Sicurezza delle terze parti: il tema è sempre più al centro dell’attenzione dei Responsabili della cybersecurity, essendo stato molto sottostimato in passato. Quali presidi vanno oggi sviluppati? Ne abbiamo parlato in questa intervista con Enrico Maresca, Chief Information Security Officer di Italo – NTV.
TIG. La maggior parte delle organizzazioni si è concentrata in passato nel mettere in sicurezza processi e attività interne, quello che più facilmente può essere controllato, mentre sono stati sottovalutati i rischi della catena di fornitura, la cui sicurezza può essere influenzata ma non ricade tipicamente nelle responsabilità dell’impresa. Perché oggi lo scenario è diverso e come fare per cambiare?
Enrico Maresca. Spesso la parte di sicurezza della supply chain è stata trascurata in passato. Si è privilegiato securizzare la propria azienda lasciando poco presidiato l’ambito dei fornitori: il rischio legato ai fornitori è stato sottostimato al punto, in alcuni casi, da non dover neanche pensare di mitigarlo o monitorarlo. Oggi però i collegamenti dei fornitori con l’azienda sono sempre più profondi e numerosi, la supply chain non può più essere considerata “esterna”. A dimostrazione del fatto che il rischio legato alle supply chain è elevato, tutta una serie di attacchi hanno fatto leva negli ultimi anni su queste vulnerabilità, diventate un ponte d’ingresso per la diffusione di gravi minacce di cybersecurity.
Gestire i rischi di cybersecurity collegati alla supply chain vuol dire (come descritto bene nel framework del NIST per la gestione della sicurezza dei fornitori) assicurare integrità, sicurezza, qualità e resilienza della supply chain, comprendendone prodotti e servizi. I rischi delle supply chain sono sempre stati svariati (contraffazioni, produzioni non autorizzate, furti) e oggi includono aspetti informatici, come ad esempio la diffusione di software malevolo.
TIG. Mettere in sicurezza la supply chain richiede far maturare la gestione ordinaria dei rischi cyber al punto da considerare minacce, metodi, tattiche degli attaccanti che possono coinvolgere i “bordi” dell’organizzazione. Come implementare un programma di supply chain security? Quali sono le capacità e le attività richieste per applicarlo con successo e per farlo evolvere costantemente?
Enrico Maresca. La prima cosa per un CISO, nella lista delle priorità, è un risk assessment per individuare i fornitori più critici. Inoltre, la sicurezza della supply chain va il più possibile anticipata, fissando una serie di requisiti da valutare in fase di contrattualizzazione e attivandosi con security audit presso i fornitori, in modo da raccogliere evidenze oggettive. Nelle verifiche sulla sicurezza adottata dal fornitore il nostro approccio deve essere comunque quello di un advisor e di un partner, perché può capitare che il fornitore non abbia né le capacità né le risorse per mettersi in sicurezza: in alcuni casi servirà quindi fornire informazioni su come mettersi in regola, su come migliorare la postura di sicurezza. Oltre alla lista dei requisiti di sicurezza, nei contratti vanno anche previsti SLA e penali, da far rispettare.
TIG. Quali altre misure servono a innalzare la sicurezza nei rapporti con i fornitori?
Enrico Maresca. Abbiamo il tema del controllo degli accessi: vanno rafforzate le misure di sicurezza anche per i fornitori, tramite autenticazione MFA, attenzione nei privilegi assegnati alle utenze. L’uso di VPN, va bene, ma va implementata una attenta segregazione delle vlan a cui possono accedere i fornitori.
C’è poi un tema di monitoraggio, di analisi dei log di accesso e applicativi inviati al SIEM. Ci è capitato infatti di avere fornitori vittima di incidenti informatici. Ad esempio, era stato colpito il sistema di posta elettronica e la rubrica, per cui dal fornitore partivano mail a nostro nome con allegati malevoli. Per fortuna, con i corretti presidi, ce ne siamo accorti in tempo per bloccare il malware.
Vanno monitorate le infrastrutture del fornitore e quanto meno gli accessi. Se si hanno collegamenti Lan-to-Lan con i fornitori, con l’uso di VPN, serve dotarsi di sonde IPS e firewall, di un SIEM che analizzi e correli gli eventi in tempo reale. Infatti, se dal fornitore arriva un malware, e non è visto in real time, in pochissimo tempo si propaga ovunque. Oggi come oggi, non cambia molto tra fornitori e dipendenti, se ai fornitori abbiamo dato l’accesso a reti e sistemi … anzi, a volte succede che i fornitori abbiano privilegi più elevati rispetto agli amministratori interni. Il monitoraggio è quindi fondamentale per ridurre questo rischio.
TIG. Come organizzarsi per prevenire incidenti che coinvolgano i fornitori?
Enrico Maresca. Il problema è che siamo veramente sotto attacco continuo: l’ideale sarebbe dotarsi di un runbook per velocizzare la risposta in caso di incidente (contente almeno i punti di contatto del fornitore), per sapere esattamente chi chiamare, ad esempio di notte, sapendo se la persona che chiamo è stata formata oppure no. Un’altra attività spesso trascurata sono le simulazioni di attacco che coinvolgano anche i fornitori, in quanto senza esercitazioni congiunte non saremo pronti a rispondere. Bisogna avere una relazione diretta e un canale di comunicazione a due vie con le persone della sicurezza o IT del fornitore, mantenere un dialogo aperto per condividere informazioni critiche con fiducia reciproca.
TIG. Nei contratti devono essere previste anche misure per la notifica di incidenti di sicurezza e metodi per la remediation?
Enrico Maresca. Tutti i contratti con i fornitori devono assolutamente prevedere delle clausole relative ai tempi di notifica degli incidenti e alle modalità di intervento attuate dal fornitore. In particolare, risulta molto utile definire dei processi e delle procedure congiunte da attuare in caso di incidente e testarle regolarmente.
TIG. Con riferimento alla catena IT, e in particolare ai fornitori di software, andrebbero previste misure specifiche? come, ad esempio, test di sicurezza del software, o disclosure dell’uso di codice open source?
Enrico Maresca. Per i fornitori di software vanno previste misure di sicurezza e clausole specifiche. Ad esempio, il software dovrebbe essere sviluppato seguendo almeno le linee guida dell’OWASP, prestando particolare attenzione alle TOP 10 OWASP vulnerabilities. Inoltre, vanno previsti regolari attività di Static Application Security Testing (SAST) e Dynamic Application Security Testing (DAST) per intervenire durante già durante la fase di sviluppo, garantendo così la sicurezza del software una volta in produzione.
A cura di: Elena Vaciago, @evaciago
Precedenti articoli:
SUPPLY CHAIN SECURITY: STANDARD E NORME IN VIA DI SVILUPPO, 14 aprile 2022
L’AGENDA 2022 DEL CISO: UNA SECURITY RESPONSIVE ED EFFICACE, 12 gennaio 2022
L’AGENDA 2022 DEL CISO: VANTAGGI E RACCOMANDAZIONI PER SOAR E XDR, 10 gennaio 2022
REALIZZARE NELLA PRATICA LA SICUREZZA DELLE SUPPLY CHAIN, 2 gennaio 2022