Diventa Autore per CoreTech | Scopri di più
14/07/21 CoreTech Blog
All'inizio del 2021, alcuni hacker si sono infiltrati in un software utilizzato da migliaia di importanti aziende e organizzazioni in tutto il mondo. Ciò ha consentito a soggetti malintenzionati di accedere ai dati di proprietà dell’azienda e di tutti coloro che hanno utilizzato la soluzione. Tali attacchi sono chiamati attacchi alla catena di approvvigionamento e sì, sono il più possibile possibili nello spazio di sicurezza delle applicazioni web.
La tua azienda utilizza applicazioni web di terze parti? Se sì, come puoi essere certo di non diventare vittima di un attacco alla catena di approvvigionamento?
Supponiamo che tu rappresenti una grande società che conduce parte delle sue attività commerciali con l'aiuto di software web-based specializzato di terze parti. Ad esempio, supponiamo che tu possieda un'enorme catena di magazzini e utilizzi software di terze parti per pianificare tutta la tua logistica: quali prodotti devono essere consegnati ai tuoi magazzini e quando, in modo che i tuoi clienti possano acquistarli immediatamente ma i tuoi magazzini non sono troppo pieni.
Se l'applicazione Web di terze parti che utilizzi per la logistica non è sicura e viene violata, non è il fornitore di terze parti dell'applicazione che ha più da perdere. Sei tu. Sono i tuoi dati che si trovano nell'applicazione. Sono le tue operazioni che saranno disturbate. E sei tu che sei impotente a risolvere il problema immediatamente. E poiché probabilmente non sei l'unica azienda che fa affidamento su questo software, anche molte altre aziende sono nei tuoi panni.
Questo è il problema più grande con gli attacchi alla catena di approvvigionamento. I produttori di software spesso hanno poco da perdere rispetto ai clienti che acquistano il software.
Naturalmente, puoi assumere il tuo team di sicurezza e quel team può gestire la sicurezza delle applicazioni di terze parti. Tuttavia, potresti semplicemente gestire magazzini con parti meccaniche specializzate e avere un reparto IT molto limitato. Dovresti aspettarti di assumere personale di sicurezza per ispezionare gli strumenti e i servizi per cui stai pagando? E se no, come puoi assicurarti che siano adeguatamente protetti?
Anche se decidi che la sicurezza della tua applicazione web è così importante da doverti monitorare da solo, sei in una posizione svantaggiosa. Questo perché ricevi la versione di produzione del software di terze parti e non partecipi allo sviluppo. Se esegui scansioni regolari sul tuo software di terze parti e trovi una vulnerabilità, quel software di terze parti dovrebbe tornare indietro fino al tavolo da disegno per essere riparato. È troppo tardi per cercare problemi nella produzione.
D'altra parte, il tuo appaltatore è in una posizione molto migliore. Possono, ad esempio, includere una soluzione di test di sicurezza all'inizio del loro ciclo di vita di sviluppo del software ed eliminare i problemi nel momento in cui compaiono per la prima volta (subito dopo che lo sviluppatore introduce una vulnerabilità). In questo modo, non ci sono quasi ritardi associati alla sicurezza delle applicazioni web.
L'unico modo per assicurarti di non essere colpito da attacchi alla catena di approvvigionamento è aspettarti i più alti standard di sicurezza dai tuoi appaltatori. Ciò include ogni parte del software che utilizzi, in particolare tutte le applicazioni accessibili tramite un browser, ad esempio le applicazioni web.
La cosa più semplice che puoi aspettarti è che i tuoi appaltatori ti presentino un rapporto di conformità dello scanner di vulnerabilità web. Questo tipo di report ti mostrerà immediatamente se il software che stai acquistando presenta delle vulnerabilità e se questi sono i tipi di vulnerabilità di cui dovresti preoccuparti.
Devi aspettarti che il tuo appaltatore segua le migliori pratiche di sicurezza delle applicazioni Web e disponga di una strategia di sicurezza delle applicazioni Web completa che includa, come minimo, la scansione di ogni release candidate dell'applicazione. Tuttavia, se vuoi sentirti veramente sicuro, devi aspettarti che il tuo appaltatore includa la sicurezza delle applicazioni Web nel ciclo di vita dello sviluppo del software, nella fase iniziale.
Parla con i tuoi appaltatori per assicurarti che dispongano già di una soluzione di test di sicurezza delle applicazioni dinamiche (DAST) che funzioni come parte del loro SDLC.