Come previsto da diversi esperti alla fine dello scorso anno, gli attacchi perpetrati attraverso la supply chain sono in continuo aumento. Secondo quanto emerso dall’indagine dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano (che nel 2020 ha coinvolto 651 CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane), infatti, quasi un’azienda su quattro (24%) ha dichiarato di aver subito negli ultimi 12 mesi un incidente di sicurezza attraverso la violazione di terze parti.
In questa tipologia di attacchi, l’avversario, anziché attaccare direttamente la vittima, prende di mira un fornitore, che vengono viene sfruttato per distribuire malware o comunque per accedere all’infrastruttura della vittima al fine, ad esempio, di ottenere l’accesso a informazioni sensibili.
Tipicamente, la compromissione avviene utilizzando gli accessi di fornitori o di terze parti che fungono da vettore d’attacco perfetto, consentendo all’attaccante di svolgere diverse attività all’interno del perimetro dell’azienda. Sfruttando la catena di fiducia che lega il cliente al fornitore, l’attore malevolo può così massimizzare il profitto con interventi mirati verso tutte le aziende che utilizzano il medesimo fornitore.
A questo, si aggiunge l’esfiltrazione di dati e il conseguente danno reputazionale legato alla pubblicazione di informazioni relative a contratti, clienti e know how aziendale.
Abbiamo due macro tipologie di attacchi di questo tipo: quelli mirati, dove ad esempio per attaccare un’infrastruttura critica si sfrutta un suo fornitore con policy e meccanismi di cybersecurity meno stringenti, quelli diffusi, dove, ad esempio, si compromette un fornitore di servizi con migliaia di clienti, in modo da compromettere molte aziende con un singolo attacco.
Molto spesso questi attacchi nascono dalla compromissione di un software, solitamente diffuso all’interno delle realtà aziendali, utilizzato come vettore del payload malevolo dell’attaccante. In questo caso il trust è implicito nella presenza del software stesso e non sono rare le situazioni in cui tali software siano esclusi dai controlli di sicurezza attivi, al fine di consentirne il corretto funzionamento.
Le conseguenze di queste minacce sono pervasive e molto dannose, ma nonostante ciò, solo il 20% delle organizzazioni ha adottato politiche specifiche per la gestione della sicurezza informatica nell’ambito supply chain. L’attacco subito da SolarWinds ne è un chiaro esempio. L’evento si è svolto tra la fine del 2020 e i primi mesi del 2021 e rappresenta una delle operazioni di cyber-spionaggio più complesse mai realizzate.
Ma qual è lo scopo di questi attacchi e perché i cybercriminali sfruttano le vulnerabilità dei fornitori per arrivare al target principale?
Come dichiarato da Alessio Aceti, CEO di Sababa Security: «Gli attacchi verso organizzazioni ben protette comportano costi e complessità considerevoli. Attaccare la supply chain è molto più semplice e offre un numero maggiore di target. Proprio per questo motivo sono in rapida crescita, ma gli investimenti per prevenirli non sono ancora presi correttamente in considerazione dalle organizzazioni. È cruciale, dunque, che le aziende aumentino sempre più l’attenzione alla sicurezza non solo verso la propria infrastruttura interna, ma anche guardando a fornitori e terze parti».
Perché le PMI sono le vittime preferenziali degli attacchi supply chain
Mentre le entreprise hanno funzioni dedicate alla gestione dei fornitori, possono contare su esperti e soluzioni di gestione delle identità e degli accessi privilegiati ed hanno un forte potere contrattuale con clienti e fornitori, per le PMI il problema è più complesso.
Ancora secondo Aceti: «Questo tipo di imprese non ha le risorse necessarie per gestire i rapporti con i fornitori né tantomeno il potere contrattuale o l’esperienza nel campo della cyber security. Ecco perché le PMI sono le vittime preferenziali degli attacchi supply chain: attaccare una grande azienda ben protetta richiede un investimento in tempo e denaro non indifferente. Colpire un suo piccolo fornitore è più facile e meno costoso. Anche Sababa Security nell’ultimo anno ha riscontrato un aumento di questi attacchi: circa un incidente su tre dove siamo stati coinvolti, erano attacchi perpetrati tramite la supply chain. Di questi, il 30% aveva come vittime grandi aziende mentre, il restante, PMI».
Per prevenire e potersi difendere da un attacco alla supply chain Sababa Security suggerisce di adottare le seguenti misure:
- Implementare processi e sistemi di gestione delle identità, soprattutto degli accessi privilegiati, siano essi effettuati da utenti interni o da fornitori esterni. Fondamentale è, non solo dotarsi di sistemi come IAM (Identity Acess Management) e PAM (Privileged Access Management), ma anche creare le corrette politiche aziendali, diffonderle e renderle operative sia all’interno che per fornitori e partner esterni.
- Mettere in atto un processo di Vulnerability Management volto ad identificare, valutare e segnalare le vulnerabilità presenti all’interno della rete aziendale. Questa attività consente, insieme ad altre tecniche, di ridurre al minimo la superficie di attacco e dare la giusta priorità alle possibili minacce. Importante anche definire, almeno per i fornitori critici, la possibilità da parte dell’azienda di far test e audit di sicurezza.
- Inserire lo staff dei fornitori che accedono ai propri sistemi aziendali, nei programmi di security awareness, in modo che siano formati sulle regole aziendali e consapevoli dei rischi cyber.
- Investire in processi di rilevamento e risposta alle minacce, come Sababa XDR per il monitoraggio della sicurezza su endpoint, rete e cloud, e Sababa MDR che combina i più avanzati strumenti di rilevamento e risposta con le tecnologie di automazione.
- Esternalizzare alcuni processi ed avvalersi di tecnologie, security intelligence e competenze all’avanguardia in grado di adattarsi alle sfide poste da un ambiente in costante evoluzione attraverso l’adozione di un SOC interno o esterno.