Google afferma che il GUAC può aiutare la sicurezza della catena di approvvigionamento del software • The Register

In breve Google ha rilasciato un nuovo strumento software open source per aiutare le aziende a comprendere meglio i rischi per le loro catene di fornitura di software aggregando i metadati di sicurezza in un database standardizzato interrogabile.

Il grafico per la comprensione della composizione degli artefatti, o “GUAC” – pronunciato come l’avocado dip – “aggrega e sintetizza i metadati di sicurezza del software su larga scala e lo rende significativo e perseguibile”, ha affermato Google in un post sul blog.

Mentre le moderne catene di fornitura di software a monte sono diventate ricche di metadati e attestazioni, è “difficile o impossibile” per la maggior parte delle aziende mettere queste informazioni in una visione unificata, afferma Google.

“Per comprendere qualcosa di complesso come il raggio di esplosione di una vulnerabilità, è necessario tracciare la relazione tra un componente e tutto il resto nel portafoglio, un’attività che potrebbe abbracciare migliaia di documenti di metadati su centinaia di fonti”, ha affermato Google.

Negli ultimi anni, gli attacchi alla catena di fornitura del software sono stati al centro di molti importanti incidenti di sicurezza informatica, come SolarWinds, Kaseya e Log4j, e coinvolgono gli aggressori che iniettano codice dannoso nel software prima della sua consegna ai clienti.

A RSA 2022, Aanchal Gupta di Microsoft, capo del Security Response Center dell’azienda, ha affermato che gli attacchi alla catena di approvvigionamento continueranno a diventare più diffusi a causa della dipendenza del mondo tecnologico da software di terze parti e open source, che secondo lui “non arriveranno in qualsiasi momento presto.”

In quanto aggregatore di metadati, GUAC è progettato per raccogliere dati da una varietà di fonti, comprese piattaforme software di distinta base, database di vulnerabilità e attestazioni firmate, come SLSA (pronunciato “salsa”) di Google.

GUAC è in grado di raccogliere dati, ingerirli da fonti a monte, raccoglierli in un’unica fonte normalizzata e consente agli utenti di interrogarli per ottenere una distinta base del software, provenienza, catena di costruzione, scorecard di sicurezza del progetto, un elenco di vulnerabilità e eventi del ciclo di vita, afferma Google.

Google afferma che il GUAC potrebbe aiutare a rispondere a domande di sicurezza proattive, come quali componenti in un ecosistema software vengono utilizzati più spesso o quali dipendenze possono essere rischiose, nonché a domande operative come se il nuovo software soddisfi le politiche di sicurezza e domande reattive come in che modo un’organizzazione è influenzata da una nuova vulnerabilità.

Il progetto GUAC è open source e disponibile su GitHub. Google ha affermato che è ancora nei primi giorni di sviluppo ed è disponibile solo come prova di concetto in grado di acquisire dati da SLSA, distinte base del software e documenti Scorecard. Puoi provarlo – o iniettare del tuo codice utile – ora.

L’FBI afferma che gli hacker iraniani che minacciano Israele potrebbero tornare di nuovo negli Stati Uniti

L’FBI ha pubblicato una notifica dell’industria privata che avverte le società di fare attenzione a un gruppo di hacker iraniano noto come Emennet Pasargad, che in precedenza ha molestato gli elettori statunitensi e lanciato campagne di disinformazione durante le elezioni presidenziali del 2020.

Emennet è noto per aver utilizzato operazioni hack-and-leak contro le vittime, ha affermato l’FBI, oltre a utilizzare persone sotto falsa bandiera per spostare la colpa altrove. Il gruppo sembra essere opportunista e generalmente sembra avere l’obiettivo di minare la fiducia del pubblico nelle organizzazioni private e nelle istituzioni governative.

Più di recente, il gruppo è stato avvistato prendendo di mira organizzazioni israeliane utilizzando tattiche simili, ma l’FBI ha affermato di essere attivo negli Stati Uniti all’inizio di quest’anno, quando ha portato a termine un attacco contro un’organizzazione con sede negli Stati Uniti collegata a un gruppo di opposizione iraniano.

Sebbene opportunista, Emennet mostra una certa preferenza per le sue vittime. Quelli a rischio includono qualsiasi gruppo collegato a gruppi di opposizione iraniana, aziende con siti Web che eseguono PHP o un database mysql accessibile dall’esterno, nonché grandi aziende con traffico Web significativo e un’ampia base di clienti.

I funzionari statunitensi hanno avvertito dell’aumento del potenziale di attacco informatico in vista del midterm statunitense del mese prossimo, ma hanno anche affermato di non essere preoccupati per i governi stranieri o i loro agenti che rappresentano una reale minaccia per le elezioni.

CISA vuole fare immersioni subacquee nel tuo cloud Microsoft 365

La Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato uno strumento open source progettato per verificare le distribuzioni di Microsoft 365 rispetto agli standard di sicurezza del cloud dell’agenzia.

Disponibile su GitHub come script PowerShell, il software esamina Teams, SharePoint, Power Platform, Power BI, OneDrive, Exchange, Defender e Azure AD e li confronta con gli standard Secure Cloud Business Applications (SCuBA) CISA annunciati ad aprile.

Le linee guida SCuBA sono state sviluppate per le agenzie del ramo esecutivo civile per “fornire raccomandazioni facilmente adottabili che integrano i requisiti unici di ciascuna agenzia e i livelli di tolleranza al rischio”, ha affermato CISA, e ammette che gli strumenti potrebbero non funzionare in modo impeccabile per le organizzazioni private.

Tuttavia, “CISA raccomanda a tutte le organizzazioni che utilizzano servizi cloud di rivedere le linee di base e di implementare le pratiche in esse contenute, ove appropriato”. Durante i test, l’agenzia ha eseguito il software su tenant con licenze Microsoft 365 E3 o G3 ed E5 o G5 e ha affermato che potrebbe ancora funzionare, ma non è stato testato, distribuzioni diverse da quelle.

Mentre “ScubaGear” per ora supporta solo Microsoft 365, CISA ha affermato che prevede di pubblicare le linee di base di configurazione anche per Google Workspaces. “La pubblicazione delle linee di base GWS e M365 promuoverà la missione della CISA di proteggere l’impresa federale affrontando la sicurezza informatica e le lacune di visibilità all’interno delle applicazioni aziendali basate su cloud”, ha affermato la CISA.

La TSA spala carbone sui requisiti di sicurezza informatica delle ferrovie

La Transportation Security Administration (TSA) ha emesso una direttiva per gli operatori ferroviari dicendo loro che è ora di fare sul serio sulla sicurezza informatica, e non è un’opzione.

Citando “la continua minaccia alla sicurezza informatica per i sistemi di trasporto di superficie” e attacchi che potrebbero portare a “degrado, distruzione o malfunzionamento” di tali sistemi, la TSA richiede [PDF] tutti i vettori ferroviari merci designati e le ferrovie devono rispettare quattro regole:

  • Un coordinatore della sicurezza informatica deve essere sempre reperibile
  • Tutti gli incidenti di sicurezza informatica devono essere segnalati alla CISA entro 24 ore
  • Gli operatori devono sviluppare un piano di risposta agli incidenti di sicurezza informatica
  • Gli operatori devono condurre valutazioni della vulnerabilità e segnalarle alla TSA entro 90 giorni dalla direttiva

Per raggiungere i suoi obiettivi, la TSA richiede agli operatori ferroviari di sviluppare politiche di segmentazione della rete, migliorare i controlli di accesso, costruire piattaforme di monitoraggio continuo e sviluppare un processo di patching standard per ridurre al minimo i rischi di sfruttamento.

Gli Stati Uniti hanno richiesto alle aziende in modo più ampio di presentare segnalazioni di incidenti informatici entro 72 ore, ma sembrano imporre requisiti più severi agli operatori ferroviari, il che non sorprende dato che le ferrovie sono incluse nell’elenco dei settori delle infrastrutture critiche della CISA.

I requisiti non dovrebbero essere troppo difficili da implementare, secondo l’amministratore della TSA David Pekoske, perché i portavoce del settore hanno contribuito a sviluppare le regole. “Siamo incoraggiati dalla significativa collaborazione tra TSA, [Federal Railroad Administration]CISA e l’industria ferroviaria nello sviluppo di questa direttiva sulla sicurezza.” ®

Leave a Comment

Your email address will not be published. Required fields are marked *