Ci sono alcune violazioni che cambiano il modo in cui il settore concepisce la sicurezza. L’attacco hacker a SolarWinds è stato uno di questi.
Non erano solo le dimensioni o la complessità a renderlo così particolare. È stata la consapevolezza che gli aggiornamenti software che le aziende ritenevano sicuri potevano diventare essi stessi un vettore di attacco. Per molte aziende, quel momento è stato un campanello d’allarme. Ha messo in luce quanta fiducia implicita ci fosse nelle catene di approvvigionamento del software e quanto fosse scarsa la visibilità una volta che il codice usciva dal controllo interno.
A distanza di anni, la domanda scomoda rimane. Quanto è davvero cambiato?
Quando la fiducia diventa vulnerabilità
Alla fine del 2020, SolarWinds — un noto fornitore di software per la gestione IT — è stata al centro di uno dei più gravi casi di spionaggio informatico della storia recente. Gli hacker sono riusciti a compromettere il processo di sviluppo del software dell’azienda e a inserire codice dannoso nei suoi aggiornamenti. Quell’aggiornamento è stato poi scaricato da migliaia di organizzazioni come parte della manutenzione ordinaria, consentendo inconsapevolmente agli hacker di accedere ai sistemi interni.
Non sono state solo la portata o la complessità a rendere questa violazione così significativa. È stata la consapevolezza che gli aggiornamenti software che le aziende ritenevano sicuri potevano diventare essi stessi il vettore dell’attacco.
L’aspetto più sorprendente della violazione non è stato il fatto che gli hacker abbiano compromesso un fornitore di software, ma che siano riusciti a raggiungere migliaia di organizzazioni senza doverle attaccare una per una.
Dopo aver inserito del codice dannoso nel processo di compilazione di SolarWinds, gli hacker sono riusciti a diffonderlo tramite un aggiornamento software affidabile che i clienti hanno installato nell’ambito della manutenzione ordinaria. Dal punto di vista delle organizzazioni che lo hanno ricevuto, tutto sembrava normale. L’aggiornamento proveniva da un fornitore conosciuto, è arrivato attraverso canali ufficiali ed è stato installato senza destare sospetti.
È proprio questo che ha reso l’attacco così efficace. Anziché sfruttare una falla nel firewall o una vulnerabilità non corretta in ogni ambiente preso di mira, gli hacker hanno approfittato della fiducia che le organizzazioni riponevano nella loro catena di fornitura del software.
È proprio questo che rende gli attacchi alla catena di approvvigionamento così difficili da contrastare. Gli stessi sistemi progettati per semplificare gli aggiornamenti e garantire l’integrità possono anche diventare il canale attraverso cui si introduce il rischio.
I rischi nella pipeline di compilazione
I moderni flussi di lavoro di sviluppo sono pensati per garantire velocità ed efficienza. Il codice viene scritto, testato, integrato e distribuito a un ritmo che sarebbe stato impensabile solo dieci anni fa. Ma questa velocità comporta una maggiore complessità.
Nel processo sono coinvolti diversi strumenti, ambienti e dipendenze, ognuno dei quali rappresenta un potenziale punto di vulnerabilità se non adeguatamente protetto. Quando gli hacker riescono ad accedere a una pipeline di compilazione, non compromettono solo un singolo sistema, ma si posizionano a monte, dove possono influenzare tutto ciò che passa attraverso di essa. È qui che la firma del codice diventa importante, ma anche potenzialmente fuorviante. Un aggiornamento firmato dà un senso di sicurezza, ma conferma solo che il codice proviene da una fonte fidata. Non garantisce che la fonte non sia stata compromessa.
Senza controlli rigorosi su come il codice viene sviluppato, testato e firmato, quella fiducia potrebbe rivelarsi mal riposta.
Il punto cieco degli aggiornamenti software
Gli aggiornamenti software sono pensati per migliorare la sicurezza. Ecco perché spesso vengono distribuiti in fretta, a volte in modo automatico, senza un controllo approfondito. Il problema è che questo processo parte dal presupposto che l’aggiornamento stesso sia sicuro.
Nel caso di SolarWinds e di altri attacchi alla catena di approvvigionamento che sono seguiti, il meccanismo di aggiornamento è diventato il canale di diffusione del codice dannoso. Le organizzazioni hanno applicato l’aggiornamento come parte della manutenzione ordinaria, senza rendersi conto che stavano introducendo un rischio nei propri ambienti. Questo mette in evidenza una lacuna. Mentre spesso ci si concentra molto sul rilevamento delle minacce esterne, si presta meno attenzione al monitoraggio di ciò che accade dopo l’installazione del software.
Senza una maggiore visibilità su come si comportano i sistemi dopo l’aggiornamento, diventa difficile capire quando qualcosa non va per il verso giusto.
Codice esterno, rischio interno
Ogni organizzazione fa affidamento in qualche modo su codice esterno, che si tratti di software di terze parti, librerie open source o servizi integrati. Questa dipendenza è inevitabile, ma comporta dei rischi che non sempre vengono compresi appieno.
Una volta che il codice esterno entra in un ambiente, spesso viene considerato intrinsecamente affidabile, soprattutto se proviene da un fornitore noto. Questo presupposto può creare dei punti ciechi, specialmente quando i processi di convalida interni sono limitati o incoerenti.
La convalida del codice esterno non significa diffidare di ogni fornitore. Significa piuttosto riconoscere che il rischio non scompare solo perché la fonte è conosciuta. La violazione di SolarWinds ha dimostrato come anche fornitori affidabili possano diventare parte della catena di attacco.
Perché il modello Zero Trust sembra ancora irraggiungibile
Il concetto di “zero trust” è diventato oggetto di ampio dibattito negli anni successivi all’attacco a SolarWinds. L’idea di verificare costantemente utenti, sistemi e accessi, invece di basarsi su una fiducia implicita, ha senso in linea di principio. In pratica, però, la sua diffusione è stata più lenta di quanto molti si aspettassero.
Parte della sfida sta nella portata del cambiamento richiesto. Passare a un modello zero-trust significa ripensare il modo in cui vengono concessi gli accessi, come interagiscono i sistemi e come si instaura la fiducia all’interno dell’organizzazione.
Per molte aziende, questo sembra un cambiamento significativo rispetto ai metodi di lavoro consolidati e richiede un coordinamento tra i vari reparti e la volontà di mettere in discussione preconcetti di lunga data. Di conseguenza, i progressi sono spesso graduali. Possono essere introdotti alcuni elementi dello zero trust, ma raramente in modo tale da affrontare pienamente i rischi messi in luce dagli attacchi alla catena di approvvigionamento.
Le decisioni umane dietro la tecnologia
Anche se spesso si parla degli attacchi alla catena di approvvigionamento in termini molto tecnici, in realtà sono le decisioni umane a determinarne l’esito in ogni fase. Le scelte relative alla rapidità con cui vengono distribuiti gli aggiornamenti, all’accuratezza con cui viene revisionato il codice e al livello di visibilità garantito tra i vari sistemi influenzano tutte il livello di rischio.
Queste decisioni vengono prese raramente in modo isolato. Sono influenzate da scadenze e pressioni operative e, in quel contesto, la fiducia diventa una necessità pratica piuttosto che un rischio calcolato. La sfida sta nel fatto che gli hacker comprendono questa dinamica. Non hanno bisogno di aggirare ogni singolo controllo se riescono a trovare un modo per agire all’interno del flusso delle normali attività.
Perché le lezioni non sono state ancora pienamente assimilate
La violazione di SolarWinds ha messo in luce una serie di problemi sistemici, ma per risolverli non basta la semplice consapevolezza. Ci vuole un intervento coerente su più fronti: dalla messa in sicurezza delle pipeline di sviluppo al miglioramento della visibilità sul comportamento del software, dal rafforzamento dei processi di convalida al ripensamento dei modelli di fiducia.
Non si tratta di soluzioni rapide. Implicano cambiamenti radicali nel modo in cui le organizzazioni sviluppano, implementano e gestiscono la tecnologia. Ecco perché i progressi possono sembrare lenti. Le lezioni sono state comprese, ma metterle in pratica nella quotidianità è molto più complesso.
Andare avanti senza fidarsi ciecamente
Ridurre i rischi della catena di approvvigionamento non significa eliminare del tutto la fiducia. Significa invece valutare con maggiore attenzione a chi affidarsi e come verificare tale fiducia. Ciò comporta il rafforzamento dei controlli sulle pipeline di sviluppo, il miglioramento del monitoraggio del comportamento del software e la garanzia che il codice esterno sia sottoposto a livelli adeguati di verifica. Significa anche riconoscere che la fiducia non dovrebbe essere statica. Ciò che un tempo era considerato sicuro potrebbe non esserlo più con l’evolversi degli ambienti.
Un approccio più resiliente punta sulla verifica continua, in cui le ipotesi vengono regolarmente messe alla prova invece di essere date per scontate.
Come può aiutarti MetaCompliance
Noi di MetaCompliance ci concentriamo sui comportamenti che stanno alla base dei rischi di sicurezza più complessi, compresi quelli messi in luce dagli attacchi alla catena di approvvigionamento.
Gli insegnamenti tratti da incidenti come quello di SolarWinds non sono solo di natura tecnica. Mettono in evidenza come le decisioni quotidiane, dall’implementazione degli aggiornamenti alla gestione dei rapporti con i fornitori esterni, possano comportare dei rischi se non vengono comprese appieno.
Il nostro approccio combina una formazione mirata sulla sicurezza con approfondimenti comportamentali, aiutando le organizzazioni a capire come i rischi legati all’OWASP Top 10 e alle vulnerabilità della catena di approvvigionamento si manifestano in scenari reali. Questo significa capire come si instaura la fiducia, dove può venir meno e come reagire in modo più efficace.
Offrendo ai team una guida pratica e un quadro di riferimento, aiutiamo le organizzazioni ad andare oltre le risposte reattive e a sviluppare un approccio più coerente e consapevole alla gestione del rischio.
Man mano che le catene di approvvigionamento diventano sempre più complesse, la capacità di mettere in discussione i presupposti e prendere decisioni migliori diventa sempre più importante.
Contatta il nostro team oggi stesso per saperne di più.
Domande frequenti sugli attacchi alla catena di approvvigionamento
Cos'è stato l'attacco hacker a SolarWinds e perché è stato così importante?
L’attacco a SolarWinds è stato un grave attacco alla catena di approvvigionamento in cui gli hacker hanno inserito codice dannoso in un aggiornamento software legittimo. Questo ha permesso loro di accedere a migliaia di organizzazioni, tra cui agenzie governative e grandi aziende, senza destare sospetti immediati. La sua importanza sta nel fatto che ha messo in luce i rischi legati all’affidarsi agli aggiornamenti software e ai fornitori terzi senza un’adeguata verifica.
Che cos'è un attacco alla catena di approvvigionamento nel campo della sicurezza informatica?
Un attacco alla catena di fornitura si verifica quando gli hacker compromettono una terza parte di fiducia, come un fornitore di software, per ottenere l’accesso ai sistemi dei suoi clienti. Invece di prendere di mira direttamente le organizzazioni, gli hacker sfruttano le relazioni e le dipendenze tra le aziende, spesso utilizzando aggiornamenti software legittimi o integrazioni come punto di accesso.
Perché gli aggiornamenti software rappresentano un rischio per la sicurezza?
Gli aggiornamenti software sono pensati per migliorare i sistemi, ma possono diventare un rischio se il processo di aggiornamento viene compromesso. Se in un aggiornamento viene introdotto del codice dannoso, questo può diffondersi su larga scala ed essere installato automaticamente dalle organizzazioni che si fidano della fonte. Senza un adeguato monitoraggio e una verifica adeguata, questi aggiornamenti possono introdurre minacce senza essere individuati.
Cos'è lo Zero Trust e perché è importante?
Il “zero trust” è un approccio alla sicurezza che parte dal presupposto che nessun utente, sistema o applicazione debba essere considerato affidabile di default, anche se si trova all’interno della rete. Richiede una verifica continua degli accessi e delle attività. Questo è importante perché riduce la dipendenza dalla fiducia implicita, che spesso viene sfruttata in attacchi come le violazioni della catena di approvvigionamento.
Come possono le aziende ridurre i rischi per la sicurezza della catena di approvvigionamento?
Le organizzazioni possono ridurre i rischi per la sicurezza della catena di fornitura migliorando la visibilità sul proprio software e sui propri fornitori, rafforzando i controlli sulle pipeline di compilazione, verificando in modo più approfondito il codice esterno e monitorando il comportamento del sistema dopo l’implementazione degli aggiornamenti.
Anche l’adozione di principi come lo zero trust e l’organizzazione di corsi di formazione sulla sicurezza possono aiutare i team a prendere decisioni più consapevoli in materia di fiducia e rischio.