- supply chain dei vendor di software Valutare e mitigare il rischio di Cyber Security della - Acronis
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ጷ Valutare e mitigare il rischio di Cyber Security della supply chain dei vendor di software 2021
ጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Sommario
Riepilogo esecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Portata storica della violazione di SolarWinds . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Anatomia dell'attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
La minaccia degli attacchi alla supply chain per i Service Provider . . . . . . . . . . . . . . . 7
Sicurezza dell'accesso alle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Sviluppo sicuro di software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Riepilogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Certificazioni e test delle soluzioni di Cyber Protection Acronis . . . . . . . . . . . . . . . . 17
Risorse aggiuntive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Informazioni su Acronis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 | acronis.com
ጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Riepilogo esecutivo
L'attacco subito da La violazione è stata causata I Managed Service Provider In un settore che per sua natura Gli MSP che desiderano
SolarWinds ha portato in da un attacco APT (Advanced (MSP) in particolare dovrebbero dipende da una complessa ridurre il rischio relativo alla
primo piano il rischio di attacchi Persistent Threat, minaccia prestare particolare attenzione a catena di distribuzione loro supply chain software
potenzialmente catastrofici alla persistente avanzata) questo rischio, poiché un attacco e consegna, il livello di dovrebbero concentrarsi in
supply chain in cui possono sofisticato e di difficile riuscito che si estende ai loro Cyber Security di un MSP può primo luogo sulle aree critiche
incorrere imprese, istituzioni rilevazione, sferrato da un clienti potrebbe rappresentare essere notevolmente ridotto di rischio per la Cyber Security
governative e Service Provider. criminale istituzionale ai danni una minaccia estremamente da vulnerabilità che interessano associate ai propri vendor
di un vendor di software allo seria per le aziende di questi i suoi fornitori, partner e clienti. tecnologici e ai propri Service
scopo di condurre attività di ultimi. Poche aziende vorranno La solidità di una catena è Provider, tra cui:
controllo sugli enti governativi intrattenere rapporti commerciali determinata dal suo anello
1. Sicurezza dei controlli
e le imprese private che si con un MSP che, invece di più debole.
degli accessi
affidavano al vendor. proteggere i propri clienti,
2. Qualità delle prassi di
ha offerto il punto di ingresso
sicurezza per lo sviluppo
per il furto, la manomissione
e la distribuzione di software
o la distruzione di dati.
3 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Portata storica della
violazione di SolarWinds
L'incidente riguardante la supply chain di SolarWinds, rilevato all'inizio di dicembre potrebbe essere il repository privato o l'app store di un vendor, oppure un repository
2020, è stato uno dei più sofisticati e riusciti attacchi informatici alle imprese e alle pubblico di condivisione di codice come GitHub. Una potenziale violazione avviene ogni
istituzioni governative occidentali della storia recente. Un gruppo ben organizzato, volta che un utente installa l'aggiornamento del software, del firmware o dell'hardware
adeguatamente finanziato e altamente qualificato, presumibilmente affiliato ai servizi compromesso. Nel caso della violazione subita da SolarWinds, gli hacker si sono infiltrati
segreti esteri russi, si è infiltrato con successo nei sistemi di migliaia di grandi imprese nel repository privato del vendor tecnologico di Orion, uno strumento di gestione delle
di portata globale e di diverse agenzie governative federali degli Stati Uniti, tra cui il reti e di monitoraggio delle prestazioni molto diffuso tra le imprese, gli enti pubblici
Dipartimento per la Sicurezza Interna, il Dipartimento di Stato, il Ministero del Tesoro e i Service Provider. Tali strumenti sono un obiettivo comune per gli hacker, poiché
e il Dipartimento del Commercio. Sebbene si ritenga che l'80% delle vittime abbia sede possono fornire facilmente l'accesso a un'intera azienda, inclusi partner e clienti.
negli Stati Uniti, l'attacco ha colpito anche obiettivi in Canada, Messico, Regno Unito,
Spagna, Belgio, Israele ed Emirati Arabi Uniti. L'attacco a SolarWinds può inoltre essere classificato come minaccia persistente
avanzata (APT), caratterizzata da un processo sofisticato e a più fasi promosso da stati-
La violazione che ha interessato SolarWinds è solo l'ultimo esempio di quelli nazione che dispongono di notevoli mezzi economici e di un elevato livello di pazienza
che vengono definiti attacchi alla supply chain software, sferrati da un hacker e competenze. Le APT sono progettate per sfuggire a lungo al rilevamento, per cui sono
che compromette una fonte software, firmware o hardware affidabile mediante difficili da contrastare e da eliminare del tutto una volta che sono state rilevate.
l'introduzione di strumenti di controllo e altro codice dannoso. L'obiettivo iniziale
4 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Anatomia dell'attacco
L'attacco ha seguito il tipico processo a più fasi delle APT: compromissione iniziale, A partire dall'autunno del 2019, gli hacker avevano iniziato a installare una backdoor
comunicazione a un server di comando e controllo esterno per il download di malware dannosa nel codice Orion, servendosi di un processo estremamente sofisticato
aggiuntivo, controllo dell'ambiente tecnologico per l'individuazione di vulnerabilità, per garantire che nessuna build di software Orion compromessa generasse errori,
escalation dei privilegi, movimento laterale all'interno e all'esterno della rete per la avvisando gli sviluppatori di un'intrusione. In questo modo, il software compromesso
compromissione di altri obiettivi accessibili ed esecuzione dell'attacco finale, in questo conteneva una backdoor che era in grado di comunicare tramite HTTP con server
caso il furto di dati importanti. In ogni fase dell'attacco sono stati utilizzati metodi esterni di terze parti. Gli hacker hanno utilizzato il software per recuperare ed eseguire
ingegnosi e non comuni per eludere i controlli di sicurezza dello sviluppo di software comandi per il trasferimento di file a servizi esterni, l'esecuzione di processi dannosi
e le contromisure di Cyber Security. e legittimi, la profilazione del sistema, il riavvio dei sistemi e la disabilitazione di servizi
di sistema come l'analisi forense e la protezione antivirus. Ciò ha permesso al traffico di
rete del software di assumere le sembianze di un normale protocollo Orion, mentre le
attività di ricognizione venivano archiviate nei consueti file di configurazione dei plugin,
confondendosi con le operazioni quotidiane di SolarWinds.
Quando un cliente Orion installava l'aggiornamento con il trojan, una DLL dannosa
veniva caricata da un processo di installazione di SolarWinds che la considerava legittima,
in quanto dotata del certificato digitale appropriato. Dopo un periodo di inattività della
durata massima di due settimane, il malware ha iniziato a connettersi con server di
comando e controllo esterni, tutti rinominati per sembrare server legittimi nell'ambiente
della vittima, e a utilizzare server privati virtuali per mostrare indirizzi IP dal paese
della vittima.
5 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Il traffico verso i server di controllo malevoli imitava le normali
comunicazioni API di SolarWinds per sfuggire al rilevamento. Dopo aver
ottenuto l'accesso iniziale, gli hacker hanno continuato a eseguire di
nascosto le loro operazioni mentre si muovevano lateralmente all'interno
dell'organizzazione, spesso utilizzando credenziali legittime per ottenere
l'accesso remoto all'ambiente di una vittima. Hanno regolarmente
sostituito utility e attività programmate legittime con altre dannose,
le hanno eseguite e infine hanno ripristinato quelle originali, rimuovendo
i loro strumenti e le loro backdoor una volta ottenuto l'accesso remoto. Il conseguente furto di dati aziendali e governativi sensibili, incluse informazioni
sulle infrastrutture e sulle operazioni IT, era probabilmente l'obiettivo principale
Questo approccio ha permesso l'esecuzione in memoria di un dropper dell'attacco. Sebbene il successo di questa operazione abbia inferto un duro colpo
mascherato da servizio utilizzato per leggere un file .jpg falso, decodificarne il payload alle imprese e alle agenzie governative colpite, i suoi effetti avrebbero potuto essere
dannoso integrato e caricarlo manualmente direttamente in memoria, eludendo così molto più devastanti. Ad esempio, oltre al furto di dati, gli hacker avrebbero potuto
le scansioni antivirus. È stato il payload in questione ad arrecare il danno effettivo, sferrare anche un attacco ransomware per crittografare i dati del sistema rendendoli
identificando i file utili all'interno dell'organizzazione e caricandoli sui server esterni inaccessibili, costringendo la vittima ad eseguire complesse attività per tentare di
degli hacker. ripristinarli e riprendere le normali operazioni.
6 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
La minaccia degli attacchi
alla supply chain per
i Service Provider
Tutti i Service Provider dovrebbero considerare come un rischio cruciale per la loro
azienda un attacco alla supply chain software simile a quello subito da SolarWinds,
in quanto potrebbe comportare il mancato rispetto degli SLA, la violazione dei contratti
e gravi danni in termini di reputazione, fiducia dei clienti e valutazione pubblica. Perché
un'azienda dovrebbe affidare le proprie applicazioni e i propri dati sensibili a un MSP che
non è in grado di controllare i propri fornitori per prevenire un attacco di questo tipo?
Nessuna azienda è esente dal rischio di cadere vittima di un attacco informatico,
indipendentemente da quanto siano sofisticati e dettagliati i programmi di protezione
che adotta. I criminali informatici spinti da interessi economici sono meno temibili, in
quanto sceglieranno un nuovo obiettivo se quello attuale non produce rapidamente
risultati. Gli aggressori istituzionali, invece, possono contare su risorse illimitate e su
una notevole pazienza ed esperienza di hacking per sferrare i loro attacchi. Poche
aziende private sarebbero in grado di contrastare un attacco della portata, complessità
e persistenza dell'APT che ha colpito SolarWinds, soprattutto alla luce del fatto che,
in media, gli MSP contano 25 vendor tecnologici, 25 clienti e 2.000 endpoint che
rappresentano potenziali superfici di attacco.
7 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Tuttavia, gli MSP possono e devono intraprendere azioni per ridurre al minimo e, nella maggior parte dei casi, sono pensate per le grandi imprese piuttosto che per
i rischi di attacchi alla supply chain software e adottare misure per limitare l'entità dei l'ambiente multi-tenant e multi-client in cui operano gli MSP. Indipendentemente
danni nel caso in cui un attacco abbia successo. Molte imprese e Service Provider di da ciò, possono fornire un utile punto di partenza per comprendere i processi
grandi dimensioni seguono framework di settore creati da organismi di normazione e le metodologie di valutazione della sicurezza completi. Nella sezione RISORSE
internazionali, come ISO/IEC e NIST, per condurre valutazioni di sicurezza per sé AGGIUNTIVE riportata di seguito viene indicato dove trovare la documentazione
e i propri fornitori e clienti. Tuttavia, per essere efficaci, tali valutazioni spesso relativa a questi framework di settore.
richiedono personale dedicato che abbia esperienza con i framework in questione
Per iniziare il percorso di valutazione della sicurezza finalizzata
a mitigare il rischio di attacchi alla supply chain software,
è utile prendere in considerazione la seguente serie di domande
relative alle aree di rischio principali.
ACCESSO ALLE APPLICAZIONI SVILUPPO SICURO DI SOFTWARE
A chi e in che modo viene concesso l'accesso ai Misure utilizzate durante l'intero processo di sviluppo del
dati sensibili, come viene documentato l'accesso software, dalla progettazione alla distribuzione ai clienti,
e quali misure di gestione e test vengono adottate per mitigare i rischi di manomissione (implementazione di
per garantire la sicurezza dell'infrastruttura in cui codice dannoso) e di altre minacce alla sicurezza ad opera
si trovano i dati. di hacker esterni o interni.
8 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
CONTINUITÀ
OPERATIVA
CONFORMITÀ
La valutazione della sicurezza dei vendor per il rischio
della supply chain software richiede più di una semplice
SICUREZZA
DEI DATI documentazione. Occorre confutare le affermazioni in essa
GESTIONE
contenute e dimostrare quanto si dichiara, ad esempio fornendo
GESTIONE
DEGLI INCIDENTI
audit trail, prove di formazione e certificazione, certificati di
SUPPLY conformità dei data center e controlli on-site delle strutture.
CHAIN
PERSONALE GRC
MSP PERSONALE
MOBILE
CRITTOGRAFIA
GESTIONE DELLE
VULNERABILITÀ
SICUREZZA FISICA/
IAM DEI DATA CENTER
SICUREZZA
DELLE APP
FISICA/
DATA CENTER
9 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Sicurezza dell'accesso Il controllo dell'accesso alle applicazioni e ai dati sensibili è una
componente critica della sicurezza della supply chain software.
alle applicazioni Alcune domande importanti su questo punto da porre ai fornitori,
compresi i Service Provider multi-tenant, sono:
Limitate, registrate e monitorate l'accesso ai vostri sistemi di gestione della
sicurezza (ad esempio, firewall, rilevatori di vulnerabilità, sniffer di rete, API, ecc.)?
Monitorate e registrate l'accesso con privilegi (ad esempio, livello di
amministratore) ai sistemi di gestione della sicurezza? Avete implementato la
gestione degli utenti con privilegi per garantire un accesso limitato nel tempo
e con privilegi minimi per i sistemi critici?
10 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Avete adottato policy, procedure e misure tecniche per assicurare una Quali controlli eseguite per prevenire l'accesso non autorizzato alle vostre
gestione appropriata dell'accesso ai dati e/o alle attività in conformità con applicazioni e al codice sorgente degli oggetti? Quali controlli analoghi eseguite
i requisiti di conformità legali, normativi o regolamentari? per le applicazioni tenant?
Quali procedure e misure tecniche adottate per la segmentazione Richiedete l'autorizzazione e la convalida periodica dei diritti di accesso
dell'accesso ai dati in ambienti multi-tenant? per tutti gli utenti e gli amministratori del sistema?
Quali sistemi di autenticazione, autorizzazione e trasparenza utilizzate? Supportate l'uso di, o l'integrazione con, le soluzioni esistenti di Single
Quali sistemi richiedono o meno l'autenticazione a più fattori? Gestite Sign‑On (SSO) basato sul cliente? Supportate gli standard federativi relativi
e archiviate le identità di tutto il personale che ha accesso all'infrastruttura IT, alle identità (ad esempio SAML, SPML, WS-Federation, ecc.) per l'autenticazione
incluso il loro livello di accesso? e l'autorizzazione degli utenti?
11 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Adottate un sistema di gestione delle identità che consenta la classificazione Supportate la modifica forzata delle password al primo accesso?
dei dati per tenant per offrire l'accesso ai dati basato sul ruolo e sul contesto?
Fornite ai tenant opzioni di autenticazione a più fattori (ad esempio, Consentite lo sblocco degli account mediante, ad esempio, opzioni
certificati digitali, token, biometrica, ecc.) per l'accesso degli utenti? self‑service, e-mail, domande di sicurezza, sblocco manuale?
Supportate l'applicazione di policy per le password (ad esempio, lunghezza
L'accesso alle utilità per la gestione di partizioni virtualizzate (ad esempio,
minima, durata, cronologia, complessità) e il blocco degli account (ad esempio,
arresto, clonazione, ecc.) presenta le opportune restrizioni ed è monitorato
soglia per il blocco, durata del blocco)? Consentite ai tenant e ai clienti di
adeguatamente?
definire le policy relative alle password e al blocco dei propri account?
12 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE Sviluppo sicuro di software L'attacco subito da SolarWinds ha dimostrato che, una volta che un hacker ha compromesso un repository di codice protetto, molti meccanismi di sicurezza tradizionali adottati dalle aziende possono essere superati, poiché tali contromisure presuppongono che un sistema operativo, un'applicazione, un driver o un elemento di rete legittimo non compirà azioni malevole, a meno che non venga compromesso da attacchi esterni, più facili da rilevare. Pertanto, occorre accertarsi che i propri vendor di software principali abbiano implementato un programma di sviluppo di software sicuro e che adottino meccanismi per difendere i dati dei prodotti e dei clienti da modifiche e altri attacchi. 13 | acronis.com
ጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Offrite agli architetti e ingegneri software, ai responsabili delle operazioni IT e al personale di Cyber Security
DOMANDE PRINCIPALI DA
formazione sulla Security Awareness e sugli standard rilevanti per proteggere da manomissioni l'architettura,
PORRE AL PROPRIO VENDOR
lo sviluppo e la sicurezza del codice?
DI SOFTWARE:
Utilizzate un processo a più livelli per analizzare il codice e verificare la presenza di vulnerabilità in ogni fase
dello sviluppo mediante controlli condotti in modo indipendente da team di sviluppo interni, autori di test in
ambienti sandbox e revisori esterni?
Avete adottato un processo di sviluppo di codice destrutturato che permetta il controllo dei singoli
componenti software da parte di revisori casuali prima del passaggio alla fase successiva del processo di sviluppo
e all'integrazione del software?
Trasmettete in modo sicuro i moduli di codice alle fasi di sviluppo successive, utilizzate la firma digitale per i file
binari protetti prima della verifica finale in ambiente sandbox delle funzionalità di sicurezza e privacy, seguita dalla
distribuzione del software a revisori esterni, partner e clienti?
In che modo proteggete i dati crittografati dei clienti per impedirne l'accesso, la modifica o la
copia da parte dei vostri dipendenti?
Impiegate un team di sicurezza indipendente, diverso da quello responsabile delle operazioni IT interne
e dal personale addetto alla Cyber Security, per condurre la formazione interna sulla Security Awareness,
i controlli delle infrastrutture e dei processi di sicurezza e l'applicazione delle policy relative alla sicurezza?
14 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Quali standard di Cyber Security e sicurezza fisica applicate per i vostri data center? Richiedete controlli
di routine da parte di revisori indipendenti affidabili ed eseguite test di penetrazione esterni delle misure di
sicurezza delle reti, segmentazione delle reti interne ed analisi per il rilevamento delle intrusioni?
Crittografate i dati dei clienti in transito e a riposo nella vostra infrastruttura di archiviazione dei dati ed
eseguite in modo rigoroso la cancellazione e/o la distruzione dei supporti di archiviazione non più utilizzati?
Implementate policy rigorose relative a riservatezza, etica aziendale e codice di condotta per i vostri
dipendenti, inclusi i controlli dei precedenti (se del caso), gli accordi di riservatezza, i principi della separazione
delle funzioni, della necessità di sapere e del livello di privilegi minimo per garantire la protezione contro atti
malevoli o pericolosi (anche se non intenzionali) da parte di insider?
Quali opzioni di controllo degli accessi, di autenticazione a più fattori e di registrazione delle attività
implementate per garantire l'accesso appropriato ai sistemi sensibili?
Utilizzate un programma bug bounty per incoraggiare e premiare la divulgazione di potenziali vulnerabilità
di sicurezza all'interno dei vostri prodotti?
Utilizzate l'archiviazione con supporto hardware per le chiavi di crittografia binarie private per garantire
che le chiavi dei clienti non possano essere esportate o divulgate?
15 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Riepilogo
La violazione subita da SolarWinds ci ricorda che gli hacker moderni, siano essi
criminali informatici o aggressori istituzionali, continuano a innovarsi e a sferrare
attacchi sempre più sofisticati, astuti e persistenti. Per le loro attività criminali sfruttano
gli stessi strumenti (euristica, machine learning, intelligenza artificiale, maggiore
integrazione e automazione) utilizzati dai vendor tecnologici e dai Service Provider
per difendere la propria azienda e i propri clienti. In questo confronto, gli hacker
partono generalmente avvantaggiati: è più facile attaccare che impegnarsi in attività
di rilevamento, contenimento, blocco e ripristino in seguito a un attacco.
L'implementazione di framework di sicurezza ISO/IEC o NIST completi va spesso
oltre le esigenze e la disponibilità di risorse di molti MSP, ma la filosofia alla loro base
Acronis vi offre servizi di consulenza
può essere ancora utile. Essi forniscono un vocabolario e una metodologia comprovati
per la gestione del rischio di Cyber Security. Iniziando con queste domande di base,
e controllo della sicurezza per aiutarvi
potete intraprendere un percorso per identificare e mitigare sistematicamente il a muovere i primi passi.
rischio di sicurezza della supply chain software. Una strategia basata su framework
può aiutarvi a identificare le aree in cui è possibile rafforzare i processi esistenti
Per ulteriori informazioni, visitate acronis.com/services
e implementarne di nuovi, oltre che assegnare la priorità ai requisiti di sicurezza
e definire aspettative appropriate con i vostri fornitori e partner.
16 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Certificazioni e test
delle soluzioni di
Cyber Protection Acronis
NOTA: questo documento è solo a scopo di formazione. Non costituisce una
consulenza legale e non va trattato come tale. Il documento viene fornito
così com'è, senza dichiarazioni o garanzie di alcun tipo. Per ottenere una
consulenza in merito a una questione o un problema particolare, contattate
un consulente legale. Nessuna difesa è impenetrabile per gli attacchi
informatici e nessuna misura può impedire del tutto a un hacker di violare
i vostri sistemi di difesa.
17 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Risorse aggiuntive
Molte aziende si affidano a framework di settore creati da organismi di normazione NIST 800-171: framework generale molto diffuso per la valutazione delle policy
internazionali per ottenere indicazioni sulla conduzione di valutazioni di sicurezza per di sicurezza interna, delle procedure e del personale:
sé e i propri fornitori e partner. Sebbene non tutti questi strumenti siano ottimizzati https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf
per ambienti MSP multi-tenant e multi-client, essi forniscono un utile punto di
Vendor Security Alliance: offre un questionario dettagliato per la valutazione della
partenza. I seguenti sono alcuni dei framework di sicurezza e delle metodologie di
sicurezza dei vendor:
valutazione più ampiamente diffusi e adottati:
https://www.vendorsecurityalliance.org/downloadQuestionaire
Metodo di valutazione del rischio (RAM) del Center for Internet Security (CIS):
framework di alto livello per la valutazione della sicurezza interna:
https://www.cisecurity.org/Cyber Security-tools/
Consensus Assessments Initiative Questionnaire (CAIQ) della Cloud Security
Alliance (CSA): strumenti per la valutazione dei controlli di sicurezza nei servizi IaaS,
PaaS e SaaS:
https://cloudsecurityalliance.org/artifacts/consensus-assessments-
initiative-questionnaire-v3-1/
ISO/IEC 27001: insieme di norme internazionali ampiamente adottate per la gestione
della sicurezza interna:
https://www.iso.org/isoiec-27001-information-security.html
18 | acronis.comጷ VALUTARE E MITIGARE IL RISCHIO DI CYBER SECURITY DELLA SUPPY CHAIN DEI VENDOR DI SOFTWARE
Ulteriori approfondimenti Informazioni su Acronis
da Acronis
Blog di Acronis: le opinioni più recenti Acronis coniuga protezione dati e Cyber Security per offrire una Cyber Protection
e aggiornate dai leader globali della integrata e automatizzata in grado di risolvere i problemi di salvaguardia, accessibilità,
Cyber Protection. privacy, autenticità e sicurezza (SAPAS) del mondo digitale di oggi. Grazie a modelli
di deployment flessibili che si adattano alle esigenze dei Service Provider e dei
Canale YouTube di Acronis: video su
professionisti IT, Acronis garantisce una Cyber Protection di livello superiore per dati,
scenari di utilizzo, demo, analisi delle
applicazioni e sistemi con soluzioni innovative di nuova generazione per antivirus,
minacce e news sull'azienda.
backup, disaster recovery e protezione degli endpoint. Con le sue pluripremiate
tecnologie antimalware basate su IA e di autenticazione dei dati basate su blockchain,
Acronis Resource Center: punto
Acronis protegge qualsiasi tipo di ambiente – cloud, ibrido o in sede – a un costo
di riferimento centrale dove trovare
contenuto e senza sorprese.
whitepaper, e-book, articoli dettagliati,
Fondata a Singapore nel 2003 e costituita in Svizzera nel 2008, Acronis conta oggi più
tutorial, infografiche e altro sulla
di 1.500 dipendenti in 33 uffici distribuiti in 18 paesi. Alle sue soluzioni si affidano più di
Cyber Protection.
5,5 milioni di utenti privati e più di 500.000 società, fra cui la totalità di quelle presenti
Eventi Acronis: serie di eventi, webinar, nella classifica Fortune 1000 e team di sport professionistici ai massimi livelli. I prodotti
interviste ecc., con tutte le informazioni Acronis sono disponibili presso 50.000 partner e Service Provider in oltre 150 paesi
per partecipare. e in più di 40 lingue.
19 | acronis.comPer saperne di più, visitate www.acronis.com Copyright © 2002-2021 Acronis International GmbH. Tutti i diritti riservati. Acronis e il logo Acronis sono marchi registrati di Acronis International GmbH negli Stati Uniti e/o in altri paesi. Tutti gli altri marchi o marchi registrati sono proprietà dei rispettivi titolari. Soggetto a modifiche tecniche. Le immagini potrebbero non corrispondere al prodotto reale. Si declina qualsiasi responsabilità per possibili errori. 2021-02
Puoi anche leggere
