Le violazioni della sicurezza causate dalla compromissione di un fornitore di software o di un altro partner stanno causando notevoli grattacapi alle aziende. Anche in Italia, in queste ore (confermato un supply chain attack a Erg via fornitore di sicurezza Engineering, ndr).
Indice degli argomenti
Supply chain attack, lo studio Enisa
Sono i cosiddetti supply chain attack e pochi giorni fa l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha rilevato che nel 2021 ci saranno quattro volte più attacchi alla catena di approvvigionamento del software rispetto al 2020
La realtà che emerge è che non è più sufficiente difendere solo la superficie di attacco della propria organizzazione. È necessario proteggersi dalle truffe di phishing e dalle compromissioni della rete all’interno dei partner commerciali su e giù per la catena di approvvigionamento. Questo perché una volta che gli aggressori hanno ottenuto l’accesso ai sistemi dei fornitori, possono raccogliere informazioni per lanciare campagne di spear phishing altamente mirate, o attacchi man-in-the-middle, contro i tuoi dipendenti
E’ un trend confermato, gli attacchi alla supply chain stanno diventando sempre più comuni e ci sono forti analogie con la minaccia ransomware. Le aziende infatti vogliono un proiettile d’argento per eliminare questo problema, ma il ransomware è in realtà solo la fine di una lunga catena di attacchi: hanno compromesso il tuo perimetro esterno, sono entrati nei tuoi interni, hanno fatto perno, hanno ottenuto le credenziali, quindi alla fine lo monetizzano con il ransomware.
Lo studio
Enisa avvisa che quest’attacco farà molti danni a tante aziende.
Gli attacchi alla catena di approvvigionamento sono stati per molti anni una preoccupazione per gli esperti di sicurezza informatica perché la reazione a catena innescata da un attacco a un singolo fornitore può compromettere una rete di fornitori.
Enisa afferma che una forte protezione della sicurezza non è più sufficiente per le organizzazioni quando gli aggressori hanno già spostato la loro attenzione sui fornitori. Ciò è evidenziato dal crescente impatto di questi attacchi, come tempi di inattività dei sistemi, perdite monetarie e danni alla reputazione.
Gli attacchi alla catena di approvvigionamento dovrebbero quindi quadruplicare nel 2021, richiedendo un’urgente introduzione di nuove misure di protezione. Tali attacchi spesso non vengono rilevati per molto tempo e, come gli attacchi Advanced Persistence Threat (APT), gli attacchi alla catena di approvvigionamento sono generalmente mirati, piuttosto complessi e costosi con gli aggressori che probabilmente li pianificano con largo anticipo.
Come avvengono gli attacchi
Gli aggressori della supply chain stanno esplorando nuove potenziali autostrade per infiltrarsi nelle organizzazioni prendendo di mira i loro fornitori. Al fine di compromettere i clienti presi di mira, gli aggressori si concentrano sul codice dei fornitori in circa il 66% degli incidenti segnalati. Ciò dimostra che le organizzazioni dovrebbero concentrare i propri sforzi sulla convalida del codice e del software di terze parti prima di utilizzarli per assicurarsi che non siano stati manomessi o manipolati.
Per circa il 58% degli incidenti della catena di approvvigionamento analizzati nel rapporto, le risorse prese di mira erano principalmente dati dei clienti, inclusi dati di identificazione personale (PII) e proprietà intellettuale.
Per il 66% degli attacchi alla catena di approvvigionamento analizzati, i fornitori non sapevano o non riferivano in che modo erano stati compromessi. Tuttavia, meno del 9% dei clienti compromessi tramite attacchi alla catena di approvvigionamento non sapeva come si fossero verificati gli attacchi. Ciò evidenzia il divario in termini di maturità nella segnalazione degli incidenti di sicurezza informatica tra fornitori e utenti finali.
Enisa ha analizzato 24 attacchi alla catena di approvvigionamento e ha concluso che:
- 11 degli attacchi alla catena di approvvigionamento sono stati condotti da gruppi advanced Persistent Threat
- Il codice, gli exploit e il malware utilizzati da questi gruppi d’attacco non sono in nessun modo sofisticati piuttosto è stata “avanzata” la pianificazione, la gestione e l’esecuzione dell’attacco.
Suggerimenti per la sicurezza
L’ENISA ha delineato raccomandazioni che clienti e fornitori dovrebbero adottare.
Le raccomandazioni per i clienti
- identificare e documentare i fornitori e i prestatori di servizi;
- la definizione di criteri di rischio per diversi tipi di fornitori e servizi, come le dipendenze tra fornitore e cliente, le dipendenze critiche del software, i single point of failure;
- monitoraggio dei rischi e delle minacce della catena di fornitura;
- gestione dei fornitori durante l’intero ciclo di vita di un prodotto o servizio, comprese le procedure per gestire prodotti o componenti a fine vita;
- la classificazione delle risorse e delle informazioni condivise con i fornitori o accessibili a questi ultimi, e la definizione di procedure pertinenti per accedervi e gestirle.
- Il rapporto suggerisce anche possibili azioni per garantire che lo sviluppo di prodotti e servizi sia conforme alle pratiche di sicurezza. Si consiglia ai fornitori di implementare buone pratiche per la gestione delle vulnerabilità e delle patch, per esempio.
Le raccomandazioni per i fornitori
- garantire che l’infrastruttura utilizzata per progettare, sviluppare, produrre e fornire prodotti, componenti e servizi segua pratiche di sicurezza informatica;
- implementare un processo di sviluppo, manutenzione e supporto del prodotto che sia coerente con i processi di sviluppo del prodotto comunemente accettati;
- monitoraggio delle vulnerabilità di sicurezza segnalate da fonti interne ed esterne che includono componenti di terze parti utilizzate;
- mantenere un inventario delle risorse che includa le informazioni rilevanti per le patch.
Personalmente, alla luce dei casi recenti, segnalo l’importanza della gestione delle identità per evitare escalation orizzontale o verticale dei privilegi.
In conclusione
L’impatto degli attacchi sui fornitori può avere conseguenze di vasta portata a causa delle crescenti interdipendenze e complessità delle tecniche utilizzate. Al di là dei danni alle organizzazioni colpite e a terzi, c’è un motivo di preoccupazione più profondo quando le informazioni classificate vengono esfiltrate e la sicurezza nazionale è in gioco o quando potrebbero emergere conseguenze di natura geopolitica.
In questo ambiente complesso per le catene di approvvigionamento, l’ENISA afferma che stabilire buone pratiche e partecipare ad azioni coordinate a livello dell’UE sono due punti importanti per sostenere tutti gli Stati membri nello sviluppo di capacità cyber simili; per raggiungere un livello comune di sicurezza.
