Nell'attuale panorama digitale, la protezione della catena di fornitura va di pari passo con la difesa della sicurezza informatica. Con le organizzazioni che si rivolgono sempre più spesso a fornitori esterni e software di terze parti per soddisfare le proprie esigenze, stiamo ora affrontando una serie di rischi completamente nuovi al di fuori delle quattro mura dell'organizzazione. E questi rischi della catena di fornitura possono avere un impatto su tutto ciò che riguarda l'azienda, dalla progettazione del software ai prodotti software distribuiti.
In questo blog impareremo il concetto di gestione del rischio della catena di fornitura e il suo ruolo nella sicurezza informatica. Discuteremo anche di come identificare i rischi comuni, sviluppare metodi di valutazione efficaci e stabilire strategie di sicurezza solide. Discuteremo anche alcuni dei principali framework, casi d'uso specifici del settore e altre best practice che le organizzazioni possono utilizzare per garantire la sicurezza della catena di fornitura.
Che cos'è la gestione dei rischi della catena di fornitura
La gestione dei rischi della catena di fornitura (SCRM) è l'insieme di azioni e processi che consentono alle organizzazioni di riconoscere, valutare e ridurre al minimo i rischi che coinvolgono i propri partner esterni, fornitori e prestatori di servizi. Comprende gli elementi digitali che forniscono un prodotto o un servizio.
La gestione dei rischi della catena di fornitura esegue la scansione di vari componenti alla ricerca di vulnerabilità prima che entrino nell'ambiente dell'organizzazione. Inoltre, stabilisce un monitoraggio per rilevare potenziali problemi che potrebbero sorgere in seguito. Questo approccio mira alla sicurezza in ogni punto di contatto tra il mondo esterno e i sistemi interni.
I team addetti alla sicurezza, all'IT, agli acquisti, agli aspetti legali e commerciali devono collaborare affinché l'SCRM sia efficace. Questo approccio interfunzionale garantisce che venga coperto l'intero spettro dei rischi di sicurezza delle relazioni con i fornitori, dalla selezione alla gestione dei contratti e alle revisioni periodiche della sicurezza.
Perché la gestione dei rischi della catena di fornitura è importante?
In un'epoca in cui le organizzazioni fanno sempre più affidamento su fornitori esterni e librerie di terze parti, la gestione dei rischi della catena di fornitura ha acquisito importanza. Oggi, la maggior parte delle aziende si avvale di decine o centinaia di terze parti che le aiutano a gestire la propria attività. Ogni relazione comporta rischi per la sicurezza che possono modificare il livello di sicurezza di un'organizzazione.
Molte applicazioni software moderne sono costituite da componenti provenienti da molte fonti diverse. Il codice di un'applicazione aziendale include in genere decine di librerie e framework di terze parti. Se uno qualsiasi di questi componenti presenta una vulnerabilità di sicurezza, l'intera applicazione può essere compromessa. Il problema della dipendenza si applica anche ai servizi cloud, ai fornitori gestiti e ai fornitori di hardware.
Tipi comuni di rischi della catena di fornitura
I rischi della catena di fornitura possono presentarsi sotto forma di software compromesso, attacchi ai servizi, insider o accesso di terze parti, ciascuno dei quali richiede metodi specifici di rilevamento e protezione. I tipi più comuni includono:
Attacchi di tipo code injection
Gli attacchi di tipo code injection prevedono l'inserimento di codice dannoso in software legittimi da parte di un aggressore durante lo sviluppo o la distribuzione. Ciò può verificarsi quando un aggressore ottiene l'accesso a repository di codice sorgente, sistemi di compilazione o server di aggiornamento. Un esempio ben noto è l'attacco SolarWinds, in cui il codice per le backdoor è stato inserito negli aggiornamenti software e distribuito a migliaia di clienti.
Software compromesso
Un altro rischio significativo deriva dai componenti software compromessi. Le librerie open source possono accelerare lo sviluppo e sono ampiamente utilizzate da molti sviluppatori, ma possono anche ospitare vulnerabilità o codice dannoso. Quando queste parti danneggiate vengono integrate nelle applicazioni, ne trasferiscono i difetti di sicurezza.
Violazioni della sicurezza dei fornitori
Le violazioni della sicurezza dei fornitori rappresentano un rischio quando i fornitori che hanno accesso ai sistemi o ai dati di un'organizzazione subiscono incidenti di sicurezza. Se qualcuno che ha accesso alla rete o a informazioni sensibili viene compromesso, gli aggressori possono sfruttare questa relazione e spostarsi lateralmente nell'ambiente del cliente.
Manomissione dell'hardware
Gli attacchi alla catena di fornitura del firmware comportano la compromissione del software incorporato nei componenti hardware. Ciò può includere l'iniezione di codice dannoso negli aggiornamenti del firmware, la compromissione dei driver dei dispositivi o la manipolazione dei processi di avvio.
Abuso dei meccanismi di aggiornamento
L'abuso dei meccanismi di aggiornamento prende di mira i canali utilizzati per la distribuzione degli aggiornamenti software reali. Gli aggressori procedono a compromettere questi percorsi di distribuzione affidabili, consentendo loro di diffondere malware camuffato come proveniente da fornitori affidabili.
Componenti chiave della gestione dei rischi della catena di fornitura
Esistono componenti chiave della gestione dei rischi della catena di fornitura che, se utilizzati insieme, possono essere efficaci. Essi formano un ecosistema completo per l'individuazione, il monitoraggio e la gestione dei rischi posti dai fornitori terzi e dai loro componenti.
Valutazione e gestione dei rischi dei fornitori
La valutazione dei rischi dei fornitori getta le basi per la sicurezza della catena di fornitura. Questo processo valuta le pratiche di sicurezza dei fornitori nuovi ed esistenti prima di concedere loro l'accesso ai sistemi o ai dati. Una buona valutazione esamina i controlli tecnici e le politiche di sicurezza, rivede gli incidenti passati e la maturità complessiva della sicurezza. Durante la valutazione, le organizzazioni dovrebbero disporre di un questionario standardizzato e di un sistema di punteggio per i fornitori, che può aiutare a confrontare i fornitori in modo obiettivo.
SCA e distinta base del software (SBOM)
Gli strumenti SCA scansionano il codice delle applicazioni per identificare tutti i componenti di terze parti utilizzati e cercare eventuali vulnerabilità note. Questi strumenti generano un elenco completo di tutte le dipendenze software e avvisano i team quando vengono rilevate vulnerabilità all'interno di questi componenti. L'SCA produce in genere una distinta dei materiali software (SBOM) che delinea tutti i componenti di un'applicazione, insieme alle loro versioni, configurazioni ed eventuali vulnerabilità.
Pianificazione della risposta agli incidenti per gli attacchi alla catena di fornitura
Gli attacchi alla catena di fornitura coinvolgono alcuni componenti unici che non tutti i piani di risposta agli incidenti sono in grado di affrontare. Ciò rende necessario che le organizzazioni dispongano di piani d'azione specifici per le compromissioni che provengono da fornitori di fiducia. Tali piani dovrebbero concentrarsi sull'isolamento dei dispositivi, sul contatto con i rispettivi fornitori, sulla comprensione della portata della violazione e sulla mitigazione dei danni causati. I team di risposta necessitano di istruzioni chiare su quando e come interrompere l'accesso ai fornitori compromessi e ripristinare i servizi una volta che l'incidente è terminato.
Come identificare e valutare i rischi della catena di approvvigionamento?
Esiste un approccio sistematico per riconoscere e analizzare i rischi della catena di fornitura, che prevede una combinazione di risorse tecniche e l'analisi dei processi aziendali. Tuttavia, le organizzazioni devono disporre di metodi chiari per individuare potenziali problemi prima che questi inizino a influire sulle operazioni.
La creazione di una distinta base software (SBOM) completa di tutti i codici di terze parti, le dipendenze, i container e i servizi cloud utilizzati nell'organizzazione è il punto di partenza per l'identificazione dei rischi della catena di fornitura digitale. Ciò dovrebbe assumere la forma di un inventario automatizzato che descriva in dettaglio quali componenti sono utilizzati in ciascuna applicazione, le informazioni sulla loro versione, le vulnerabilità note e la loro criticità per le operazioni aziendali.
I team di sicurezza devono integrare strumenti di scansione con pipeline CI/CD e collaborare con i team di sviluppo e IT per garantire che nessuna dipendenza, API o microservizio sfugga al controllo.
Tecniche per mitigare i rischi della catena di fornitura
Esistono diverse strategie efficaci che le organizzazioni possono implementare per ridurre i rischi di sicurezza della catena di fornitura. Insieme, queste tecniche forniscono una serie di livelli di difesa per proteggere dalle minacce esterne su base stratificata.
Requisiti di sicurezza dei fornitori
Requisiti di sicurezza ben definiti nei contratti con i fornitori costituiscono una solida base per la sicurezza della catena di fornitura. Tali requisiti dovrebbero includere controlli di sicurezza minimi, certificazioni di conformità, tempi di notifica delle violazioni e diritti di audit. Gli accordi legali dovrebbero rendere la sicurezza non negoziabile e consentire alle organizzazioni di applicare standard ai fornitori, ritenendoli responsabili di eventuali violazioni della sicurezza. Devono essere specifici, misurabili e prevedere conseguenze in caso di non conformità.
Verifica dell'integrità del codice
La verifica dell'integrità del codice garantisce che qualsiasi software che entra nell'ambiente non sia stato manomesso. Ciò include la verifica delle firme digitali, la conferma che gli output hash siano quelli previsti e la tracciabilità della provenienza di qualsiasi codice in entrata. Le organizzazioni devono implementare strumenti automatizzati che convalidino l'integrità degli aggiornamenti software, delle librerie di terze parti e dei componenti delle app prima dell'installazione. Questi strumenti non solo impediscono l'inserimento di codice dannoso nella catena di fornitura, ma rilevano anche modifiche non autorizzate al software legittimo.
Accesso con privilegi minimi
Ogni punto di integrazione di terze parti dovrebbe essere configurato con solo le autorizzazioni API minime e l'accesso al sistema necessario per la sua funzionalità. Questo approccio di contenimento limita il raggio d'azione di qualsiasi violazione, impedendo ai componenti compromessi di accedere a sistemi critici al di là dell'ambito richiesto.
Ridondanza delle dipendenze
L'implementazione di fonti ridondanti per pacchetti e librerie critici consente alle organizzazioni di limitare i danni che un singolo repository o registro di container compromesso potrebbe causare. Questa strategia consente di passare rapidamente a dipendenze alternative se vengono rilevati problemi di sicurezza in un particolare pacchetto. Il mantenimento di più fonti verificate per le dipendenze chiave richiede risorse di sviluppo aggiuntive, quindi per i componenti non critici il rapporto costi-benefici in termini di sicurezza potrebbe non giustificare lo sforzo.
Test di sicurezza
I test di sicurezza costanti su prodotti e servizi di terze parti forniscono una convalida delle affermazioni dei fornitori in materia di sicurezza, come test di penetrazione, scansioni delle vulnerabilità e revisioni del codice del software fornito. Poiché il rischio più elevato deriva spesso dai punti di connessione tra i sistemi dei fornitori e le reti interne, i test dovrebbero concentrarsi su tali punti di integrazione.
Framework e standard per la gestione dei rischi della catena di fornitura
Diversi framework e standard consolidati aiutano le organizzazioni a sviluppare approcci strutturati alla sicurezza della catena di fornitura.
Il quadro di riferimento per la sicurezza informatica del National Institute of Standards and Technology (NIST)
Il quadro di riferimento per la sicurezza informatica del National Institute of Standards and Technology (NIST) include linee guida specifiche per la gestione dei rischi della catena di fornitura. La pubblicazione speciale 800-161 del NIST offre istruzioni dettagliate per identificare, valutare e rispondere ai rischi della catena di fornitura. Questo quadro utilizza un approccio a più livelli che aiuta le organizzazioni ad adeguare le loro misure di sicurezza al loro livello di rischio e ai loro vincoli di risorse.
ISO/IEC 27036
La norma ISO/IEC 27036 si concentra specificamente sulla sicurezza delle informazioni nelle relazioni con i fornitori. Questo standard internazionale fornisce linee guida per la sicurezza nei processi di approvvigionamento e nella gestione continua dei fornitori. Aiuta le organizzazioni a includere i requisiti di sicurezza in tutto il ciclo di vita dei fornitori, dalla selezione alla cessazione.
Certificazione del modello di maturità della sicurezza informatica (CMMC)
Il quadro di riferimento della Certificazione del modello di maturità della sicurezza informatica (CMMC) include i requisiti della catena di approvvigionamento per gli appaltatori della difesa. Stabilisce controlli specifici che i fornitori devono implementare in base alla sensibilità delle informazioni che trattano. Sebbene sia stato progettato per la difesa, molte organizzazioni utilizzano il CMMC come modello per i propri requisiti della catena di fornitura.
Software Assurance Forum for Excellence in Code (SAFECode)
Il Software Assurance Forum for Excellence in Code (SAFECode) fornisce le migliori pratiche per lo sviluppo di software sicuro nella catena di fornitura. Questo sforzo guidato dall'industria si concentra su tecniche pratiche per integrare la sicurezza nel software fin dall'inizio.
Sfide associate alla gestione dei rischi della catena di fornitura
L'implementazione di un'efficace gestione dei rischi nella catena di fornitura deve affrontare una serie di sfide importanti. Per garantire che le dipendenze esterne siano ben protette, le organizzazioni devono superare questi livelli di sfide.
Limiti di visibilità
La capacità delle organizzazioni di visualizzare la catena di fornitura è incompleta. La maggior parte dei fornitori si rifornisce tramite i propri fornitori, creando così molti livelli di dipendenze difficili da tracciare. I team di sicurezza potrebbero non essere consapevoli dei potenziali rischi derivanti dalle dipendenze open source o dalle relazioni con terze parti. Ciò limita la trasparenza e rende difficile mappare tutti i punti di minaccia.
Limiti delle risorse
L'implementazione efficace della sicurezza della catena di fornitura richiede molte risorse. I team di sicurezza devono valutare l'accuratezza delle loro revisioni dei fornitori rispetto al tempo e al budget disponibili per condurle. Questo spesso spinge le organizzazioni a concentrare gli sforzi di sicurezza sulle dipendenze principali e sui repository di codice primari, trascurando i componenti più piccoli e i microservizi che possono comunque rappresentare rischi significativi per la sicurezza nella catena di fornitura del software.
Sicurezza contro efficienza operativa
Controlli rigorosi sulla catena di fornitura possono bloccare l'attività e ritardare iniziative importanti. Le revisioni di sicurezza possono ritardare il processo di approvvigionamento, creando tensioni significative con le unità aziendali che richiedono un rapido inserimento dei fornitori. Le organizzazioni devono valutare le esigenze di sicurezza rispetto a quelle aziendali. Un'attenzione eccessiva alla sicurezza può creare colli di bottiglia che danneggiano la competitività, mentre dare priorità alla velocità può creare rischi troppo grandi da sopportare.
Sistemi legacy
Numerose organizzazioni utilizzano ancora sistemi legacy che non dispongono di moderne funzionalità di sicurezza. Queste applicazioni legacy potrebbero utilizzare componenti obsoleti con vulnerabilità note, poiché il fornitore in questione ha da tempo interrotto il supporto. Il problema è che la sostituzione di questi sistemi è costosa e comporta un'interruzione dell'attività. È necessario pianificare la sostituzione dei componenti legacy, ma nel frattempo i team di sicurezza dovranno adottare strategie per mitigarne gli effetti.
Standard di sicurezza coerenti
Creare una sicurezza coerente tra diversi fornitori è quasi impossibile. Si tratta di settori diversi, con statuti e livelli di maturità della sicurezza diversi. Un fornitore di servizi cloud può essere diverso da un produttore di hardware. La sfida delle organizzazioni è quella di creare tecniche di valutazione sufficientemente agili da tenere conto di queste differenze senza sacrificare la garanzia di sicurezza.
Best practice per la gestione dei rischi della catena di fornitura
L'efficacia della sicurezza della catena di fornitura dipende da approcci coerenti, insieme a registrazioni, politiche e impegno organizzativo. Le seguenti best practice aiutano le organizzazioni a sviluppare difese solide contro le minacce alla catena di fornitura.
Protocolli di valutazione della sicurezza dei fornitori
I processi di test standardizzati vengono creati per confermare che ogni fornitore sia valutato allo stesso modo. Ciò dovrebbe includere protocolli quali questionari sulla sicurezza, revisioni della documentazione e fasi di verifica in linea con il livello di rischio del fornitore. Le organizzazioni devono creare un approccio basato sul rischio e definire quali controlli devono essere effettuati a quale livello, ovvero controlli di base per i fornitori a basso e medio rischio e revisioni approfondite per i fornitori critici.
Audit di sicurezza regolari
Gli audit casuali verificano se i fornitori mettono in pratica ciò che predicano. Esempi di queste revisioni includono scansioni automatizzate del codice, test API dinamici e audit di accesso al repository per dipendenze critiche. Gli audit devono verificare l'integrità delle pipeline CI/CD, dei registri dei container e dei repository dei pacchetti per confermare la corretta implementazione dei controlli di sicurezza.
Requisiti di sicurezza nei contratti
L'inserimento contrattuale di requisiti di sicurezza dettagliati per i fornitori crea obblighi che possono essere applicati. Tali clausole dovrebbero specificare i livelli minimi di controlli di sicurezza, i tempi per la notifica delle violazioni, i diritti di controllo e le conseguenze della non conformità. L'ufficio legale dovrebbe collaborare con l'ufficio sicurezza per negoziare una formulazione tecnicamente accurata. I requisiti dovrebbero riguardare la protezione dei dati, i controlli di accesso, la gestione delle vulnerabilità e la risposta agli incidenti. I contratti dovrebbero inoltre prevedere diritti di risoluzione in caso di violazioni della sicurezza informatica.
Firma e verifica del codice
L'utilizzo della firma del codice per tutti i componenti del software garantisce che il codice non venga alterato dopo la creazione. Le aziende devono richiedere ai fornitori che il codice sia firmato digitalmente, con metodi di verifica. Le firme devono essere controllate dai sistemi interni prima dell'installazione di aggiornamenti o nuovi componenti. Questo passaggio ha lo scopo di garantire l'integrità e l'autenticità del codice. Tutti i codici non firmati o firmati in modo improprio devono generare avvisi e non devono essere installati.
Cultura della consapevolezza della sicurezza
La sensibilizzazione dei dipendenti in tutti i team e l'interazione con i fornitori migliorano l'aspetto umano della sicurezza della catena di approvvigionamento. Ciò comprende la formazione del personale sugli standard di sicurezza, l'istruzione agli sviluppatori di verificare l'origine dei componenti e l'allerta dei team aziendali sui rischi legati alla sicurezza dei fornitori. Il personale deve essere regolarmente aggiornato sulle minacce emergenti alla catena di approvvigionamento e sulle tecniche di attacco.
Attacchi significativi alla catena di approvvigionamento
Gli incidenti di sicurezza riportati di seguito hanno avuto un ruolo di primo piano in due importanti attacchi alla catena di approvvigionamento.
Attacco SolarWinds
A meno di un mese dalla violazione, vari fornitori di sicurezza informatica e agenzie governative di sicurezza informatica hanno concluso che l'attacco SolarWinds (scoperto nel dicembre 2020) è stato uno dei più sofisticati attacchi alla catena di approvvigionamento mai identificati o tentati.
Gli hacker sono penetrati nell'ambiente di sviluppo dell'azienda e hanno inserito delle armi nel programma di monitoraggio della rete Orion. Questo aggiornamento del software compromesso è stato firmato digitalmente e distribuito a circa 18.000 clienti. Dopo l'installazione, il malware (denominato SUNBURST) ha creato una backdoor, consentendo all'autore dell'attacco di accedere alla rete colpita. L'attacco è rimasto inosservato per mesi, colpendo obiettivi di grande valore, tra cui diverse agenzie governative statunitensi, Microsoft, FireEye e numerose aziende Fortune 500.
Attacco NotPetya
L'attacco NotPetya del giugno 2017 è iniziato con gli aggiornamenti a M.E.Doc, un software di contabilità ucraino utilizzato per la dichiarazione dei redditi. Gli hacker hanno trovato un modo per accedere al server di aggiornamento del software e hanno caricato un malware in grado di distruggere i terminali, mascherandolo come un vero aggiornamento.
Sebbene progettato per attaccare solo le organizzazioni ucraine, il malware autoreplicante si è rapidamente diffuso in tutto il mondo attraverso le connessioni di rete. Il gigante delle spedizioni Maersk, l'azienda farmaceutica Merck e il servizio di consegna FedEx hanno subito notevoli interruzioni operative. Maersk, ad esempio, è stata costretta a sostituire 45.000 computer e 4.000 server, con danni all'azienda che hanno superato i 300 milioni di dollari.
Cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
Poiché le organizzazioni si trovano sempre più spesso sotto attacco attraverso i loro fornitori esterni e le dipendenze software, la sicurezza della catena di approvvigionamento sta diventando fondamentale. La complessità delle moderne catene di approvvigionamento genera spesso falle di sicurezza che gli aggressori sono più propensi a sfruttare. Le organizzazioni possono proteggersi da tali minacce informatiche, in una certa misura, ma solo quando sono in atto approcci strutturati di gestione del rischio.
La sicurezza della catena di approvvigionamento si riduce a una combinazione di controlli tecnici, processi di valutazione dei fornitori e consapevolezza organizzativa. Le organizzazioni devono avere visibilità delle loro dipendenze esterne senza compromettere i requisiti di sicurezza e le esigenze aziendali. Gli attacchi alla catena di approvvigionamento stanno diventando ogni giorno più sofisticati e i team di sicurezza avranno bisogno di strumenti di nuova generazione per individuarli in modo efficace.
FAQs
La gestione dei rischi della catena di fornitura è il processo di identificazione, valutazione e mitigazione dei rischi per la sicurezza derivanti da fornitori esterni, distributori e componenti di terze parti utilizzati nelle operazioni di un'organizzazione.
Le aziende possono identificare i rischi della catena di fornitura attraverso valutazioni dei fornitori, questionari sulla sicurezza, strumenti di scansione del codice e monitoraggio continuo delle attività dei fornitori.
La tecnologia aiuta attraverso la scansione automatizzata, il monitoraggio continuo e gli strumenti di rilevamento delle minacce che identificano i componenti vulnerabili e i comportamenti insoliti all'interno di catene di approvvigionamento complesse.
Una strategia di gestione dei rischi della catena di fornitura è un piano strutturato che include politiche di selezione dei fornitori, requisiti di sicurezza, metodi di valutazione e pianificazione della risposta agli incidenti per le dipendenze esterne.
I settori dei servizi finanziari, della sanità, della pubblica amministrazione, delle infrastrutture critiche e della tecnologia sono quelli che devono affrontare i rischi più elevati legati alla catena di approvvigionamento a causa dei dati preziosi e delle funzioni critiche che gestiscono.
Sì, standard quali ISO/IEC 27036, NIST Cybersecurity Framework e la serie ISO 28000 forniscono linee guida per la gestione della sicurezza della catena di approvvigionamento.
