Le possibili minacce che interessano il software sono molte più di quelle a cui si è soliti pensare. I primi rischi nascono con la fase di “development” e riguardano, non solo gli errori di scrittura, ma anche, per esempio, l’inefficace protezione di tutto ciò che riguarda l’ambiente di sviluppo, dai server interni alle piattaforme cloud.
Il software della supply chain è uno dei sistemi più complessi da proteggere perché si inserisce pienamente all’interno dei processi aziendali pur restando fuori dal controllo dell’azienda e dall’applicazione delle policy di sicurezza.
Crescono gli attacchi al software per la supply chain
Secondo uno studio di Argon Security (recentemente acquisito da Aqua Security) gli attacchi al software della supply chain non solo sono aumentati in sofisticazione, ma sono cresciuti di oltre il 300% nel 2021 rispetto all’anno precedente. Il rapporto ha rilevato che il livello di sicurezza negli ambienti di sviluppo software rimane basso e ogni azienda valutata ha evidenziato carenze in grado di esporle ad attacchi alla supply chain.
Gli aggressori sono riusciti a diffondere malware o backdoor a utenti ignari che utilizzavano le applicazioni concentrandosi sulle vulnerabilità, sui problemi di codice, su processi legati al software e sfruttando la fiducia assegnata senza controllo ai fornitori.
Lo studio ha identificato tre tipologie di obiettivi centrali per i cybercriminali, che le aziende dovrebbero comprendere e affrontare per migliorare la sicurezza del software di supply chain:
- utilizzo di pacchetti vulnerabili open source e privati (o anche la creazione di nuovi pacchetti) per ottenere l’accesso all’applicazione, inserire codice dannoso ed eseguire l’attacco;
- compromissione degli strumenti pipeline CI/CD (Continuous Integration / Continuous Delivery) per sfruttare l’accesso privilegiato, le configurazioni errate e le vulnerabilità e ottenere accesso all’infrastruttura IT, ai processi di sviluppo, al codice sorgente e alle applicazioni;
- integrità del codice, caricando codice errato con un impatto diretto sulla qualità degli Artefatti e sullo stato di sicurezza.
Cambia la natura degli attacchi interni
I rischi legati al software della supply chain possono provenire anche dall’interno. È, tuttavia, utile sottolineare come, con la progressiva evoluzione nel modo in cui viene realizzato il software, sia cambiata la definizione stessa di minaccia dall’interno.
Oggi le Dipendenze, gli Artefatti e i Container realizzati all’esterno dell’azienda trovano spazio all’interno delle applicazioni aziendali e, pertanto, i creatori del software diventano in qualche modo degli “insider”, in grado introdurre, in modo non intenzionale, errori di programmazione o vulnerabilità all’interno delle Dipendenze.
In relazione al livello di rischio gli sviluppatori di codice open source vanno, per esempio, considerati alla stessa stregua degli sviluppatori interni, con in più l’aggravante che non hanno accesso agli stessi strumenti di sicurezza utilizzati all’interno dell’azienda.
Lo stesso studio citato sopra riporta che nel 2021 il numero di attacchi verso i fornitori di software open source è aumentato del 650% rispetto al 2020.
Un esempio eclatante di minaccia introdotta in modo non intenzionale è stato, nel 2021, la vulnerabilità Log4Shell che sfruttava un difetto di scrittura all’interno di Log4j, l’utilizzatissima utility di Apache per il logging scritta in linguaggio Java, che permetteva di far caricare ed eseguire codice nocivo da remoto.
Un approccio basato su resilienza e DevSecOps
CyberRes, la business unit di Micro Focus dedicata alle soluzioni software per la cyber resilienza, permette di affrontare questi rischi mettendo a disposizione le soluzioni della famiglia Fortify per garantire uno sviluppo sicuro e un controllo costante di tutti i tipi di software, inclusi quelli commerciali e open source, in ambiente fisso e mobile.
Le soluzioni Fortify consentono di evidenziare vulnerabilità mentre il codice viene scritto e di suggerire modifiche alla scrittura tramite tecnologia di machine learning. Inoltre, attraverso soluzioni di testing di tipo statico e dinamico, disponibili in modalità on-premise o come servizio on-demand, CyberRes consente di verificare costantemente il livello di sicurezza del software.
Le soluzioni CyberRes consentono di incorporare la sicurezza del software per la supply chain all’interno del “fabric model” di sviluppo DevSecOps attraverso una serie di controlli:
- assicurando che gli accordi di licenza software rispondano agli specifici requisiti (come il tempo minimo di risposta nel caso di incidenti di sicurezza;
- sottoponendo il software a una scansione di sicurezza per individuare vulnerabilità note;
- verificando chi sponsorizza il software e il livello di popolarità che riceve all’interno delle community;
- prestando attenzione al modo e alla rapidità con cui le vulnerabilità precedenti sono state affrontate e risolte.
“La protezione del software della supply chain deve rientrare tra le priorità delle aziende e delle organizzazioni governative – osserva Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes –. Si tratta di un rischio critico che interessa una delle aree che maggiormente, oggi, hanno bisogno di un elevato livello di modernizzazione. Non possiamo presupporre che i fornitori di software per la supply chain esercitino il medesimo livello di sicurezza che le aziende adottano per il loro software. Per questo motivo serve un approccio olistico e resiliente, che parta da un modello di sviluppo intrinsecamente sicuro e continui a verificare la sicurezza del software costantemente durante il suo intero ciclo di vita. Questo è quello che CyberRes consente di fare con le sue famiglie di software integrati”.
