Gli attacchi alla supply chain - la supply chain - per il software (e per l'hardware) da parte dell'IT minacciano anche le piccole e medie imprese. Gli aggiornamenti per servizi e software rappresentano una vulnerabilità sempre più pericolosa, soprattutto perché i criminali informatici sperano che il dirottamento di un aggiornamento diffonda gli attacchi a numerose vittime.
Oltre ad aggiornare le loro difese informatiche, le piccole e medie imprese dovrebbero anche rivedere le loro catene di approvvigionamento per l'approvvigionamento di software, hardware e aggiornamenti.
Sfortunatamente, gli attacchi alla catena di approvvigionamento sono spesso efficaci
Un attacco alla catena di fornitura IT mira a manipolare il processo di produzione di software di terze parti dallo sviluppo agli aggiornamenti in modo che venga riprodotto codice dannoso invece di un aggiornamento. Questa catena di fornitura IT è vulnerabile e i criminali informatici la stanno attaccando sempre di più. Perché tali attacchi sono efficienti per loro: se attaccano pacchetti software e piattaforme dei fornitori di software e sistemi informativi, raggiungono più vittime contemporaneamente. Non ha molto senso per l'hacker attaccare un'azienda dopo l'altra con un attacco complesso quando forse decine di migliaia di aziende e organizzazioni utilizzano un'applicazione o un servizio diffuso e sono quindi efficientemente alla portata delle aziende. L'attacco alla catena di fornitura di Solarwinds nel dicembre 2020 ha colpito circa 18.000 dei 300.000 clienti di Solarwinds in tutto il mondo. Oltre a un attacco di massa, sono possibili anche attacchi molto mirati attraverso la catena di approvvigionamento.
Scene di un attacco alla catena di approvvigionamento
Una catena di approvvigionamento compromessa è difficile da rilevare per i clienti interessati. Pertanto, i criminali informatici hanno abbastanza tempo per causare danni, come l'esfiltrazione di dati, attacchi ai sistemi o interruzione dei processi.
Questi attacchi differiscono dai precedenti attacchi rivolti ai singoli clienti e rappresentano una sfida anche per gli esperti.Non per niente l'Agenzia dell'Unione europea per la sicurezza informatica, ENISA, valuta il pericolo anche per le aziende la cui difesa informatica è giusta posizionato.
Un attacco può iniziare in diverse fasi della catena di fornitura per lo sviluppo, la distribuzione o l'aggiornamento del software. La compromissione dell'IT del fornitore non costituisce un attacco alla catena di fornitura, ciò include la modifica delle fonti del codice e la scrittura di script.
A seconda dell'anello della catena di approvvigionamento con cui inizia l'hacker, varieranno le competenze richieste o le opzioni per difendersi dalla manipolazione. Le seguenti fasi della catena di approvvigionamento possono essere distinte come punti di partenza per un attacco:
- Fase Uno – Programmazione: Questi attacchi sono relativamente facili da rilevare. Iniziano con e-mail mirate, exploit e siti Web dannosi per ottenere l'accesso al codice di programmazione. È relativamente facile per un hacker modificare il codice a questo punto. Ma ciò che hanno cambiato è visibile nei registri del registro.
- Fase due - Versione: Gli aggressori possono lanciare un attacco utilizzando un Remote Desktop Protocol (RDP) con poco sforzo. Le password deboli e gli exploit di un'applicazione li aiutano. Possono anche riprodurre versioni modificate in un framework ridotto o ritardato perché hanno accesso diretto al codice sorgente e ai log e lasciano poche tracce. Ma il codice modificato dimostra la manipolazione.
- Fase tre - Implementazione (costruzione): È qui che diventa più impegnativo per gli hacker, ma purtroppo anche per la difesa. I mezzi sono quelli vecchi e gli aggressori utilizzano attacchi RDP, password deboli ed exploit nell'applicazione. Ma hai bisogno di una buona comprensione degli script. Perché le necessarie modifiche delle singole build richiedono molto tempo e sono complesse. Il codice modificato può essere nascosto. La difesa dovrebbe anche controllare individualmente le successive versioni dello script per rilevare manipolazioni.
- Fase quattro - Firma dei componenti: Se l'attaccante interviene ora, non deve manipolare il codice. Sostituisce semplicemente il codice effettivo con codice dannoso. Ma una convalida nel concetto di catena di approvvigionamento rifiuterà questo falso aggiornamento. Pertanto, gli hacker devono soddisfare alcuni criteri minimi per gli aggiornamenti legali nei loro programmi falsi.
- Fase Cinque - Consegna: Anche in questo caso un utente malintenzionato deve solo sostituire i componenti. Ma i componenti dannosi non hanno quindi una firma e possono essere riconosciuti da essa.
Come possono proteggersi le piccole e medie imprese?
Sebbene gli attacchi abbiano luogo nella catena di fornitura del fornitore di aggiornamenti, gli attacchi colpiscono anche le piccole e medie imprese. Per proteggersi dai danni di un presunto aggiornamento legale, è necessario adottare le seguenti misure:
1. Implementa una sicurezza informatica completa che include Endpoint Detection and Response (EDR), ma allo stesso tempo vede e segnala connessioni di dati sospette grazie all'intelligence sulle minacce. Un sintomo comune di un attacco riuscito alla supply chain è la comunicazione con un server di comando e controllo dannoso. Le aziende con risorse IT limitate, in particolare, dovrebbero anche utilizzare un servizio di rilevamento e risposta gestiti (MDR) e quindi l'esperienza e il tempo degli analisti della sicurezza IT. Solo attraverso la combinazione di EDR e MDR i responsabili vedono verificarsi eventuali anomalie.
2. Altrettanto importante è educare i dipendenti sul phishing per prevenire il furto di identità nel processo della catena di approvvigionamento.
3. È fondamentale conoscere i processi di filiera di un'azienda e verificarli continuamente. Un responsabile IT sa anche quali aggiornamenti di software o servizi sta ricevendo da chi e quando? Quale hardware acquisisce e come ti proteggi dall'ottenere malware attraverso di esso? Ogni responsabile della sicurezza dovrebbe porre al proprio fornitore IT le seguenti domande:
- Il processo di sviluppo software/hardware del provider è documentato, tracciabile e verificabile?
- Sta affrontando le vulnerabilità note nella progettazione e nell'architettura del prodotto, nella protezione del runtime e nella revisione del codice?
- In che modo il fornitore tiene informato un cliente sulle vulnerabilità emergenti?
- Quali possibilità ha il provider di correggere le vulnerabilità "zero-day", ovvero le vulnerabilità che sono presenti nel software fin dall'inizio e vengono scoperte solo in seguito?
- In che modo il fornitore gestisce e monitora i processi di produzione di un software e di un aggiornamento?
- Cosa fa il provider per proteggere i propri aggiornamenti da manipolazioni e malware?
- Che tipo di controllo dei precedenti viene eseguito sui dipendenti dei fornitori e con quale frequenza?
- Quanto è sicura la distribuzione degli aggiornamenti?
Se ricevi un aggiornamento software, devi essere sicuro di non ricevere malware dannoso: in definitiva, devi pagare tu stesso le conseguenze di un attacco riuscito alla catena di approvvigionamento. La prudenza e una selezione ponderata dei fornitori in relazione a una sicurezza informatica completa sono i migliori aiutanti contro un tipo di attacco il cui potenziale di rischio è tutt'altro che esaurito.
Altro su Bitdefender.de
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de