Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner

Articoli

Icona delle News




Come evitare attacchi alla supply chain

14/07/21 CoreTech Blog

All'inizio del 2021, alcuni hacker si sono infiltrati in un software utilizzato da migliaia di importanti aziende e organizzazioni in tutto il mondo. Ciò ha consentito a soggetti malintenzionati di accedere ai dati di proprietà dell’azienda e di tutti coloro che hanno utilizzato la soluzione. Tali attacchi sono chiamati attacchi alla catena di approvvigionamento e sì, sono il più possibile possibili nello spazio di sicurezza delle applicazioni web.

La tua azienda utilizza applicazioni web di terze parti? Se sì, come puoi essere certo di non diventare vittima di un attacco alla catena di approvvigionamento?

Banner

È il tuo interesse perché è la tua perdita

Supponiamo che tu rappresenti una grande società che conduce parte delle sue attività commerciali con l'aiuto di software web-based specializzato di terze parti. Ad esempio, supponiamo che tu possieda un'enorme catena di magazzini e utilizzi software di terze parti per pianificare tutta la tua logistica: quali prodotti devono essere consegnati ai tuoi magazzini e quando, in modo che i tuoi clienti possano acquistarli immediatamente ma i tuoi magazzini non sono troppo pieni.

Se l'applicazione Web di terze parti che utilizzi per la logistica non è sicura e viene violata, non è il fornitore di terze parti dell'applicazione che ha più da perdere. Sei tu. Sono i tuoi dati che si trovano nell'applicazione. Sono le tue operazioni che saranno disturbate. E sei tu che sei impotente a risolvere il problema immediatamente. E poiché probabilmente non sei l'unica azienda che fa affidamento su questo software, anche molte altre aziende sono nei tuoi panni.

Questo è il problema più grande con gli attacchi alla catena di approvvigionamento. I produttori di software spesso hanno poco da perdere rispetto ai clienti che acquistano il software.

Puoi gestirlo da solo?

Naturalmente, puoi assumere il tuo team di sicurezza e quel team può gestire la sicurezza delle applicazioni di terze parti. Tuttavia, potresti semplicemente gestire magazzini con parti meccaniche specializzate e avere un reparto IT molto limitato. Dovresti aspettarti di assumere personale di sicurezza per ispezionare gli strumenti e i servizi per cui stai pagando? E se no, come puoi assicurarti che siano adeguatamente protetti?

Anche se decidi che la sicurezza della tua applicazione web è così importante da doverti monitorare da solo, sei in una posizione svantaggiosa. Questo perché ricevi la versione di produzione del software di terze parti e non partecipi allo sviluppo. Se esegui scansioni regolari sul tuo software di terze parti e trovi una vulnerabilità, quel software di terze parti dovrebbe tornare indietro fino al tavolo da disegno per essere riparato. È troppo tardi per cercare problemi nella produzione.

D'altra parte, il tuo appaltatore è in una posizione molto migliore. Possono, ad esempio, includere una soluzione di test di sicurezza all'inizio del loro ciclo di vita di sviluppo del software ed eliminare i problemi nel momento in cui compaiono per la prima volta (subito dopo che lo sviluppatore introduce una vulnerabilità). In questo modo, non ci sono quasi ritardi associati alla sicurezza delle applicazioni web.

Aspettati la sicurezza delle applicazioni web dai tuoi appaltatori

L'unico modo per assicurarti di non essere colpito da attacchi alla catena di approvvigionamento è aspettarti i più alti standard di sicurezza dai tuoi appaltatori. Ciò include ogni parte del software che utilizzi, in particolare tutte le applicazioni accessibili tramite un browser, ad esempio le applicazioni web.

La cosa più semplice che puoi aspettarti è che i tuoi appaltatori ti presentino un rapporto di conformità dello scanner di vulnerabilità web. Questo tipo di report ti mostrerà immediatamente se il software che stai acquistando presenta delle vulnerabilità e se questi sono i tipi di vulnerabilità di cui dovresti preoccuparti.

Devi aspettarti che il tuo appaltatore segua le migliori pratiche di sicurezza delle applicazioni Web e disponga di una strategia di sicurezza delle applicazioni Web completa che includa, come minimo, la scansione di ogni release candidate dell'applicazione. Tuttavia, se vuoi sentirti veramente sicuro, devi aspettarti che il tuo appaltatore includa la sicurezza delle applicazioni Web nel ciclo di vita dello sviluppo del software, nella fase iniziale.

Parla con i tuoi appaltatori per assicurarti che dispongano già di una soluzione di test di sicurezza delle applicazioni dinamiche (DAST) che funzioni come parte del loro SDLC.


Articoli su Sicurezza

La cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft