News

Supply chain del software, quali rischi?

Il report Palo Alto Networks Cloud Threat Report H2 2021 sottolinea la difficoltà di rilevare i difetti della supply chain e i rischi rappresentati da software di terze parti

Pubblicato il 09 Nov 2021

supply chain software

Le minacce alla sicurezza della supply chain software nel cloud continuano a crescere, questo quel che emerge dal nuovo report di Palo Alto Networks Cloud Threat Report H2 2021 che sottolinea l’incremento dei rischi nello sviluppo software.

Per comprendere meglio come si verificano gli attacchi alla supply chain nel cloud, i ricercatori di Unit 42 hanno analizzato informazioni provenienti da una varietà di fonti di dati pubblici in tutto il mondo e, su richiesta di un grande provider SaaS, eseguito una simulazione red team contro l’ambiente di sviluppo software.

Nel complesso, i risultati indicano che molte organizzazioni si stanno ancora cullando in un falso senso di sicurezza della supply chain nel cloud. Caso emblematico: nonostante un accesso limitato all’ambiente di sviluppo del cliente, un singolo ricercatore di Unit 42 ha impiegato solo tre giorni per scoprire diverse falle critiche che avrebbero potuto esporre l’azienda a un attacco simile a quelli di SolarWinds e Kaseya.

In base all’analisi di Unit 42 sui precedenti attacchi alla supply chain, il report descrive la portata degli attacchi, i dettagli poco noti sul modo in cui si verificano e le best practice che le organizzazioni possono adottare per salvaguardare le proprie supply chain nel cloud.

Nel corso della simulazione presso il provider SaaS, i ricercatori sono stati in grado di sfruttare le configurazioni errate nell’ambiente di sviluppo software, prendendo il controllo dei processi di sviluppo software del cliente. Questo livello di accesso ha permesso loro di monitorare il flusso del software e di attaccare la supply chain. Tutto questo sfruttando le falle di processo e di sicurezza, come le credenziali hardcoded.

Le simulazioni del red team, come quella eseguita da Unit 42, mostrano come una scarsa igiene nella sicurezza della supply chain possa impattare l’infrastruttura cloud.

Il cliente mantiene quella che la maggior parte delle imprese considererebbe una postura matura di sicurezza cloud, tuttavia, i ricercatori di Unit 42 hanno scoperto che il 21% delle scansioni di sicurezza eseguite nell’ambiente di sviluppo ha portato a configurazioni errate o vulnerabilità (un numero che si allinea perfettamente con la media del settore del 20%). I ricercatori ritengono altamente probabile che le tecniche impiegate durante l’esercitazione potrebbero essere eseguite con successo contro molte organizzazioni che sviluppano applicazioni nel cloud.

Sulla base di un’analisi globale, Unit 42 ha scoperto che il 63% dei modelli di codice di terze parti utilizzati nella realizzazione di infrastrutture cloud contiene configurazioni insicure. Dato ancora più sconfortante, il 96% delle applicazioni container di terze parti distribuite all’interno dell’infrastruttura cloud include vulnerabilità note. Nella maggior parte degli attacchi alla supply chain, un malintenzionato compromette un fornitore e inserisce codice pericoloso nel software utilizzato dai clienti.

L’infrastruttura cloud è suscettibile a un approccio simile: il codice non controllato potrebbe dare luogo a falle di sicurezza nell’infrastruttura cloud, fornendo agli attaccanti accesso ai dati sensibili nell’ambiente cloud. Una falla di questo tipo può essere più rischiosa di una nel software, in quanto può avere un impatto diretto su centinaia di workload cloud, come macchine virtuali e storage dei dati.

La sfida da affrontare con il codice di terze parti è legata al fatto che potrebbe provenire da chiunque, compresa una minaccia avanzata persistente (APT). Questo alza la posta in gioco per il codice, destinato a essere condiviso e utilizzato da altri. Date le moderne pratiche di sviluppo software cloud per la condivisione e l’integrazione di codice di terze parti (e la creazione di strutture complesse che dipendono da molti altri elementi costitutivi) se un attaccante compromettesse gli sviluppatori di terze parti o i loro repository di codice avrebbe la possibilità di infiltrarsi nelle infrastrutture cloud di migliaia di organizzazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4