Contrastare gli attacchi alla supply chain del software

DigiCert® Software Trust Manager ha integrato nuove funzionalità di Threat Detection e Software Bill of Materials (SBOM), fornite da ReversingLabs, per consentire ai clienti di rilevare potenziali minacce e vulnerabilità nel loro software prima di firmarlo in modo sicuro.

Una nuova pandemia globale?

Gli attacchi alla supply chain del software sono in aumento. Importanti marchi tecnologici come MSI, Intel, Microsoft, CircleCI e 3CX sono stati recenti vittime di attacchi, come accaduto anche ad aziende quali SolarWinds, Asus, Codecov, Docker Hub e A.P. Moller-Maersk. Nessuno è immune.

Secondo un recente report di Gartner, il 45% delle aziende di tutto il mondo subirà attacchi alle proprie supply chain del software entro il 2025. Da un altro report del settore emerge che negli ultimi tre anni c'è stato un aumento del 742% (avete letto bene: settecentoquarantadue per cento!) degli attacchi alla supply chain del software.

Gli attacchi alla supply chain del software si manifestano in diversi modi. Alcuni aggressori attaccano chiavi di firma del codice non protette per venderle sul dark web o per firmare malware.

Altri sfruttano le vulnerabilità nel ciclo di vita dello sviluppo software per creare infrastrutture che consentano di inserire in modo segreto il malware direttamente nel prodotto software dell'azienda. A volte invece le aziende incorporano inconsapevolmente software di terze parti contenente malware (come il software open source) nella propria offerta di prodotti.

Anche se le tecniche di attacco variano, non varia il loro impatto sull'azienda attaccata. Le conseguenze includono perdita di fiducia dei clienti, problemi di reputazione, perdita di entrate e/o di dati sensibili dei clienti o dell'azienda.

La corsa verso la cura

Anche questa pandemia informatica globale, come un virus che muta di continuo e resiste ai farmaci, richiede un approccio ad ampio spettro per arrivare a una cura preventiva. Ed è per questo che governi e associazioni industriali hanno proposto una serie di raccomandazioni.

Ad esempio, nel 2021 il governo degli Stati Uniti ha emesso l'atto United States Executive Order #14028 Improving the Nation's Cybersecurity (Migliorare la sicurezza informatica della nazione), che ha indotto il National Institute of Standards and Technology (NIST) a redigere le linee guida Software Supply Chain Security Guidance. Il Dipartimento della Difesa degli Stati Uniti ha a sua volta pubblicato la guida alle pratiche per sviluppatori Securing the Software Supply Chain Recommended Practices Guide for Developers. Infine, l'Office of Management and Budget degli Stati Uniti ha emesso il memorandum M-22-18, che "richiede a ogni agenzia federale di fornire misure di sicurezza per le 'informazioni raccolte o mantenute da o per conto di un'agenzia'". Questa misura ha un impatto diretto sui fornitori di software del governo degli Stati Uniti, che devono attestare la sicurezza del software e dei servizi che offrono.

Gli Stati Uniti non sono gli unici che stanno reagendo a questa crescente pandemia. L'Unione Europea e i suoi paesi membri, il Regno Unito, il Giappone e altre nazioni stanno elaborando orientamenti simili.

La borsa del dottore: un arsenale di rimedi

Nel frattempo, sono stati sviluppati diversi rimedi per contrastare gli attacchi alla supply chain del software. Ognuno di questi ha un suo ruolo nel rilevare e prevenire gli attacchi, ma nessuno è di per sé sufficiente. I test dinamici di sicurezza delle applicazioni (DAST), i test statici di sicurezza delle applicazioni (SAST), l'analisi della composizione del software, la firma sicura del codice e le SBOM sono solo alcuni esempi dei rimedi contenuti nella borsa del dottore.

In alcuni casi, le aziende adottano un approccio frammentario per rendere sicura la supply chain del software. Ad esempio, un team fa ampio uso di una tecnica mentre un altro team dell'azienda ne preferisce un'altra. Questa mancanza di coordinamento aziendale può lasciare l'organizzazione vulnerabile agli attacchi e generare un falso senso di sicurezza tra i responsabili della sicurezza aziendale.

Prendiamo come esempio la firma del codice, una tecnica di sicurezza che le aziende hanno a disposizione da oltre 30 anni. Ha sempre funzionato bene, finché gli aggressori non hanno scoperto di poter rubare le chiavi private di firma del codice. Le aziende hanno reagito spostando le chiavi di firma del codice in aree protette, come i moduli di sicurezza hardware (HSM). Ma gli aggressori hanno aggirato il problema utilizzando nuovi approcci, come il phishing, per ottenere le credenziali di accesso alle chiavi private. Ora le aziende non solo devono conservare in modo sicuro le chiavi private, ma anche implementare un processo sicuro di firma del codice che includa sicurezza delle chiavi, accesso e controllo basati sui ruoli, definizione centralizzata delle policy e registri inconfutabili delle attività di firma del codice.

Per contrastare gli attacchi alla supply chain del software, l'industria del software deve adottare un approccio simile alla scienza medica, utilizzando strategie diversificate che si adattino all'evoluzione delle minacce.

Non firmare alla cieca

DigiCert offre ai suoi clienti DigiCert^® Software Trust Manager, una soluzione di firma del codice sicura e di livello enterprise. Software Trust Manager consente alle aziende di gestire la firma del codice in modo centralizzato in tutta l'azienda, a prescindere da dove si trovi il team del software, dal linguaggio di programmazione, dalla piattaforma utilizzata o dal tipo di software sviluppato (cloud-native, dispositivi embedded, app mobili, ecc.). Questa soluzione ha eliminato diverse vulnerabilità del processo di firma del codice usate in passato dagli aggressori, soprattutto grazie all'applicazione di una policy di firma del codice più sicura in tutta l'azienda.

Tuttavia, quando si firma un software, si presuppone che il software firmato sia privo di bug, malware e altre vulnerabilità, che non sia stato manomesso e che il team del software sappia esattamente quali sono i componenti interni al software (il che è peraltro un nuovo requisito normativo che determina la necessità di SBOM).

I nostri clienti ci hanno confermato quanto sia importante per loro il rilevamento delle minacce software e la necessità che questo venga integrato nei loro flussi di lavoro sulla sicurezza. Ci richiedono inoltre di rendere il rilevamento facilmente accessibile per i loro diversi team del software, impegnati a sviluppare un'ampia gamma di applicazioni, senza che ciò ne riduca la produttività (ad esempio rallentando le pipeline CI/CD).

I team della sicurezza vogliono inoltre un ambiente unificato in cui poter definire le policy di sicurezza aziendale, come le policy per i processi di firma del codice, quelle per richiedere scansioni binarie approfondite per individuare minacce e vulnerabilità, così come la creazione di SBOM complete che soddisfino i requisiti normativi emergenti.

ReversingLabs rafforza il rilevamento delle minacce di DigiCert® Software Trust Manager

DigiCert è lieta di annunciare una partnership con ReversingLabs, leader nella sicurezza della supply chain del software. Questa partnership migliora la sicurezza del software combinando l'analisi binaria avanzata e il rilevamento delle minacce di ReversingLabs con la soluzione enterprise di firma del codice sicura di DigiCert. I clienti DigiCert otterranno una migliore integrità del software grazie a un'analisi approfondita che, prima di firmare il codice in modo sicuro, gli dimostra che il software è privo di minacce note come malware, impianti software, manomissione del software e rischio di divulgazione di segreti.

DigiCert ha integrato la tecnologia ReversingLabs nella nuova funzionalità Software Trust Manager Threat Detection. La nuova funzionalità, venduta e supportata da DigiCert, è integrata nei flussi di lavoro di Software Trust Manager e fornisce ai team un'unica interfaccia per il controllo e la visibilità.

Software Trust Manager Threat Detection offre un unico flusso di lavoro controllato a livello centrale in tutta l'organizzazione. Inoltre, genera una SBOM completa che include il software sviluppato internamente e quello di terze parti, come il software open source e con licenza commerciale.

Con l'aumento degli attacchi alla supply chain del software, il rilevamento delle minacce e la creazione di SBOM sono sempre più importanti e oggetto di normative governative e di settore.

Come accaduto durante la recente pandemia mondiale del Covid-19, dove sono stati utilizzati diversi strumenti, trattamenti e misure preventive, così le aziende devono adottare diverse misure di sicurezza per proteggersi dagli attacchi alla supply chain del software. La partnership tra DigiCert e ReversingLabs è un passo importante verso questo obiettivo.

Segui il nostro panel di esperti nel webinar del 13 giugno, che illustrerà le sfide, le strategie e le soluzioni migliori per mantenere la fiducia digitale e garantire un ecosistema software sicuro. Registrati per partecipare dal vivo o per guardare la registrazione qui.