01-15-2021

Attacco SolarWinds: tutta colpa della firma del codice?

Mike Nelson

Tutte le chiacchiere in corso sull'attacco SolarWinds riguardano la sua entità: chi è stato compromesso? Che livello di accesso è stato raggiunto? Cosa fare se si subisce una compromissione?

Sono tutte ottime domande che necessitano di risposte, rapidamente. Tuttavia, come professionista della sicurezza, dopo aver aiutato molte organizzazioni per la firma del codice, non posso fare a meno di portare all'attenzione di tutti alcuni semplici errori commessi che hanno portato a questa diffusa compromissione della sicurezza.

Ho lavorato con molte organizzazioni e ho toccato con mano le prassi adottate in materia di firma del codice e posso dire con certezza che al posto di SolarWinds potevano esserci molte altre grandi imprese che vendono prodotti soggetti a regolari aggiornamenti.

Ho visto pratiche di firma del codice che non oso ripetere, per paura che qualcun altro si senta autorizzato a fare altrettanto. Qui di seguito vi farò un breve elenco dei peccati capitali più frequenti quando si tratta di firma del codice:

  • Caricare una chiave di firma su una chiavetta USB e diffonderla senza alcun controllo
  • Utilizzare la STESSA chiave di firma per firmare tutti i file
  • Utilizzare la STESSA chiave di firma su diverse linee di prodotti e attività
  • Non avere un meccanismo di controllo di chi può firmare cosa
  • Non avere delle funzionalità di reporting che mostrino autore e data della firma del codice

La firma del codice è un sistema che funziona. Ciò che espone la tua azienda a un maggiore rischio è l'adozione di procedure di firma inadeguate. Nel caso di SolarWinds, utilizzavano un certificato di firma del codice per firmare i file. Il problema non era quindi il certificato di firma del codice, ma il modo in cui lo eseguivano.

Qui di seguito cercherò di formulare alcuni suggerimenti per prevenire la compromissione della firma del codice. Il punto di partenza essenziale per una firma del codice sicura è proteggere e controllare l'uso delle chiavi di firma. Se non sei disposto a farlo, forse è meglio se smetti di leggere qui.

Sei ancora qui? Ben fatto. Il passo successivo è dotarsi di una strategia di rotazione delle chiavi. L'uso della stessa chiave per firmare qualsiasi cosa è la ricetta ideale per assicurarsi una interruzione massiccia del servizio. Se la tua chiave viene compromessa, tutto ciò che hai firmato è a rischio. Avere una solida strategia di rotazione frequente delle chiavi, usare chiavi uniche e su richiesta limita i danni di una compromissione.

Un'altra procedura consigliata per la firma del codice consiste nell'eseguire una scansione antivirus sul codice prima della firma. Evitiamo in ogni modo di firmare un codice senza aver accertato che nessun elemento dannoso si sia infilato nel pacchetto.

Infine, un'efficace firma del codice si basa su controllo e trasparenza. Essere in grado di determinare i diritti di firma, controllarli e farli applicare ti consentirà di avere la certezza che le tue chiavi di firma non sono diffuse con leggerezza. Inoltre, la possibilità di generare rapporti che mostrino autori delle firme, oggetto firmato e data della firma consente di contenere i problemi non appena si presentano.

Lo ripeto: il problema di SolarWinds non è stato la firma del codice, ma la cattiva gestione del processo. Per semplificare la gestione della firma del codice, DigiCert ha predisposto una soluzione completa: Secure Software Manager, nell'ambito della piattaforma DigiCert ONE™. Ricordi i peccati capitali di cui abbiamo parlato prima riguardo alla firma del codice? Secure Software Manager è stato pensato per aiutare le organizzazioni a evitare questi errori.

E se hai già avviato alcune di queste prassi sbagliate, fermati subito. Riprendi il controllo di ciò che stai facendo e riduci i rischi per la tua attività. SolarWinds non è l'unica impresa con pratiche di firma del codice errate: facciamo tesoro di questa vicenda per migliorare il nostro modo di operare e proteggere le nostre attività.

Informazioni su Secure Software Manager
Secure Software Manager gestisce in modo moderno la firma del codice tramite l'automazione della protezione con pipeline CI/CD (Continuous Integration/Continuous Delivery), modelli di distribuzione trasferibili e flessibili e una gestione sicura delle chiavi.

Firma i codici binari in modo rapido, semplice e su larga scala con Secure Software Manager. Inoltre, le chiavi vengono generate nel cloud, quindi quando non in uso sono in modalità offline e ciò garantisce che non vengano condivise, perse o rubate. Secure Software Manager sostiene le migliori prassi per la firma del codice, come chiavi e certificati univoci in caso di firma privata, chiavi su richiesta e a rotazione.

Secure Software Manager è compatibile con le piattaforme e le librerie più diffuse, tra cui:

Con Secure Software Manager, le aziende possono integrare facilmente il codice in processi di sviluppo del prodotto, e allo stesso tempo delegare le operazioni di crittografia, le attività e la gestione della firma in modo controllato e verificabile. Grazie al monitoraggio, alla creazione di report e ad audit di controllo per analisi forense e contabile, Secure Software Manager consente alle aziende di rispettare le policy di sicurezza aziendali e di settore.

Secure Software Manager, basato su DigiCert ONE
Secure Software Manager si basa su DigiCert ONE, la più moderna piattaforma di gestione PKI sul mercato. DigiCert ONE è stata sviluppata con architettura e tecnologia cloud nativa, il servizio di infrastruttura PKI per risolvere le attuali sfide di sicurezza.

Rilasciata nel 2020, DigiCert ONE offre molteplici soluzioni di gestione ed è progettata per tutti i casi d'uso PKI. La sua flessibilità consente l'implementazione in locale, nel paese o nel cloud per soddisfare requisiti rigorosi ed esigenze di integrazioni personalizzate e di airgap. Inoltre, distribuisce rapidamente volumi molto elevati di certificati utilizzando un'infrastruttura robusta e altamente scalabile. DigiCert ONE offre una gestione centralizzata end-to-end dei certificati di dispositivi e utenti, un approccio PKI moderno che rende affidabili i cluster Kubernetes e le architetture IT dinamiche.

Per ulteriori informazioni su Secure Software Manager, visita digicert.com/secure-software-manager e segui il blog DigiCert per conoscere altri modi in cui Secure Software Manager può semplificare la firma del codice per la tua azienda.

UP NEXT

Tre modi insospettabili per usare la PKI nelle grandi aziende e come garantire che siano tutti sicuri

5 Min

Argomenti in primo piano 

03-01-2021

Perché non c'è mai stato momento migliore per automatizzare

I am not able to find blog article
Something went wrong
Please check blog url you selected to View
I am not able to find blog article
Something went wrong
Please check blog url you selected to View