Gli attaccanti hanno sempre cercato l'anello più debole della catena per sfondare una difesa. Ciò non è cambiato nel mondo degli affari altamente digitalizzato di oggi e include anche la catena di fornitura dell'industria dei fornitori. I fornitori hanno spesso accesso ai sistemi interni dei propri clienti e un attacco a fornitori apparentemente insignificanti può significare per i gruppi di hacker l'ingresso nella rete di una società globale.
Gli attacchi attraverso la catena di fornitura del software sono ancora più comuni e hanno effetti ancora più drammatici. Quindi, invece di attaccare direttamente l'azienda presa di mira, i criminali informatici prendono di mira i loro distributori di software. Identificano gli operatori con pratiche di sicurezza inadeguate al fine di iniettare codice dannoso in un componente software affidabile. Con il prossimo aggiornamento hanno raggiunto il loro obiettivo: nella rete della grande azienda.
Attacchi esplosivi alla catena di approvvigionamento nel 2023
I recenti incidenti lo hanno chiarito: nel corso dei progressi globali nella digitalizzazione, gli attacchi alla catena di approvvigionamento hanno assunto nuove dimensioni e stanno creando un punto di partenza completamente nuovo nella sicurezza informatica. Significano una spiacevole realizzazione per le aziende: l'anello più debole della catena è spesso al di fuori della loro struttura di sicurezza e quindi al di fuori del loro controllo. Compromettendo un singolo fornitore, gli aggressori possono trasformare ogni applicazione o aggiornamento software venduto in cavalli di Troia. Un grande fornitore di servizi può inconsapevolmente infettare migliaia di aziende con un singolo aggiornamento. Questo elevato livello di efficienza ha reso gli attacchi alla catena di approvvigionamento estremamente popolari tra i criminali informatici. La minaccia degli attacchi alla catena di approvvigionamento rappresenta oggi un rischio significativo per le aziende moderne e il danno finanziario può essere enorme: dalla perdita di produzione, allo sforzo richiesto per indagare sull'incidente di sicurezza, alle perdite dovute a danni alla reputazione, alle sanzioni normative.
Obiettivi attraenti
Uno degli esempi più devastanti è l'attacco alla catena di approvvigionamento del 2020 contro la società di software SolarWinds, che ha colpito una varietà di organizzazioni, incluso il governo degli Stati Uniti. Poiché il sistema di monitoraggio IT offerto è ampiamente utilizzato e, inoltre, gode di un accesso privilegiato ai sistemi IT per ottenere dati di registro e sulle prestazioni del sistema, ciò ha reso SolarWinds un obiettivo attraente per gli aggressori.
Un altro caso grave è stato l'attacco alla catena di fornitura al fornitore di servizi IT Kaseya nel luglio 2021, in cui il ransomware è stato finalmente distribuito tramite un aggiornamento software manipolato e ha colpito circa 1.500 aziende in tutto il mondo. Una delle vittime più note in Europa è stata la catena di supermercati Coop-Sweden, che ha dovuto chiudere temporaneamente 800 dei suoi negozi a causa del fallimento di un fornitore di servizi di pagamento per i loro sistemi di cassa.
Il recente attacco informatico alla catena di fornitura di Toyota nel marzo 2022, che ha paralizzato un terzo della produzione globale dell'azienda, ha dimostrato quanto sia vulnerabile la catena di fornitura delle aziende industriali di oggi. Ad esempio, la casa automobilistica giapponese ha dovuto interrompere tutte le 28 linee di produzione nei suoi 14 stabilimenti nazionali dopo che un fornitore chiave è stato colpito da un guasto del sistema IT causato da un attacco informatico.
Zero Trust
Mentre gli attacchi alla catena di fornitura del software stanno diventando più sofisticati, possono essere contenuti. Rinunciare agli aggiornamenti non è un'opzione, ma le organizzazioni devono rendersi conto che anche i fornitori più affidabili non sono immuni da intrusioni e violazioni. Di conseguenza, i responsabili della sicurezza devono andare oltre le tradizionali valutazioni dei rischi dei fornitori. Il principio di "zero trust" si applica anche al software standard dei principali produttori. Ogni applicazione su ogni dispositivo deve essere continuamente monitorata, sia a livello di endpoint che a livello di rete. Diventa evidente solo quando un'applicazione cambia il suo comportamento abituale e, ad esempio, cerca di accedere ad altre applicazioni, invia dati oltre il confine della rete o ricarica file da fonti precedentemente sconosciute.
Per applicare un modello zero trust, le aziende dovrebbero garantire che i diritti di accesso siano assegnati e gestiti in modo adeguato. In molte organizzazioni, dipendenti, partner e applicazioni software dispongono di privilegi inutilmente elevati che facilitano il lancio di attacchi alla supply chain. Pertanto, qui dovrebbe essere seguito il principio del privilegio minimo, in cui ai dipendenti e ai programmi software vengono assegnate solo le autorizzazioni di cui hanno realmente bisogno per svolgere i loro compiti. Non c'è più carta bianca: ogni accesso ad ulteriori risorse viene controllato.
Misure comprovate
Le comprovate misure di controllo degli accessi includono l'autenticazione a più fattori (MFA) e la segmentazione della rete. Ciò impedisce al software di terze parti di avere accesso senza ostacoli a ogni angolo della rete, costruisce muri di difesa contro gli attacchi e quindi limita il successo degli attacchi. Se un attacco alla catena di approvvigionamento colpisce una parte della rete, il resto rimane protetto.
Al fine di valutare la conformità e i processi dei fornitori di software che utilizzano, le aziende dovrebbero anche inviare regolarmente questionari sulla sicurezza. Si tratta di assicurarsi che seguano le migliori pratiche per evitare qualsiasi manomissione del codice.
Le aziende hanno solo mezzi limitati per difendersi da un aggiornamento manipolato di software legittimo. Con un approccio zero-trust e uno stretto controllo da parte degli analisti della sicurezza sotto forma di servizi Cyber Defense Center (CDC-as-a-Service) o soluzioni tecnologiche CDC come Radar Solutions, un attacco viene rapidamente notato e le conseguenze del l'attacco diventa limitato a livello locale. Intendiamoci: il crimine informatico è redditizio e di successo solo finché lo si consente.
Altro su RadarCyberSecurity.com
Informazioni sulla sicurezza informatica radar Radar Cyber Security gestisce uno dei più grandi centri di difesa informatica in Europa nel cuore di Vienna basato sulla tecnologia proprietaria Cyber Detection Platform. Spinta dalla forte combinazione di competenza ed esperienza umana, unita agli ultimi sviluppi tecnologici di dieci anni di lavoro di ricerca e sviluppo, l'azienda combina soluzioni complete per le sfide relative alla sicurezza IT e OT nei suoi prodotti RADAR Services e RADAR Solutions.