Attacchi alla supply chain

  • Articolo
  • 2 minuti per la lettura

Gli attacchi della supply chain sono un tipo emergente di minaccia che si rivolge a sviluppatori e fornitori di software. L'obiettivo è accedere ai codici sorgente, ai processi di compilazione o ai meccanismi di aggiornamento infettando le app legittime per distribuire malware.

Funzionamento degli attacchi della supply chain

Gli utenti malintenzionati cercano protocolli di rete non sicuri, infrastrutture server non protette e procedure di codifica non sicure. Si irrompono, modificano i codici sorgente e nascondono il malware nei processi di compilazione e aggiornamento.

Poiché il software viene creato e rilasciato da fornitori attendibili, queste app e aggiornamenti sono firmati e certificati. Negli attacchi della supply chain software, i fornitori probabilmente non sono a conoscenza del fatto che le app o gli aggiornamenti sono infettati da codice dannoso quando vengono rilasciati al pubblico. Il codice dannoso viene quindi eseguito con la stessa attendibilità e le stesse autorizzazioni dell'app.

Il numero di potenziali vittime è significativo, data la popolarità di alcune app. Si è verificato un caso in cui un'app di compressione file gratuita è stata avvelenata e distribuita ai clienti in un paese in cui era l'app di utilità principale.

Tipi di attacchi della supply chain

  • Strumenti di compilazione software compromessi o infrastruttura aggiornata

  • Certificati di firma del codice rubati o app dannose firmate usando l'identità della società di sviluppo

  • Codice specializzato compromesso fornito in componenti hardware o firmware

  • Malware preinstallato nei dispositivi (fotocamere, USB, telefoni e così via)

Per altre informazioni sugli attacchi della supply chain, leggere questo post di blog intitolato Attacco iniziale: la catena di approvvigionamento compromessa all'interno di una supply chain comporta nuovi rischi.

Come proteggersi dagli attacchi della supply chain

  • Distribuire criteri di integrità del codice sicuri per consentire l'esecuzione solo di app autorizzate.

  • Usare soluzioni di rilevamento e risposta degli endpoint in grado di rilevare e correggere automaticamente le attività sospette.

Per fornitori e sviluppatori di software

  • Mantenere un'infrastruttura di compilazione e aggiornamento altamente sicura.

    • Applicare immediatamente patch di sicurezza per il sistema operativo e il software.
    • Implementare controlli di integrità obbligatori per garantire l'esecuzione solo di strumenti attendibili.
    • Richiedere l'autenticazione a più fattori per gli amministratori.

  • Creare updater software sicuri come parte del ciclo di vita dello sviluppo software.

    • Richiedere SSL per i canali di aggiornamento e implementare l'aggiunta di certificati.
    • Firma tutto, inclusi file di configurazione, script, file XML e pacchetti.
    • Verificare la presenza di firme digitali e non consentire all'utilità di aggiornamento software di accettare comandi e input generici.

  • Sviluppare un processo di risposta agli eventi imprevisti per gli attacchi della supply chain.

    • Divulgare gli eventi imprevisti della supply chain e informare i clienti con informazioni accurate e tempestive

Per suggerimenti più generali sulla protezione dei sistemi e dei dispositivi, vedere Prevenire le infezioni da malware.