Nonostante la copertura mediatica dedicata alle violazioni di SolarWinds e Kaseya, il nuovo report di Palo Alto Networks sottolinea come le minacce alla sicurezza della supply chain nel cloud continuino a crescere. Molto resta ancora da definire sulla natura e sui mezzi più efficaci per difendersi.
Per comprendere meglio come si verificano gli attacchi alla supply chain nel cloud, i ricercatori di Unit 42 hanno analizzato informazioni provenienti da una varietà di fonti di dati pubblici in tutto il mondo e, su richiesta di un grande provider SaaS, eseguito una simulazione red team contro l’ambiente di sviluppo software. Nel complesso, i risultati indicano che molte organizzazioni si stanno ancora cullando in un falso senso di sicurezza della supply chain nel cloud. Caso emblematico: nonostante un accesso limitato all’ambiente di sviluppo del cliente, un singolo ricercatore di Unit 42 ha impiegato solo tre giorni per scoprire diverse falle critiche che avrebbero potuto esporre l’azienda a un attacco simile a quelli di SolarWinds e Kaseya.
In base all’analisi di Unit 42 sui precedenti attacchi alla supply chain, il report descrive la portata degli attacchi, i dettagli poco noti sul modo in cui si verificano e le best practice che le organizzazioni possono adottare per salvaguardare la sicurezza della supply chain nel cloud.
I difetti della supply chain sono difficili da rilevare
Nel corso della simulazione presso il provider SaaS, i ricercatori sono stati in grado di sfruttare le configurazioni errate nell’ambiente di sviluppo software, prendendo il controllo dei processi di sviluppo software del cliente. Questo livello di accesso ha permesso loro di monitorare il flusso del software e di attaccare la supply chain. Tutto questo sfruttando le falle di processo e di sicurezza della supply chain stessa, come le credenziali hardcoded.
Le simulazioni del red team, come quella eseguita da Unit 42, mostrano come una scarsa igiene nella sicurezza della supply chain possa impattare l’infrastruttura cloud. Il cliente mantiene quella che la maggior parte delle imprese considererebbe una postura matura di sicurezza cloud, tuttavia, i ricercatori di Unit 42 hanno scoperto che il 21% delle scansioni di sicurezza eseguite nell’ambiente di sviluppo ha portato a configurazioni errate o vulnerabilità (un numero che si allinea perfettamente con la media del settore del 20%). I ricercatori ritengono altamente probabile che le tecniche impiegate durante l’esercitazione potrebbero essere eseguite con successo contro molte organizzazioni che sviluppano applicazioni nel cloud.
Il codice di terze parti rappresenta un rischio nascosto
Sulla base di un’analisi globale, Unit 42 ha scoperto che il 63% dei modelli di codice di terze parti utilizzati nella realizzazione di infrastrutture cloud contiene configurazioni insicure. Dato ancora più sconfortante, il 96% delle applicazioni container di terze parti distribuite all’interno dell’infrastruttura cloud include vulnerabilità note. Nella maggior parte degli attacchi che mettono in pericolo la sicurezza della supply chain, un malintenzionato compromette un fornitore e inserisce codice pericoloso nel software utilizzato dai clienti. L’infrastruttura cloud è suscettibile a un approccio simile: il codice non controllato potrebbe dare luogo a falle di sicurezza nell’infrastruttura cloud, fornendo agli attaccanti accesso ai dati sensibili nell’ambiente cloud. Una falla di questo tipo può essere più rischiosa di una nel software, in quanto può avere un impatto diretto su centinaia di workload cloud, come macchine virtuali e storage dei dati.
La sfida da affrontare con il codice di terze parti è legata al fatto che potrebbe provenire da chiunque, compresa una minaccia avanzata persistente (APT). Questo alza la posta in gioco per il codice, destinato a essere condiviso e utilizzato da altri. Date le moderne pratiche di sviluppo software cloud per la condivisione e l’integrazione di codice di terze parti – e la creazione di strutture complesse che dipendono da molti altri elementi costitutivi – se un attaccante compromettesse gli sviluppatori di terze parti o i loro repository di codice avrebbe la possibilità di infiltrarsi nelle infrastrutture cloud di migliaia di organizzazioni.
