Negli ultimi due anni abbiamo visto moltiplicarsi gli attacchi alle supply chain del software, che hanno guadagnato una eco mediatica sempre più forte, sia in virtù delle aziende coinvolte sia dei danni che hanno causato. Non è un caso: come circostanzia Marco Rottigni, Technical Director di SentinelOne, questo tipo di attacco si adatta perfettamente all’opportunismo dei cyber criminali e al loro criterio di base, che mira all’ottenimento della massima resa con il minimo sforzo.

È per questo motivo che - piuttosto che attaccare direttamente un'azienda, soprattutto se ben difesa – l’attaccante “preferisce prendere di mira il vendor di un software sorgente per lo sviluppo di nuove applicazioni, cercando di inviare codice dannoso attraverso un'applicazione certificata”. Così facendo i criminali informatici possono accedere alla supply chain contaminando i server di aggiornamento o i tool di sviluppo, inserendo il codice malevolo nei file eseguibili o sostituendo i package reali con quelli armati.

Si potrebbero citare moltissimi esempi. Alcuni indicativi sono l’attacco a RSA Security che ne ha compromesso il "seed warehouse" attraverso i token SecurID e in seguito attraverso lo spear phishing. L’attacco ai dispositivi dei punti vendita della catena di abbigliamento Target, che ha causato un danno di oltre 200 milioni di dollari. Quello al software CCleaner attraverso credenziali rubate tramite Team Viewer e quelli più noti ai danni delle società informatiche AsusTek, SolarWinds e Kaseya.

Un rischio in continuo aumento

Nove aziende su dieci oggi sviluppano software in open-source che gestiscono componenti per auto, elettrodomestici, antifurti, termostati, tool smart, eccetera, ampliando di fatto le superfici di attacco. Un recente report di Sonatype sullo stato della catena di fornitura del software rivela che oggi sono disponibili 37 milioni di versioni di componenti OSS, che il 29% dei progetti più diffusi contiene almeno una vulnerabilità di sicurezza nota e che i cyberattacchi rivolti ai fornitori open source crescono con un ritmo del 650% su base annua.

Ancora, la ricerca State of Application Strategy del 2022 edita da F5 rivela che le applicazioni moderne (container-native e mobile) comprendono in media il 33% del portafoglio di applicazioni aziendali e le aziende di tutti i settori gestiscono in media un portafoglio di circa 200 applicazioni. Facendo alcuni calcoli si può concludere che un’azienda ha in media 66 applicazioni moderne nel suo portafoglio, e incrociando i risultati di Sonatype sulle dipendenze open source, questo significa che potrebbe avere l'onere di proteggere 8.448 diverse dipendenze open source. Non è un caso quindi che secondo le stime di Gartner il rischio digital alla Supply Chain sia tra i primi 7 trend della cybersecurity nel 2022.

Una difesa efficace

Come sottolinea Lori MacVittie, Principal Technical Evangelist, Office of the CTO di F5, “la sicurezza della supply chain del software dovrebbe essere una preoccupazione per tutte le organizzazioni, perché ha un impatto sull'intero ciclo di vita dell'applicazione, dallo sviluppo alla creazione, al rilascio, alla distribuzione e al funzionamento. Dovrebbe rappresentare una preoccupazione per tutte le aziende impegnate nel complesso percorso di trasformazione digitale”.

Detto questo, far fronte al rischio di un attacco alla supply chain è tutt’altro che semplice e implica una revisione dei criteri di cybersecurity, che debbono consentire piena visibilità sulle dipendenze della supply chain stessa. Innanzi tutto, è bene conoscere i principali obiettivi dei cyber criminali, che Rottigni sintetizza in pochi punti essenziali. Ad essere preso di mira è spesso il software poco sicuro, utilizzato per realizzare sistemi o piattaforme di aggiornamento su larga scala. A questo proposito gli attacchi colpiscono gli sviluppatori interni e chi realizza firmware o codice specializzati. Sono anche ampiamente sfruttati i dispositivi vulnerabili, come le apparecchiature di rete a sistemi IoT e POS.

Un’altra caratteristica comune a queto tipo di attacchi è l’impiego di tecniche di elusione che sfruttano certificati rubati per firmare le app, facendole passare per un prodotto affidabile di terze parti o un prodotto sviluppato internamente.

Compresi gli obiettivi, l’azione di difesa deve concentrarsi su di essi. Buona parte del lavoro di prevenzione dovrebbe essere a carico dei vendor e sviluppatori di software, che dovrebbero adottare policy di sicurezza chiare. Chi non le attua o non le rispetta dovrebbe essere escluso dalla rosa dei fornitori. Anche i clienti tuttavia devono mettersi d’impegno, rispettando alcuni essenziali elementi nella gestione della supply chain. Per esempio, l’impiego di una piattaforma di controllo delle applicazioni e l’adozione di una valida soluzione EDR capace di rilevare e porre rimedio in modo automatico alle attività sospette in tempo reale.

Inoltre, è essenziale valutare anche l'utilizzo di una piattaforma di sicurezza aperta e flessibile che possa massimizzare la visibilità dei sistemi. Un esempio che calza a pennello è quello delle piattaforme XDR (Extended Detection & Response), che si identificano come unico punto di riferimento in caso di attacco ai sistemi informatici.

Nonostante i migliori prodotti per la difesa, resta indispensabile sviluppare una valida cultura “cybersecurity-first”, responsabilizzando le persone, amplificando il concetto della sicurezza a tutti i processi aziendali, definendo e gestendo un network con tutte le parti coinvolte nelle attività (manager, enti governativi, vendor e consulenti), e prevedendo una roadmap per il training.