Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

CISA & NIST rilasciano le linee guida per la difesa dagli attacchi in supply-chain.

Redazione RHC : 28 Aprile 2021 10:14

La Cybersecurity and Infrastructure Security Agency (CISA) e il National Institute of Standards and Technology (NIST) degli Stati Uniti, hanno rilasciato il documento Defending Against Software Supply Chain Attacks, che fornisce una panoramica dei rischi della catena di fornitura del software e raccomandazioni su come i clienti e i fornitori di software possono utilizzare il Cyber ​​Supply Chain Risk Management del NIST (C -SCRM) e il Secure Software Development Framework (SSDF) per identificare, valutare e mitigare i rischi della catena di fornitura del software.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La catena di fornitura del software rappresenta:

“la rete di rivenditori, distributori e fornitori che partecipano alla vendita, consegna e produzione di hardware, software e dei servizi gestiti”

spiegano CISA e NIST.

A parte l’ incidente di SolarWinds, altri famigerati attacchi alla catena di approvvigionamento negli ultimi anni, sono inclusi la campagna di malware CCleaner, la compromissione di MeDoc (un software di contabilità ucraino) che ha portato alla diffusione del ransomware NotPetya , l’ operazione ShadowHammer, l’infezione di dispositivi IoT con Windows 7 e l’ abuso di Software Kaspersky Lab per rubare i file dalla NSA.

Un attacco alla catena di fornitura del software si verifica quando i criminali informatici riescono a compromettere l’ambiente di un determinato fornitore ed impiantare malware nel suo software, prima che questo raggiunga i clienti, con lo scopo di infiltrarsi nelle sue reti e nei loro sistemi e clienti.

Una volta che il fornitore è stato violato, i clienti vengono compromessi tramite l’acquisizione di nuovo software già infetto o tramite l’installazione di aggiornamenti o hotfix che risultano apparentemente leciti, ma contenenti software dannoso.

“Questi tipi di attacchi colpiscono tutti gli utenti del software compromesso e possono avere conseguenze diffuse per i clienti di software governativi, di infrastrutture critiche e del settore privato”

riporta CISA e NIST in un documento “Difesa dagli attacchi della catena di fornitura del software”.

Le tecniche comuni utilizzate dagli aggressori quando lanciano attacchi in supply-chain includono il

  • dirottamento degli aggiornamenti;
  • manomissione delle firme;
  • compromissione del codice open source.

Pertanto, i criminali informatici possono compromettere il meccanismo di aggiornamento di un fornitore e quindi violare i sistemi di firma, utilizzare certificati self-signed o aggiungere del proprio codice all’interno di librerie accessibili pubblicamente .

Ma c’è una importante riflessione riportata nel documento che dice:

“Gli attacchi alla supply chain del software richiedono in genere una forte attitudine tecnica e un impegno a lungo termine, quindi sono spesso difficili da eseguire. […] In generale, è più probabile che gli attori delle minacce persistenti avanzate (APT) abbiano sia l’intento che la capacità di condurre questo tipo di campagne che sono altamente tecniche e prolungate nel tempo, che possono danneggiare la sicurezza nazionale”

Per mitigare i rischi associati agli attacchi alla catena di approvvigionamento, i difensori della rete dovrebbero applicare le best-practices di sicurezza informatica di settore prima che si verifichi l’attacco,

CISA e NIST raccomandano di utilizzare software di terze parti “nel contesto di un programma di gestione del rischio” che dovrebbe includere un approccio C-SCRM formale a livello di organizzazione .

Difendersi dagli attacchi della catena di fornitura del software include anche raccomandazioni per i fornitori di software, come implementare e seguire un ciclo di vita di sviluppo software (SDLC) e integrare un framework di sviluppo software sicuro (SSDF) per garantire che non forniscano software dannoso o vulnerabile.

Fonte

https://www.redhotcyber.com/wp-content/uploads/attachments/defending_against_software_supply_chain_attacks_508.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...