CISA & NIST rilasciano le linee guida per la difesa dagli attacchi in supply-chain.

Redazione RHC : 28 Aprile 2021 10:14

La Cybersecurity and Infrastructure Security Agency (CISA) e il National Institute of Standards and Technology (NIST) degli Stati Uniti, hanno rilasciato il documento Defending Against Software Supply Chain Attacks, che fornisce una panoramica dei rischi della catena di fornitura del software e raccomandazioni su come i clienti e i fornitori di software possono utilizzare il Cyber ​​Supply Chain Risk Management del NIST (C -SCRM) e il Secure Software Development Framework (SSDF) per identificare, valutare e mitigare i rischi della catena di fornitura del software.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La catena di fornitura del software rappresenta:

“la rete di rivenditori, distributori e fornitori che partecipano alla vendita, consegna e produzione di hardware, software e dei servizi gestiti”

spiegano CISA e NIST.

A parte l’ incidente di SolarWinds, altri famigerati attacchi alla catena di approvvigionamento negli ultimi anni, sono inclusi la campagna di malware CCleaner, la compromissione di MeDoc (un software di contabilità ucraino) che ha portato alla diffusione del ransomware NotPetya , l’ operazione ShadowHammer, l’infezione di dispositivi IoT con Windows 7 e l’ abuso di Software Kaspersky Lab per rubare i file dalla NSA.

Un attacco alla catena di fornitura del software si verifica quando i criminali informatici riescono a compromettere l’ambiente di un determinato fornitore ed impiantare malware nel suo software, prima che questo raggiunga i clienti, con lo scopo di infiltrarsi nelle sue reti e nei loro sistemi e clienti.

Una volta che il fornitore è stato violato, i clienti vengono compromessi tramite l’acquisizione di nuovo software già infetto o tramite l’installazione di aggiornamenti o hotfix che risultano apparentemente leciti, ma contenenti software dannoso.

“Questi tipi di attacchi colpiscono tutti gli utenti del software compromesso e possono avere conseguenze diffuse per i clienti di software governativi, di infrastrutture critiche e del settore privato”

riporta CISA e NIST in un documento “Difesa dagli attacchi della catena di fornitura del software”.

Le tecniche comuni utilizzate dagli aggressori quando lanciano attacchi in supply-chain includono il

• dirottamento degli aggiornamenti;
• manomissione delle firme;
• compromissione del codice open source.

Pertanto, i criminali informatici possono compromettere il meccanismo di aggiornamento di un fornitore e quindi violare i sistemi di firma, utilizzare certificati self-signed o aggiungere del proprio codice all’interno di librerie accessibili pubblicamente .

Ma c’è una importante riflessione riportata nel documento che dice:

“Gli attacchi alla supply chain del software richiedono in genere una forte attitudine tecnica e un impegno a lungo termine, quindi sono spesso difficili da eseguire. […] In generale, è più probabile che gli attori delle minacce persistenti avanzate (APT) abbiano sia l’intento che la capacità di condurre questo tipo di campagne che sono altamente tecniche e prolungate nel tempo, che possono danneggiare la sicurezza nazionale”

Per mitigare i rischi associati agli attacchi alla catena di approvvigionamento, i difensori della rete dovrebbero applicare le best-practices di sicurezza informatica di settore prima che si verifichi l’attacco,

CISA e NIST raccomandano di utilizzare software di terze parti “nel contesto di un programma di gestione del rischio” che dovrebbe includere un approccio C-SCRM formale a livello di organizzazione .

Difendersi dagli attacchi della catena di fornitura del software include anche raccomandazioni per i fornitori di software, come implementare e seguire un ciclo di vita di sviluppo software (SDLC) e integrare un framework di sviluppo software sicuro (SSDF) per garantire che non forniscano software dannoso o vulnerabile.

Fonte

https://www.redhotcyber.com/wp-content/uploads/attachments/defending_against_software_supply_chain_attacks_508.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli