Red Hat Product Security Risk Report 2024: CVE, XZ Backdoor, SSCAs e IA. Ecco le principali sfide.

Ti invitiamo a prendere un tè o un caffè e a leggere il 2024 Product Security Risk Report di Red Hat Product Security. In qualità di persona che si impegna a rimanere informata sull'ecosistema open source e sulle sue sfide alla sicurezza, ho trovato il report di quest'anno notevolmente più lungo, ma la profondità e i dettagli non mi hanno deluso. In effetti, un'aggiunta degna di nota al report di quest'anno è la discussione sull'IA. 

I numeri in crescita e gli scenari sono inaspettati?

Innanzitutto, analizziamo i numeri grezzi. Red Hat Security Advisories (RHSA) ha raggiunto un nuovo picco nel 2024, attestandosi a 2975. Negli ultimi anni si è registrato un aumento costante. È interessante notare che, mentre gli avvisi Importante e Moderato hanno registrato un aumento significativo, gli avvisi di tipo Critico sono leggermente diminuiti, grazie a procedure di sicurezza più proattive e un rilevamento più rapido.

Il conteggio delle vulnerabilità e delle esposizioni comuni (CVE) è salito a 4272, un aumento significativo rispetto agli anni precedenti, in cui il numero era relativamente stabile. A cosa è dovuto l'aumento? Il report evidenzia che il Linux Kernel Organization è diventato un'autorità CNA (CVE Numbering Authority) nel febbraio 2024. Ha iniziato ad assegnare CVE a numerosi problemi del kernel, molti dei quali non avrebbero ricevuto incarichi in precedenza. Se si escludono i nuovi CVE di kernel.org, la linea di tendenza appare più familiare, con un leggero aumento, che probabilmente riflette il portafoglio in crescita di Red Hat, ma nulla di allarmante. 

Approfondendo, alla maggior parte dei nuovi CVE del kernel sono assegnate le categorie Moderato e Basso, e solo il 45% dei CVE assegnati da kernel.org nel 2024 ha interessato l'attuale kernel di Red Hat Enterprise Linux (RHEL). Inoltre, l'attenzione dovrebbe rimanere concentrata sulle vulnerabilità nelle categorie Critico e Importante, in linea con il punto in cui vengono rilevati i tentativi di sfruttamento. Questo approccio è confermato dalla rapidità di risoluzione di Red Hat per oltre la metà dei CVE Critici, poiché le prime correzioni vengono fornite entro 7 giorni, con 3 correzioni il giorno 0.

Senza il contesto di cui sopra, quando si esaminano queste metriche, si potrebbe pensare: cosa sta facendo Red Hat? Il conteggio del CVE grezzo è aumentato in modo significativo, ma il profilo di rischio per i prodotti Red Hat non è cambiato. Questi numeri confermano che affidarsi esclusivamente al conteggio CVE non è sufficiente; è inoltre necessario considerare gravità, sfruttabilità e pertinenza. L'attenzione di Red Hat all'applicazione di patch a problemi Critici e Importanti è confermata dai dai dati: laddove è più evidente un maggior sfruttamento delle vulnerabilità, un approccio basato sul rischio ha più senso.

XZ Backdoor: un problema ingombrante

Chi può parlare di sicurezza nel 2024 senza menzionare l'incidente di XZ Backdoor? Si è trattato di un attacco alla catena di distribuzione ben congegnato, e continua a tormentare la community open source. Un manutentore di fiducia che ha dedicato oltre 2 anni alla creazione di rapporti all'interno della community ha introdotto una sofisticata backdoor nella libreria XZ. Se Andres Freund non avesse notato un ritardo delle prestazioni, avrebbe potuto compromettere l'accesso a Secure Shell (SSH) su innumerevoli sistemi.

In questo report, Red Hat riflette sulla risposta dell'open source, soffermandosi ad evidenziare i rischi intrinseci e a mostrare i punti di forza del modello open source. L'analisi e la condivisione rapide e collaborative delle informazioni è stata possibile perché il codice sorgente e le interazioni erano pubblici. Il report illustra anche gli ostacoli all'interno della pipeline: i test Fedora e l'ingegneria della qualità RHEL, che avrebbero potuto rilevare l'attacco, anche se è impossibile dirlo con certezza.  

L'incidente di XZ Backdoor è stato un campanello d'allarme. Questo incidente avrà effetti a lungo termine sui processi di fiducia e di contribuzione nell'open source. Gli attacchi alla catena di distribuzione sono sempre più numerosi e sofisticati. Gli aggressori stanno cercando il modo di prendere di mira gli strumenti comuni e il codice condiviso che gli sviluppatori utilizzano quotidianamente, sperando di causare problemi diffusi. Questi tipi di attacchi dimostrano che i fornitori di software necessitano di più livelli di protezione: controllo automatico della sicurezza delle parti di codice predefinite utilizzate, una catena di montaggio sicura per la creazione del software e un'attenta ispezione di eventuali nuovi componenti prima di aggiungerli. È bello sapere che Red Hat ha effettuato diversi controlli che avrebbero potuto rilevare il recente problema di sicurezza di XZ, sottolineando che questi livelli di sicurezza sono davvero utili. La sicurezza non sarà mai un'attività univoca.

Problemi alla catena di distribuzione

L'escalation degli attacchi SSCAs e la dipendenza da componenti open source è quasi incredibile, ma statisticamente vera. L'analisi di Black Duck dipinge un quadro preoccupante: ben il 97% delle basi di codice commerciali si affida a componenti open source. Sebbene ciò incrementi la velocità di innovazione e sviluppo, può creare un bersaglio estremamente interessante per i malintenzionati, e i dati mostrano che non rinunciano ad alcune opportunità. Nel 2024, il monitoraggio delle SSCAs segnalate pubblicamente da parte di Red Hat ha rivelato 89 incidenti, con un aumento del 68% rispetto all'anno precedente. Il report di Sonatype fa eco a questa tendenza inquietante. Le catene di distribuzione del software sono sempre più sotto assedio.

La compromissione di XZ Util e gli autori di minacce nordcoreani che si sono avvalsi di elaborati schemi di frode sul lavoro per ottenere l'accesso da parte di insider sono solo due esempi delle tattiche in evoluzione utilizzate dai malintenzionati. Il problema è che per la maggior parte di questi attacchi il motivo alla base è in gran parte sconosciuto e la maggior parte di questi attacchi non è stata denunciata. È difficile difendersi in modo efficace se non si comprende bene chi sta attaccando o perché. Sappiamo che alcuni aggressori vogliono denaro o cercano di carpire informazioni, ma non conosciamo l'obiettivo di molti attacchi. Ciò complica la situazione delle minacce informatiche e prevenirle o mitigarle diventa difficile. Prendere di mira gli sviluppatori e i loro punti di accesso ha perfettamente senso dal punto di vista di un utente malintenzionato, poiché detengono le chiavi del "regno", ma significa anche che l'elemento umano della creazione del nostro mondo digitale è un obiettivo primario.

Gli SSCA mostrano l'escalation dello sfruttamento delle dipendenze open source critiche da parte di aggressori esperti e anonimi. Non possiamo semplicemente smettere di usare l'open source dato che è alla base del software moderno. Pertanto, abbiamo bisogno di un cambiamento fondamentale per andare avanti. Abbiamo bisogno di protocolli di sicurezza più proattivi integrati durante tutto il ciclo di vita dello sviluppo, non solo quando reagiamo alle violazioni. Ciò si traduce in una verifica migliorata delle dipendenze, solide pratiche di sicurezza per gli sviluppatori e, come evidenziato dalla risposta di XZ, un modello di responsabilità condivisa in cui fornitori, community e utenti investono nella protezione dell'ecosistema. La portata della nostra dipendenza dall'open source richiede un investimento proporzionale nella sua sicurezza. Ci troviamo ancora a rincorrere avversari che sono chiaramente più avanti.

Ode all'IA

Per chi non l'avesse ancora notato, nel corso dell'ultimo anno, l'IA generativa è esplosa, dai chatbot agli assistenti di programmazione fino agli strumenti creativi. Lo slancio non sta rallentando, e si prevede che l'IA generativa crescerà a un tasso del 37% ogni anno fino al 2030. Questo è a dir poco sbalorditivo. 

Ma come con qualsiasi nuova tecnologia innovativa, c'è una fase entusiasmante in cui tutti si concentrano su ciò che può fare. Quanto velocemente può funzionare? Quanto può creare? Come potrebbe cambiare il nostro modo di fare qualsiasi cosa?

Ma ora che vediamo il reale valore, soprattutto in settori altamente regolamentati come quello sanitario, finanziario e governativo, dove gli errori possono avere conseguenze importanti, dobbiamo iniziare a pensare alle cose serie. Come possiamo garantire la sicurezza e l'affidabilità dell'utilizzo dell'IA? Siamo sicuri che non genererà problemi e che non diffonda informazioni private? I responsabili delle decisioni affermano che, quest'anno, la sicurezza dei dati è già la principale preoccupazione relativa all'IA. Ha perfettamente senso. Non si vuole che le proprie informazioni personali vengano divulgate o che l'IA prenda decisioni sbagliate perché non è stata creata in modo sicuro. Come detto in precedenza, abbiamo già alcuni obiettivi ad alta visibilità nell'open source. 

Quello che apprezzo è che non stiamo solo creando soluzioni di IA: stiamo lavorando per capire come rendere l'IA sicura e affidabile. Ma non è un compito facile. 

Una delle prime cose che Red Hat sottolinea nel rapporto intitolato Building Trust: Foundations of Security, Safety and Transparency in AI è la necessità di separare una vulnerabilità di sicurezza dell'IA da una problematica di affidabilità dell'IA.

• Vulnerabilità di sicurezza: un hacker trova un modo per violare  il sistema di IA.
• Problematica di affidabilità: l'IA stessa genera qualcosa di impreciso, parziale o addirittura dannoso, anche se nessuno l'ha "hackerata".

Questi problemi devono essere affrontati in modo diverso perché correggere un bug non equivale a insegnare all'IA a non essere malevola o inventare informazioni. Servono regole diverse.

È rassicurante vedere che aziende come Red Hat, governi come l'UE e gli Stati Uniti e vari gruppi industriali stanno lavorando duramente per capire come fare. Stanno cercando di creare linee guida, standard e modi per tenere traccia dei diversi rischi dell'IA. L'obiettivo è quello di realizzare questa tecnologia da zero in modo responsabile, formando i propri ingegneri e creando progetti sicuri. Ciò che è significativo è che Red Hat non si limita a parlare, ma crea.

Cosa significa tutto questo? Il boom dell'IA è entusiasmante e potrebbe cambiare molte cose. Tuttavia, come in ogni buona relazione, la fiducia è fondamentale. Il nostro rapporto con l'IA deve basarsi sulla fiducia per poterne sfruttare appieno i vantaggi, e non solo a scopo dimostrativo. Si tratta di lavorare sodo dietro le quinte per assicurarsi che la tecnologia sia sicura, protetta e si comporti come previsto. Sembra che le persone giuste si stiano concentrando su questo, il che è una buona notizia. Dobbiamo fare attenzione e proteggerci ora, piuttosto che cercare di risolvere i problemi enormi in un secondo momento. Abbiamo bisogno di persone che si fidino dell'IA per farlo.  

Dietro le quinte: l'impegno nello SDLC

Nel 2024, Red Hat ha dimostrato che dietro ogni prodotto affidabile c'è un notevole impegno per assicurarsi che nulla venga trascurato.  Il nostro approccio va oltre il semplice rispetto degli standard di sicurezza NIST.  Red Hat sta sviluppando metodi esclusivi per verificare che tutto ciò che costruiamo, incluse le tecnologie di IA, sia affidabile e degno di fiducia fin dall'inizio.

Il Red Hat Secure Software Development Lifecycle (RHSDLC), che prevede il nostro piano per la creazione di software incentrato sulla sicurezza, è ora più intelligente e ancora più in linea con le attuali sfide della sicurezza del mondo reale. Ma non stiamo solo spuntando delle caselle. Stiamo creando i nostri standard, come RHSDLC, per garantire che la catena di distribuzione del software sia protetta dall'inizio alla fine, attraverso il completamento di una procedura SOA (Security Operating Approvals). Ciò include la verifica degli strumenti di terze parti, l'automazione dei controlli e la segnalazione dei rischi prima che si trasformino in problemi. È come identificare una perdita mentre è ancora una goccia, invece di aspettare che arrivi l'inondazione. Ci impegniamo a rafforzare la fiducia dei clienti nei nostri prodotti esplorando a fondo i dettagli della sicurezza e dando la priorità alla fiducia, alla trasparenza e alla resilienza.

Mi è piaciuto molto vedere la standardizzazione di Security Architecture Reviews (SAR) nel RHSDLC. Queste revisioni supportano i principi di sicurezza classici e collaudati, ad esempio "consenti l'accesso solo a ciò che è assolutamente necessario", "applica difese a più livelli" e garantiscono che la sicurezza sia integrata nella progettazione del prodotto sin dal primo giorno. 

Infine, c'è RapiDAST. Se ti interessa l'open source o lo sviluppo di applicazioni, questo strumento è una perla nascosta. È lo strumento di test dinamico della sicurezza delle applicazioni di Red Hat e nel 2024 ha ricevuto importanti aggiornamenti. RapiDAST non è solo diventato più potente, ma anche più facile da usare. Ad esempio, è in grado di fornire supporto per i test degli operatori Kubernetes, una migliore automazione e un'interfaccia molto più semplice. Ora può esportare i risultati direttamente su Google Cloud Storage, rendendo la collaborazione più efficiente.

Red Hat integra tutto questo direttamente nelle pipeline CI/CD, gli stessi sistemi che gli sviluppatori utilizzano quotidianamente per creare e rilasciare i prodotti. Che si tratti di sviluppatori, professionisti IT o utenti finali che si affidano agli strumenti per mantenere i sistemi sicuri, un impegno per lo sviluppo incentrato sulla sicurezza è di fondamentale importanza. In un mondo caratterizzato da continue minacce informatiche, sapere che il fornitore di software è fortemente concentrato sulla sicurezza, dalla fase di progettazione ai test e al monitoraggio dei componenti, è rassicurante. Red Hat considera la sicurezza come una parte fondamentale della qualità, non come un aspetto secondario.

Aspettando il nuovo report, nel 2025

Il report di quest'anno ricorda che la sicurezza è in continua evoluzione. Con i cambiamenti nelle modalità di segnalazione dei CVE, i rischi continui della catena di distribuzione, l'impatto crescente dell'IA e l'assegnazione delle priorità alle vulnerabilità, gli utenti devono considerare molti aspetti.

Avere report trasparenti come questo è molto importante. Aiutano tutti (sviluppatori, team IT e lettori curiosi come me) a capire cosa sta succedendo, a comprendere le sfide e a fare scelte più consapevoli. Dal mio punto di vista, non si tratta solo di prevenire i problemi: il modo in cui rispondiamo è altrettanto importante. Il modo in cui la community open source si è unita durante incidenti come XZ Backdoor è la dimostrazione di quello che la forza della collaborazione può fare!

Leggi il report completo: Red Hat Product Security Risk Report 2024.