SecurityScorecad, specialista globale nei rating, nella risposta e nella resilienza della sicurezza informatica, ha annunciato i risultati della ricerca 2024 “Ridefinire la resilienza: rischio informatico concentrato in un’economia globale”, con McKinsey & Company come partner di conoscenza. La ricerca sulle minacce rivela un’estrema concentrazione di rischio informatico in soli 15 fornitori, ponendo gravi minacce alla sicurezza nazionale e alle economie globali. La ricerca descrive inoltre in dettaglio un aumento degli avversari che sfruttano le vulnerabilità di terze parti per massimizzare la furtività, la velocità e l’impatto degli attacchi informatici alla catena di fornitura.
Il Dr. Aleksandr Yampolskiy, CEO e co-fondatore di SecurityScorecard, ha dichiarato: “Proprio come una casa precaria arroccata sul bordo di un dirupo, la dipendenza da una manciata di venditori costituisce le fondamenta della nostra economia globale. La domanda da porsi è: ‘Abbiamo concentrato un servizio mission-critical su un unico fornitore, creando un singolo punto di guasto?’“.
Le vulnerabilità di terze parti si diffondono come un incendio boschivo digitale
I ricercatori di minacce hanno utilizzato la piattaforma SecurityScorecard per identificare il rischio informatico della supply chain in circa 12 milioni di organizzazioni.
I risultati principali includono:
- 150 aziende rappresentano il 90% dei prodotti e servizi tecnologici sulla superficie di attacco globale.
- 41% di queste aziende avevano prove di almeno un dispositivo compromesso nell’ultimo anno.
- 11% ha avuto prove di un’infezione da ransomware nell’ultimo anno.
- 62% della superficie globale di attacco esterno è concentrata nei prodotti e servizi di sole 15 aziende.
- Le prime 15 terze parti hanno valutazioni del rischio di sicurezza informatica inferiori alla media, il che indica una maggiore probabilità di violazione.
- Operatori di ransomware C10p, LockBit e BlackCat prendono di mira sistematicamente le vulnerabilità di terze parti su larga scala. Entro cinque minuti dalla connessione di un dispositivo connesso a Internet, gli autori di minacce sponsorizzate dallo stato lo troveranno.
La vastità di queste società amplifica il rischio di compromissione, ponendo significativi rischi di terze parti per la loro vasta base di clienti. Difendere enormi superfici di attacco rappresenta una sfida formidabile, anche per i team di sicurezza più robusti. Mentre queste aziende devono mantenere una sicurezza impeccabile in ogni momento, gli aggressori devono sfruttare solo una singola vulnerabilità all’interno della loro ampia superficie di attacco.
Agire per proteggersi dai rischi di terze parti
Secondo McKinsey, le aziende spendono centinaia di migliaia di dollari all’anno per gestire il rischio informatico all’interno del proprio fornitore e dell’ecosistema di terze parti e milioni in programmi informatici, ma il loro business da miliardi di dollari vale quanto la sicurezza informatica del loro fornitore più piccolo.
Per difendersi dai rischi legati alla vulnerabilità di terze parti sono necessari quattro passaggi chiave:
- Identificare i singoli punti di guasto
- Monitorare continuamente la superficie di attacco esterna
- Rileva automaticamente nuovi fornitori
- Rendere operativa la gestione della sicurezza informatica dei fornitori
Charlie Lewis, partner di McKinsey, ha aggiunto: “La natura interconnessa del nostro panorama digitale richiede un cambiamento nel modo in cui le aziende pensano al rischio del loro ecosistema informatico: non è più solo una questione di resilienza, è necessario considerare il sistema più ampio e come costruire supporto reciproco con colleghi, concorrenti e i propri partner”.
