Governance, Security
Una mappa(tura) che vale già un tesoro
Riallacciandoci alla tematica di cui ci siamo occupati in uno dei nostri bollettini solo pochi mesi fa, ancora una volta ritroviamo oggi le criticità ed I rischi correlati alla catena di approvvigionamento quali protagonisti delle news più recenti.
È difatti di pochissimi giorni fa la notizia che vede il Python Package Index (PyPI, repository di software per pacchetti di programmazione Python che facilita il lavoro degli sviluppatori) richiedere, entro la fine del 2023, l’attivazione obbligatoria dell’autenticazione a due fattori (2FA) per tutti gli account che gestiscono un progetto sulla propria piattaforma. E la decisione sembra proprio scaturire dalla volontà del team PyPI di rafforzare la sicurezza stessa della piattaforma, con un progetto di impegno a lungo termine, integrando nuovi strumenti alle misure adottate in precedenza, quali ad esempio il supporto dei token API ed il blocco delle credenziali compromesse. Utilizzando il 2FA, qualora un cyber criminale ottenesse il controllo dell’account di un manutentore di software e riuscisse ad inserire un malware o una backdoor ad un pacchetto fondamentale a diversi progetti software, si mitigherebbero i rischi e le potenziali conseguenze disastrose legati agli attacchi alla catena di approvvigionamento.
Nel caso della PyPI, difatti, a seconda della diffusione e della popolarità di uno o più pacchetti, un attacco sarebbe in grado di impattare milioni di singoli utenti e, benchè la responsabilità finale di ispezione degli elementi costitutivi dei propri progetti ricada in ultima analisi sugli sviluppatori e quindi sui fruitori del repository, la PyPI si sta muovendo proattivamente e sinergicamente per ridurre al minimo questo tipo di problemi.
Per amor di cronaca va però anche specificato che non più tardi di una settimana fa, a seguito di un’immissione piuttosto importante di malware che consentiva l’impersonificazione dei pacchetti più popolari per poter poi diffondere codice malevolo attraverso gli account dirottati, il team PyPI ha deciso di sospendere temporaneamente tutte le nuove registrazioni fino a che una soluzione di difesa veramente efficace non fosse stata adottata ed implementata con successo.
La 2FA, nelle intenzioni della PyPI, aiuterà dunque a mitigare il problema di compromissione ed impossessamento degli account stabilendo, altresí, un limite al numero di nuovi account che un utente sospeso potrà creare e, di conseguenza, limitare l’evenienza di ricaricamento dei pacchetti dannosi. Il team PyPI raccomanda ai propri utenti, quale misura di sicurezza aggiuntiva e propedeutica alla 2FA, di utilizzare una app di autenticazione o una chiave hardware.
“Le cose più importanti da fare”, dichiara il team PyPI, “per prepararsi sono abilitare la 2FA per il proprio account il prima possibile, sia con un dispositivo di sicurezza (preferibile) che con una app di autenticazione, e passare all’uso di Trusted Publishers (preferibile) o di token API per caricare su PyPI”, sottolineando quindi come proprio l’introduzione di strumenti quali “Trusted Publishing” o GitHub abbiano aiutato gli sviluppatori a familiarizzare sempre più con i requisiti della 2FA.
Le catene di approvvigionamento rimangono dunque, per la loro complessità intrinseca e per le dimensioni in termini di numeri, un tassello piuttosto vulnerabile della sicurezza globale, ed implementare una protezione efficace può rivelarsi più complesso di quanto non si pensi, poiché le vulnerabilità possono essere intrinseche, quindi a monte, oppure introdotte ed in ultima analisi sfruttate in qualunque punto della catena. Ma a venire in soccorso è il National Cyber Security Centre, introducendo il concetto di Supply Chain Mapping (SCM) ossia una mappatura della catena di fornitura che consenta di registrare, archiviare ed utilizzare le varie informazioni raccolte dai fornitori che costituiscono la catena di fornitura di un’azienda in maniera puntuale ed efficace, adempiendo altresì alla ‘due diligence’.
Qui di seguito forniamo un piccolo vademecum delle priorità di primo livello, così come stilato dal National Cyber Security Centre, per chi volesse approcciarsi ed implementare la SCM (tenendo presente che le informazioni sui fornitori esistenti potrebbero essere già presenti nei propri sistemi di approvvigionamento, nel qual caso occorrerà quindi aggregare tutte le informazioni pertinenti) quale strumento per raggiungere una maggiore reattività di risposta agli incidenti legati alla catena di fornitura e rafforzare la fiducia nei rapporti a lungo termine:
• Utilizzare gli archivi esistenti, quali ad esempio i sistemi di approvvigionamento, per formulare un elenco di tutti i fornitori noti. Prioritizzare quindi i fornitori, i sistemi, i prodotti e tutti quei servizi critici per la propria organizzazione. • Prioritizzare le informazioni che sarebbe utile acquisire sulla propria catena di fornitura.
• Stabilire pratiche di archiviazione delle informazioni sicure e gestirne l’accesso.
• Valutare la necessità di eventuali raccolte di informazioni inerenti i subappaltatori dei propri fornitori e delimitarne confini e portata.
• Valutare l’utilizzo di servizi aggiuntivi che possano fornire una valutazione dei fornitori e siano in grado di dettagliare informazioni supplementari sul loro profilo di rischio informatico.
• Stabilire in anticipo, per i nuovi fornitori, quali siano i requisiti minimi da soddisfare nell’ambito del proprio processo di approvvigionamento. • Comunicare in maniera chiara le informazioni loro richieste, per i fornitori esistenti, motivandone la necessità ed inserire le informazioni raccolte dai fornitori esistenti in un archivio centralizzato.
• Aggiornare le clausole contrattuali standard per garantire che le informazioni richieste siano fornite come standard quando si inizia a lavorare con un fornitore.
• Individuare i responsabili delle informazioni raccolte, includendo eventualmente gli approvvigionamenti, i responsabili aziendali, i team di sicurezza informatica e di sicurezza operativa. Rendere quindi consapevoli dell’archivio delle informazioni e consentire l’accesso ai responsabili così come individuati
• Considerare l’eventualità di stilare un playbook (manuale) per rispondere ad incidenti che richiedano un coordinamento degli sforzi sia della catena di fornitura estesa, sia di terze parti quali le forze dell’ordine, le autorità di regolamentazione e persino i clienti.
• Documentare le fasi che dovranno essere modificate all’interno del proprio processo di approvvigionamento a seguito dei risultati forniti della mappatura della catena di fornitura. Ad esempio, potrebbe rivelarsi necessario considerare di escludere quei fornitori che non siano in grado di dimostrare in modo soddisfacente di poter soddisfare le esigenze minime di sicurezza informatica richieste.