La software supply chain security è diventata una priorità per le aziende, o almeno così dovrebbe essere. Già, perché secondo il Rapporto 2024 sulla Sicurezza ICT in Italia del CLUSIT, gli attacchi cyber sono aumentati in modo significativo.
A livello globale, si è registrato un incremento dell'11%, mentre in Italia l'aumento è stato ancora più preoccupante, raggiungendo il 65% nel solo 2023. Questo scenario di rischio è aggravato da conflitti geopolitici, inflazione e instabilità economica, che spingono le organizzazioni a ridurre gli investimenti, inclusi quelli in cybersecurity, per mantenere una posizione finanziaria conservativa.
Tuttavia, la necessità di aumentare la sicurezza nella supply chain è sempre più evidente. L'attacco SolarWinds del dicembre 2020, che ha potenzialmente coinvolto 300.000 aziende nella catena di fornitura, è solo uno dei tanti esempi che ha messo in luce quanto sia critico il tema della sicurezza della supply chain.
In questo articolo affrontiamo il tema della software supply chain security, che è stato al centro anche dell’ evento "Talks on my Machine" organizzato da SparkFabrik il 16 luglio 2024. Durante l'evento, abbiamo approfondito vulnerabilità comuni, strategie di mitigazione e best practice per rafforzare la sicurezza della supply chain. Ma prima di addentrarci nei temi trattati dagli esperti, facciamo un passo indietro.
Partiamo da una definizione. La supply chain security si riferisce alla sicurezza dell'intero processo di sviluppo del software, dalle fasi iniziali di progettazione fino alla distribuzione finale, garantendo che ogni componente e ogni fase siano affidabili. Questo concetto è essenziale per assicurarsi che ogni elemento di un software, sia esso un codice sorgente o una libreria di terze parti, sia sicuro e privo di vulnerabilità che potrebbero essere sfruttate da attori malevoli.
I rischi associati alla catena di approvvigionamento del software sono molteplici. Le aziende si espongono a potenziali supply chain attacks quando non controllano adeguatamente le origini dei componenti utilizzati, rischiando l'inserimento di codice dannoso o di vulnerabilità critiche. Tali compromissioni possono portare a gravi conseguenze, tra cui la perdita di dati sensibili, danni alla reputazione e interruzioni operative. Pertanto, la supply chain security non è solo una componente della sicurezza informatica, ma un pilastro fondamentale per la salvaguardia dell'integrità e dell'affidabilità dell'intero ecosistema software aziendale.
POTREBBE INTERESSARTI ANCHE:
Software Supply Chain: cos’è e quali sono le sue vulnerabilità?
SBOM: la chiave per la sicurezza software nella supply chain
La supply chain security ha assunto un'importanza fondamentale, come dimostrato da attacchi noti, tra cui il già citato attacco SolarWinds, o l'incidente di Codecov, avvenuto nel 2021. In questo security incident, gli aggressori hanno compromesso un tool di sviluppo utilizzato per l'analisi del codice, alterandolo per esfiltrare dati sensibili dagli ambienti di sviluppo delle aziende che lo utilizzavano. Questo attacco ha evidenziato quanto sia fondamentale monitorare e verificare costantemente l'integrità degli strumenti e dei componenti software utilizzati.
Oggi, le vulnerabilità sono in aumento a causa della crescente complessità del software moderno e dell'uso diffuso di componenti di terze parti. Gli sviluppatori spesso integrano librerie e moduli esterni per accelerare i tempi di sviluppo, ma ciò introduce potenziali punti deboli. Inoltre, i cybercriminali hanno riconosciuto la catena di approvvigionamento come un punto strategico da colpire, sfruttando l’ampio accesso che può fornire ai sistemi target. Di conseguenza, le aziende devono adottare misure proattive per la sicurezza della supply chain. Implementare controlli di sicurezza rigorosi, eseguire verifiche continue e monitorare costantemente i fornitori al fine di proteggere i sistemi e ridurre il rischio di attacchi che potrebbero compromettere l'integrità e la fiducia nel software distribuito.
LEGGI ANCHE:
Software Security: best practice per la sicurezza
Il Cyber Resilience Act, la competitività Europea e la sovranità digitale dell'UE
In occasione dell’evento Incontro DevOps Italia, tenutosi a Bologna il 10 marzo 2022, Paolo Mainardi, Co-founder e CTO di SparkFabrik, ha presentato un talk intitolato “Deep dive nella supply chain della nostra infrastruttura cloud”. Durante il suo intervento, ha esaminato le diverse tipologie di attacchi alla supply chain, spiegando come rilevarli e quali tecniche utilizzare per mitigarli. Inoltre, ha illustrato come scrivere codice IaC più sicuro utilizzando tool come Checkov, Sigstore, Syft e Grype, che permettono di generare una SBOM (Software Bill of Materials), ovvero un inventario completo dei componenti software che compongono l'applicazione.
Paolo Mainardi ha recentemente vinto il premio Golden Egg, rilasciato dall’OpenSSF per il suo “eccezionale impegno nel migliorare la sicurezza della catena di fornitura del software”, come dichiarato dalla stessa Open Source Security Foundation. Si tratta di un riconoscimento importante, che simboleggia la gratitudine per la dedizione disinteressata dei vincitori nel promuovere progetti open source.
La sicurezza della catena di approvvigionamento del software - lo abbiamo capito - è fondamentale per proteggere le aziende dalle crescenti minacce informatiche. Utilizzare tecniche e strumenti open source può aiutare a mitigare questi rischi in modo efficace. Vediamo quindi alcune supply chain security best practices che possono risultare utili.
La verifica della firma digitale è una pratica chiave per garantire l'autenticità e l'integrità del software scaricato. Gli strumenti come GnuPG (Gnu Privacy Guard) consentono di verificare che i pacchetti software siano stati rilasciati da fonti attendibili e non siano stati alterati lungo la catena di distribuzione. Questo processo garantisce che solo il software firmato digitalmente e verificato possa essere installato e eseguito sui sistemi aziendali, riducendo il rischio di installazione di software dannoso.
Strumenti come SonarQube e OWASP Dependency-Check consentono di eseguire controlli automatici sui componenti del software e sul codice sorgente per individuare vulnerabilità note e potenziali security risks. Integrare queste analisi nel ciclo di sviluppo del software aiuta a identificare e risolvere i problemi di sicurezza in anticipo, riducendo il rischio di compromissione attraverso vulnerabilità software.
Implementare il principio del privilegio minimo è sempre una strategia vincente in materia di cybersecurity. Anche nel caso della supply chain security, è essenziale limitare l'accesso privilegiato solo ai componenti critici e autorizzati della catena di approvvigionamento del software. Gli strumenti come Docker e Kubernetes consentono di definire e applicare rigorosi controlli di accesso e autorizzazione alle risorse e ai servizi, riducendo così la superficie di attacco e proteggendo i dati e le configurazioni sensibili.
Infine, il monitoraggio continuo della sicurezza è fondamentale per identificare e rispondere prontamente alle minacce alla catena di approvvigionamento del software. Strumenti come Prometheus e Grafana consentono di raccogliere e analizzare metriche di sicurezza in tempo reale, individuando anomalie e comportamenti sospetti che potrebbero indicare un attacco o una compromissione.
Ma c’è un modo ancora più efficace per prevenire i rischi associati alla sicurezza della software supply chain: ascoltare gli esperti sul tema.
Abbiamo ormai compreso che la sicurezza della supply chain del software è un tema caldo, che merita particolare attenzione. L'evento online firmato SparkFabrik ha offerto insight fondamentali per aziende e professionisti del settore. Gli esperti hanno condiviso le loro conoscenze su vari aspetti della supply chain security. Rivedi i talk per conoscere strumenti avanzati e tecniche innovative per aumentare la sicurezza della supply chain.
Michael Lieberman, Co-founder e CTO di Kusari, in questo talk ci mostra come produttori e consumatori di software abbiano entrambi un ruolo cruciale nel garantire la sicurezza. Scopri gli strumenti e le pratiche all'avanguardia che stanno trasformando il settore, e come il progetto GUAC sta migliorando la trasparenza e l'osservabilità nella supply chain del software.
Paolo Mainardi, Co-founder e CTO di SparkFabrik, ci offre una panoramica sullo stato attuale della software supply chain, con un focus su eventi significativi come SolarWinds e log4shell. Tra i temi affrontati in questo talk troviamo: le minacce emergenti e le strategie di mitigazione, inclusi strumenti come Sigstore, Syft e Grype per migliorare l'integrità e ottenere una visibilità senza precedenti dei nostri artefatti e infrastrutture cloud. Scopri come questi strumenti possono aiutare a costruire una supply chain di software veramente affidabile e resiliente.
Andrea Panisson, Cloud-Native Engineer in SparkFabrik, ci guida nella protezione delle infrastrutture gestite tramite Terraform, uno degli strumenti di Infrastructure as Code più potenti. Panisson ci illustra i rischi legati all'uso di provider e moduli estesi di Terraform, mostrando alcuni degli attacchi più comuni e offrendo suggerimenti pratici per mitigarli. Scopri di più sui meccanismi interni di Terraform e le potenziali vulnerabilità nella sua supply chain.
In questo talk, Giuseppe Arancio, Cloud-Native Engineer in SparkFabrik, ci presenta Kyverno, un motore di policy open source per Kubernetes che facilita l'implementazione delle policy di sicurezza e compliance. Arancio ci mostra come utilizzare Kyverno per validare immagini OCI, generare SBOM e integrarsi con le pipeline di CI/CD, creando un flusso di lavoro sicuro e automatizzato. E per finire: una panoramica delle alternative a Kyverno, per avere una visione completa delle soluzioni che permettono di implementare una supply chain sicura su Kubernetes.
In un contesto di crescente cyber-insicurezza, le aziende devono vedere la cybersecurity non solo come una necessità operativa, ma come un investimento strategico per mitigare i rischi e proteggere il proprio business. Rafforzare la sicurezza della supply chain del software è essenziale per preparare la tua azienda alle sfide future e garantire l'integrità e l'affidabilità dell'intero ecosistema software aziendale.
Ascoltare gli esperti, come gli speaker di "Talks on my Machine", rappresenta il primo passo verso una nuova dimensione strategica della sicurezza.