato da Brunner per SEI Investments. Il fornitore si è rifiutato di pagare il riscatto richiesto e la banda operatrice del malware ha in seguito pubblicato i dati rubati online.

Catena di fornitura produttiva e servizi generali

Attacco ransomware

2/1/2020

Un attacco ransomware ha costretto il distretto scolastico a ritardare la data di inizio delle lezioni

Un attacco ransomware ha costretto le scuole Richmond Community nel Michigan a ritardare la riapertura dopo le vacanze. Il malware, che ha colpito i sistemi IT del distretto il 27 dicembre, sembra essersi diffuso nei sistemi scolastici attraverso una connessione di rete con il fornitore di servizi di assistenza del riscaldamento e della ventilazione (HVAC) del distretto scolastico. L’attacco ha colpito numerosi sistemi delle scuole, inclusi il sistema di riscaldamento, i telefoni e la gli impianti tecnologici nelle aule. Il personale IT ha ripristinato i sistemi dal server di backup. Il distretto avrebbe dovuto riaprire il 2 gennaio 2020, ma la data di inizio delle lezioni è stata posticipata al 6 gennaio.

Attacco ransomware

3/6/2020

Il Ransomware Maze colpisce il subappaltatore militare statunitense Westech

Gli operatori del ransomware Maze hanno colpito Westech, un subappaltatore della difesa statunitense coinvolto nella manutenzione del programma missilistico nucleare statunitense Minuteman III. Sembra che gli hacker abbiano rubato dati sensibili sui missili nucleari dalla rete Westech e abbiano iniziato a diffondere i file online.

Attacco ransomware

9/11/2020

Il produttore di laptop Compal colpito da un attacco ransomware

Compal, una società che produce laptop per Apple, Acer, Dell, HP e altre società, è stata colpita da un attacco ransomware durante il fine settimana. Compal ha rilevato l’incidente domenica 8 novembre. Secondo una dichiarazione dell’azienda, l’incidente ha interessato la rete interna degli uffici ma non la rete di produzione.

Attacco ransomware

7/12/2020

Foxconn conferma di aver subito un attacco ransomware

Il produttore di dispositivi elettronici Foxconn ha confermato che la rete di un suo impianto produttivo in Messico è stata colpita da ransomware alla fine di novembre. E’ stato registrato anche un furto di informazioni.

Sicurezza nella supply chain ICT: l’attacco a SolarWinds

Quale diretta conseguenza delle indagini condotte da FireEye, primaria compagnia americana fornitrice di soluzioni di sicurezza e servizi di incident response, colpita da un attacco informatico nella settimana precedente è stato reso pubblico Il 13 dicembre 2020 un attacco con impatti potenzialmente devastanti nei confronti di SolarWinds, altra società americana fornitrice della piattaforma di gestione di rete Orion e dei servizi associati.

La situazione che si è determinata è da ritenersi veramente preoccupante in quanto la base installata dei servizi e prodotti SolarWinds è costituita da circa 300.000 clienti di dimensioni molto rilevanti operativi su un perimetro mondiale sia in ambito governativo che privato quali:

  • dipartimenti americani del Tesoro, del Commercio, di Stato, della Sicurezza Nazionale, dell’Energia Nucleare;
  • ministeri della Difesa e degli Interni, ospedali gestiti dal Sistema Sanitario Nazionale inglese;
  • aziende del calibro di Microsoft, Intel, Cisco, Mimecast, VMware, Palo Alto, FireEye.

Dalle prime indagini sembra che l’offensiva sia stata portata a termine utilizzando tecniche molto sofisticate, quindi probabilmente riconducibili ad azioni adeguatamente finanziate da governi esteri, e si sia avvalsa di vettori di attacco diversi che sono riusciti nell’obiettivo di sostituire sul sito Internet preposto all’aggiornamento dei programmi l’immagine software da scaricare con una versione compromessa contenente una backdoor; secondo le prime analisi è stato possibile risalire al mese di marzo 2020 come data iniziale delle operazioni che hanno portato alla compromissione.

L’aggiornamento reso disponibile è stato configurato in modo da prevedere un tempo di inattività del malware onde evaderne il rilevamento; le indagini hanno poi rivelato che dei circa 30.000 clienti attivi SolarWinds pare che circa 18.000 lo abbiano scaricato.

Sono poi emersi altri particolari che potrebbero avere particolare rilevanza in quanto potenzialmente riconducibili ad un episodio di insider trading: sembra che nelle settimane precedenti l’annuncio dell’attacco due grossi investitori, che detenevano circa il 70% del pacchetto azionario, abbiano venduto una quota importante della loro partecipazione evitando una perdita di valore azionario che, a fronte delle ripercussioni negative dell’incidente, ha fatto registrare una diminuzione di circa il 20%.

Attacco agli USA, i dettagli del breach SolarWinds: gli impatti, anche per l’Italia, e le misure di mitigazione

Analisi di cause ed impatti degli incidenti

Le cause degli incidenti sin qui citati si possono pertanto ricondurre alle seguenti considerazioni:

  • diversi casi, tra cui quello con gli impatti potenziali maggiori, ripropongono il tema della salvaguardia dell’integrità dei componenti software, cui vengono aggiunti dei componenti malevoli che vengono poi resi inconsapevolmente disponibili ai clienti;
  • alcune situazioni sono riferibili alla presenza di componenti software e plugin prodotti da terze parti, non adeguatamente verificati dal punto di vista della sicurezza, che possono introdurre vulnerabilità applicative facilmente sfruttabili;
  • diversi fornitori di servizi di gestione delle infrastrutture ICT sono stati oggetto di attacchi ransomware portati a compimento che hanno in seguito contribuito a diffondere l’infezione malevola nelle reti dei clienti fino a generare episodi riconducibili a data breach.

Per quanto concerne gli impatti degli incidenti si possono segnalare:

  • necessità di rimuovere il software malevolo, operazione complicata dal fatto che è installato su milioni di istanze;
  • bisogno di reinstallare i server partendo dalle copie di backup, conseguenza tipica degli attacchi di natura ransomware;
  • esigenza di modificare le credenziali di autenticazione;
  • divulgazione di informazioni riservate;
  • perdita di reputazione, e conseguente valore azionario, per le società più note.

Approccio suggerito per la minimizzazione dei rischi

Onde evitare le ripercussioni negative di simili episodi si rende necessario affrontare in modo coordinato, insieme agli attori coinvolti nel processo di procurement, il tema della sicurezza sin dalla condivisione delle specifiche di un prodotto o di un servizio; questa prassi aiuterà l’organizzazione a capire se il fornitore sia in grado di garantire una serie di interventi coerenti al principio security by design.

È opportuno formalizzare i requisiti di sicurezza tramite la condivisione preventiva di checklist, possibilmente sostenibili dal fornitore e mirate in funzione del grado di sicurezza desiderato; nei contratti di fornitura dovranno essere inserite delle clausole dettate dall’organizzazione contenenti istruzioni precise; questo consentirà un’adeguata attribuzione delle responsabilità in caso di accertata negligenza, oppure di carente applicazione delle misure di protezione.

Dev’essere assicurato il diritto di audit in modo da poter verificare preventivamente la sicurezza di un programma software (in modo da assegnare la responsabilità della rimozione di eventuali vulnerabilità al fornitore) oppure la possibilità di verificare tramite test periodici le misure di sicurezza adottate durante le fasi del ciclo di erogazione di un servizio.

E’ inoltre di fondamentale importanza accertarsi preventivamente che tali previsioni possano essere estese all’intera catena in caso di subfornitura.

Sicurezza nella supply chain: misure di protezione

Facendo poi riferimento agli specifici incidenti segnalati si ritiene opportuno suggerire l’introduzione di meccanismi adeguati a protezione dell’integrità del software, quali ad esempio soluzioni HIPS (Host based Intrusion Prevention System) con associate funzionalità di file integrity monitoring unite a sistemi di monitoraggio accurato degli accessi logici e logging delle attività svolte sui sistemi ad alto grado di criticità.

È naturalmente fondamentale l’adozione delle best practice in tema di sviluppo sicuro lungo tutto il ciclo di vita di creazione ed utilizzo del software accompagnata ad un processo adeguato di gestione delle vulnerabilità.

Per quanto concerne la mitigazione del rischio legato alle attività di gestione dell’infrastruttura aziendale occorre prima di tutto verificare una adeguata gestione delle identità e dei profili autorizzativi associati, gli accessi strettamente nominali, il logging delle attività svolte dagli operatori che vanno svolte esclusivamente tramite dispositivi “trusted” la cui configurazione di sicurezza (antimalware, aggiornamenti ecc.) venga verificata in modo continuo.

Conclusioni e auspici

Il tema della sicurezza della supply chain è stato sinora abbastanza trascurato, probabilmente perché richiede un certo dispendio di energie ed un buon livello di competenza da parte dei soggetti coinvolti che, in caso di mancanza di risorse, sono costretti ad affidarsi alle conoscenze ed all’esperienza dei fornitori.

L’adozione degli interventi descritti, una volta verificata una buona cooperazione tra cliente e fornitore, potrebbe trasformarsi in una partnership virtuosa in grado di assicurare reciproche soddisfazioni limitando i rischi associati e migliorando allo stesso tempo il livello di maturità del processo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5