Mentre il governo federale degli Stti Uniti continua a emergere dalla pandemia, la sua strategia informatica è influenzata da due tendenze efficaci, ma divergenti: la zero trust e l’open source. Grazie anche all’ordine esecutivo della Casa Bianca del 2021 sul miglioramento della sicurezza informatica della nazione, la più importante di queste tendenze potrebbe essere l’adozione della zero trust. Ma alcuni temono che il guadagno in termini di cybersicurezza possa essere indebolito dalla crescente popolarità del software open source.
Con queste parole esordisce l’articolo redatto da Rick Vanover, Senior Director, Product Strategy di Veeam, che presegue ricordando come, secondo il 2020 Federal Source Code Study, l’80% degli oltre 6.800 progetti software federali elencati su Code.gov sono open source, consentendo agli sviluppatori di innovare rapidamente, ridurre i costi di implementazione e offrire una maggiore scelta di fornitori.
L’approccio all’innovazione sostenuto dalla folla dell’open source potrebbe migliorare la sicurezza informatica, ma la trasparenza del codice sorgente può consentire agli aggressori di introdurre malware in modo creativo. Un documento di ricerca del 2020, intitolato ‘Backstabber’s Knife Collection‘ (Collezione di coltelli da traditore), ha descritto in dettaglio 174 pacchetti software dannosi ‘utilizzati in attacchi reali alle software supply chain open source‘ tra il 2015 e il 2019, per evidenziare le sfide che le applicazioni software devono affrontare in caso di potenziali violazioni.
Sebbene la comunità open source sia abile nel monitorare e correggere rapidamente le vulnerabilità, la diffusione dei pacchetti open source fa sì che quando si verifica un attacco, questo possa diffondersi rapidamente prima di essere rilevato. Una volta che le applicazioni software open source vengono violate, diventa difficile per un’architettura zero trust combattere l’attacco, perché il software infettato dal malware è già stato considerato nell’ambiente IT.
Sebbene la zero trust possa contribuire a proteggere i punti di accesso legittimi e a limitare l’esposizione dei dati, non è in grado di recuperare i dati compromessi in caso di attacco. Zero Trust è un’architettura, un progetto, una mentalità, non una copia a prova di bomba dei dati, né un singolo prodotto.
Per prepararsi al potenziale impatto degli attacchi alle supply chain open-source, le agenzie devono pensare al di là dei tradizionali metodi zero trust per mettere in atto strategie difensive che tengano conto dell’intera supply chain e un solido piano di protezione dei dati in caso di violazione.
Proteggi l’intera software supply chain
La dipendenza dal software open source non è destinata a diminuire, soprattutto nel settore pubblico, dove il governo federale continua a vedere il valore dell’innovazione. Ciò significa che, oltre alle protezioni zero trust, i responsabili IT devono anche incorporare iniziative di cybersecurity contro possibili attacchi alla softwer supply chain. Ciò potrebbe includere misure come la richiesta di una distinta base del software (SBOM) per fornire al personale IT dati sui componenti di un prodotto software. Richiede inoltre una forte igiene informatica da parte dei responsabili IT, tra cui frequenti patch e aggiornamenti dei componenti software in tutta l’azienda per proteggersi da eventuali vulnerabilità.
Proteggi i tuoi dati
Per contrastare un attacco già avvenuto, i responsabili IT devono assicurarsi che anche i loro dati siano protetti. Come abbiamo scoperto con NotPetya, un ceppo di malware identificato per la prima volta in un attacco del 2017 in Ucraina, si pensava inizialmente che l’attacco stesso fosse un ransomware installato in un aggiornamento software legittimo che semplicemente impediva agli utenti di accedere ai propri dati. Tuttavia, alla fine si è scoperto che si trattava di un attacco wiper a rapida diffusione che ha distrutto irrimediabilmente i dati sui computer infetti e ha causato danni per 10 miliardi di dollari a livello globale.
A causa del rischio intrinseco di queste minacce, è fondamentale per le aziende implementare una strategia di backup dei dati che sia affidabile, verificata e testata e che possa essere implementata su tutti i carichi di lavoro mission-critical. Ciò significa adottare misure come garantire che l’integrità di un backup sia verificabile fin dal momento della sua creazione e rapidamente recuperabile in caso di attacco. I backup devono inoltre possedere una certa resilienza agli attacchi, essendo archiviati su unità rimovibili, protetti in repository protetti, protetti con crittografia end-to-end o salvaguardati da funzionalità di bonifica da ransomware.
Senza una visibilità completa della software supply chain, può essere difficile identificare le vulnerabilità. Sebbene gli sforzi per proteggere la software supply chain siano continui, una strategia di protezione dei dati estesa a tutti i sistemi on-premise, nel cloud e all’interno di altri sistemi basati su software è una sicurezza critica e quindi la forma più completa di protezione. La zero trust rimane una strategia importante per sconfiggere potenziali attacchi informatici, ma è solo una delle strategie da utilizzare contro avversari sempre più sofisticati. Per garantire la resilienza dell’amministrazione pubblica di fronte a tali minacce, è indispensabile che essa abbia alla base una solida strategia di protezione dei dati.