Gli hacker sono notoriamente pigri, nonostante quello che si possa pensare. Amano puntare a grandi guadagni con il minimo sforzo. Il segreto sta negli obiettivi che scelgono. Il modello ransomware as a service (RaaS) è un classico esempio di come riescano a raggiungere il massimo dell'efficienza nel campo dei crimini informatici. Gli attacchi alla catena di approvvigionamento sono stati inventati poco dopo e sono diventati così diffusi da paralizzare le infrastrutture di tutto il mondo. Persino l'ex presidente degli Stati Uniti Joe Biden ne è rimasto sorpreso e ha finito per emettere un ordine esecutivo alle entità governative, ordinando una riforma degli standard di sicurezza informatica della catena di approvvigionamento in tutto il paese.
Ma basta con questo argomento. Cosa c'è di così unico negli attacchi alla catena di approvvigionamento? Perché sono così pericolosi? Perché dovresti preoccuparti? Come prevenire gli attacchi alla catena di approvvigionamento? Se non riesci ancora a rispondere a queste domande, continua a leggere. Te lo diremo presto. 
Che cos'è un attacco alla catena di approvvigionamento?
Un attacco alla catena di approvvigionamento è un attacco alla sicurezza informatica che cerca i punti deboli nella catena di approvvigionamento. Una catena di approvvigionamento combina tecnologie, persone, risorse, prodotti, utenti e attività organizzative. È ciò che tiene insieme la vostra organizzazione e questi componenti mantengono la vostra azienda in movimento.
Quando si verificano interruzioni improvvise nei flussi di lavoro esistenti o qualcosa danneggia la vostra attività, può trattarsi di una minaccia alla catena di approvvigionamento. Gli attacchi alla catena di approvvigionamento cercano le vulnerabilità nella vostra catena di approvvigionamento e cercano opportunità nei fornitori per sfruttare le debolezze della sicurezza. I fornitori lavorano con dati condivisi, quindi se subiscono una violazione, anche gli utenti e tutte le persone a loro associate ne risentono.
Quando la catena di fornitura cresce, anche la rete si espande. Pertanto, se si verifica un attacco, vengono creati e compromessi più obiettivi.
Come funzionano gli attacchi alla catena di fornitura?
Gli attacchi alla catena di fornitura funzionano distruggendo i rapporti di fiducia. Anziché prendere di mira direttamente l'azienda stessa, prendono di mira i fornitori e i venditori con cui un'organizzazione lavora. Gli attacchi alla catena di fornitura basati su software possono iniettare codice dannoso nelle librerie, negli aggiornamenti e nei componenti più recenti per compromettere i certificati di sicurezza e gli strumenti di creazione.
Gli attacchi alla catena di fornitura basati su hardware possono interrompere i processi di produzione e distribuzione iniettando malware o componenti di spionaggio. Alcuni attacchi alla catena di fornitura possono sfruttare vulnerabilità come punti deboli nelle pipeline di compilazione, token di accesso e segreti hardcoded. Possono aumentare i privilegi e tentare di causare movimenti laterali attraverso le reti.
L'attacco alla catena di fornitura SolarWinds è un classico esempio di come funzionano queste minacce. Gli aggressori avevano ottenuto l'accesso ai server di compilazione di un'azienda e avevano iniettato una backdoor nei suoi aggiornamenti. Un altro caso è stato quello in cui gli aggressori hanno compromesso un fornitore di servizi gestiti e infettato più organizzazioni con ransomware.
Come rilevare gli attacchi alla catena di fornitura?
Non è possibile rilevare gli attacchi alla catena di fornitura utilizzando un solo metodo o una sola tecnologia. Le organizzazioni dovranno combinare diversi approcci e utilizzare le più recenti tecniche di rilevamento delle minacce basate sull'intelligenza artificiale per migliorare con successo la loro capacità di rilevare e mitigare questo tipo di minacce.
Devono utilizzare il monitoraggio continuo, l'intelligence globale sulle minacce e un approccio proattivo alla sicurezza, tutti elementi fondamentali nella difesa dagli attacchi alla catena di approvvigionamento.
È fondamentale ottenere visibilità in tempo reale sulle reti, monitorare continuamente il traffico di rete e fornire ai team di sicurezza le strutture necessarie per rispondere prontamente a questi incidenti e a qualsiasi altra attività sospetta.
Ecco alcuni modi per rilevare gli attacchi alla catena di approvvigionamento:
Alcuni attacchi possono sfruttare le falle nella gestione delle dipendenze. Gli aggressori possono registrare pacchetti con nomi identici o simili a moduli interni, ma con numeri di versione più elevati. Quando gli sviluppatori scaricano inconsapevolmente questi pacchetti esterni, il codice dannoso viene introdotto nel software. Anche la gestione ordinaria dei pacchetti può rappresentare un anello debole se i repository esterni non vengono controllati e monitorati con attenzione.
Gli aggressori possono ottenere le chiavi private utilizzate per la firma del codice. Potrebbero firmare digitalmente software dannoso con queste chiavi, facendolo apparire affidabile. Ciò compromette la garanzia fornita dai certificati di firma tradizionali. I meccanismi di fiducia, come i certificati di firma del codice, sono sicuri solo quanto i processi che proteggono le loro chiavi private.
I moderni sistemi di rilevamento e risposta di rete (NDR) possono monitorare le deviazioni dal comportamento normale. I modelli di apprendimento automatico possono apprendere i flussi di dati tipici della vostra rete. Cambiamenti improvvisi, anche se il traffico è crittografato, dovrebbero attivare degli allarmi. È possibile utilizzare moduli di sicurezza hardware (HSM) o soluzioni simili per proteggere le chiavi private. Oltre a ciò, iniziate a condurre regolarmente revisioni e audit di sicurezza. Effettuate esercitazioni che simulano attacchi alla catena di approvvigionamento e assicuratevi che il vostro team sia in grado di rispondere rapidamente e rilevare tali incidenti.
Migliorare l'intelligence sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùMigliori pratiche per prevenire gli attacchi alla catena di approvvigionamento
È possibile imparare a prevenire gli attacchi alla catena di approvvigionamento implementando le seguenti tattiche:
Iniziare a utilizzare gli honey token
Questi funzionano come fili di inciampo e avvisano le organizzazioni di eventuali attività sospette sulle reti. Gli honey token sono risorse false che contengono dati sensibili. Gli aggressori potrebbero pensare che siano obiettivi autentici e interagire con essi. Ogni volta che succede qualcosa, l'honey token attiva un allarme relativo a un sospetto tentativo di attacco. Fornisce alle organizzazioni avvisi di violazioni dei dati e rivela loro i dettagli di questi aggressori e i loro metodi di violazione.
Gestione sicura degli accessi privilegiati
Gli autori degli attacchi informatici tendono a muoversi lateralmente attraverso le reti dopo aver ottenuto l'accesso privilegiato ai propri account. Tenteranno di aumentare i privilegi e ottenere l'accesso a risorse più sensibili. Questo percorso di attacco è anche denominato percorso privilegiato. Si tratta di una traiettoria di attacco tipica. È possibile utilizzare un framework di gestione degli accessi privilegiati per interrompere questo modello di attacco e mitigare le possibilità di un'altra minaccia. Può aiutare a proteggere sia le difese interne che quelle esterne. Applicate politiche di controllo degli accessi granulari e testate il fornitore con cui collaborate. Aggiornate l'inventario, le pratiche e le politiche di gestione delle risorse della vostra azienda ed eseguite aggiornamenti e upgrade di sicurezza.
Formate il vostro personale
I dipendenti e il personale della vostra organizzazione sono gli obiettivi primari quando si tratta di minacce alla catena di approvvigionamento. Devono sapere come funzionano le iniezioni di codice dannoso ed essere diffidenti nei confronti delle ultime truffe via e-mail e dei tentativi di phishing. Gli autori delle minacce inviano loro e-mail che sembrano provenire da colleghi fidati e chiedono loro di attivare codice dannoso o tentano di rubare gli ID di accesso interni. Se i membri del personale sono istruiti sui metodi di attacco standard, comprese le tecniche di ingegneria sociale, possono identificare e segnalare con successo queste violazioni. Non cadranno nella trappola e sapranno esattamente come agire o affrontare queste minacce.
Utilizza una soluzione di gestione degli accessi e delle identità (IAM)
È necessario crittografare tutti i dati interni e utilizzare standard come l'algoritmo Advanced Encryption Standard per rendere difficile ai criminali la creazione di backdoor per sottrarre dati durante gli attacchi alla catena di approvvigionamento. Anche il governo degli Stati Uniti utilizza la tecnica di crittografia AES per proteggersi. È inoltre necessario concentrarsi sull'implementazione di un'architettura zero-trust e presumere che tutte le attività di rete siano dannose per impostazione predefinita. Non fidatevi di nessuno, verificate tutti. Ogni richiesta di connessione deve passare attraverso un elenco di politiche rigorose. Il motore delle politiche deve decidere se consentire il passaggio del traffico di rete. Deve farlo passare attraverso tutte le regole stabilite dall'algoritmo di fiducia. L'amministratore delle politiche sarà responsabile di comunicare le proprie decisioni e modifiche.
È altrettanto importante adottare naturalmente una mentalità che presupponga una violazione. In questo caso, penserete che si sia verificata una violazione e agirete di conseguenza. Questo vi aiuterà a implementare strategie di difesa informatica attiva su tutti i vettori di attacco vulnerabili. Le tre superfici di attacco con il più alto rischio di compromissione sono i processi, le persone e le tecnologie. Una buona formazione sulla consapevolezza informatica è uno dei pilastri fondamentali per proteggersi e combattere gli attacchi alla catena di approvvigionamento.
Esempi reali di attacchi alla catena di approvvigionamento
Ecco alcuni esempi reali di attacchi alla catena di approvvigionamento da cui trarre insegnamento:
1. Violazione dei dati di Target
Ricordate la catena di supermercati americana Target? I dati delle carte di credito dei clienti sono stati rubati durante una violazione dei dati avvenuta intorno al 2013. Anche se è successo molto tempo fa, Target è diventato uno degli esempi più noti al mondo di attacchi alla catena di approvvigionamento.
Cosa è successo? È stato installato un malware nei sistemi di Target.
Come è entrato? Attraverso il loro fornitore di impianti di climatizzazione, Fazio Mechanical Services.
Il risultato? 18,5 milioni di dollari in richieste di risarcimento, furto di 40 milioni di dati relativi a carte di credito e di debito e danni sostanziali alla reputazione.
2. L'attacco hacker a CCleaner nel 2017
Gli hacker hanno preso di mira direttamente i loro server e hanno sostituito il software originale con copie dannose. Il codice è stato distribuito a 2,3 milioni di utenti che hanno scaricato e installato gli aggiornamenti dei file. Questi ultimi non ne erano a conoscenza e sono stati gravemente infettati.
Cosa si sarebbe potuto fare? CCleaner avrebbe potuto evitare che il problema si aggravasse semplicemente rilasciando una patch di correzione prima che ciò accadesse. Un incidente simile si è verificato con il ransomware WannaCry, dove una patch era stata rilasciata prima dell'attacco ma non era stata applicata a tempo utile a tutti gli utenti finali.
Conclusione
Gli attacchi alla catena di approvvigionamento sono tra le minacce alla sicurezza più significative che le organizzazioni non possono trascurare. Seguendo i passaggi descritti in questo articolo, dall'implementazione di honey token e rafforzamento degli accessi privilegiati alla formazione dei dipendenti e all'architettura zero-trust, è possibile ridurre al minimo l'esposizione a questi attacchi avanzati.
La sicurezza della catena di approvvigionamento deve essere proattiva perché gli aggressori escogitano costantemente nuovi metodi. Eseguendo regolarmente la scansione dell'intera catena di approvvigionamento alla ricerca di vulnerabilità, con controlli di sicurezza aggiornati e nuove soluzioni di sicurezza come SentinelOne, si eviterà che la propria azienda diventi la prossima vittima di una violazione che finirà sui giornali.
FAQs
Gli attacchi alla catena di fornitura possono essere di infiniti tipi diversi. Gli attacchi basati su software introducono codice dannoso in aggiornamenti o software legittimi. Gli attacchi basati su hardware sfruttano l'hardware durante la produzione. Gli attacchi di terze parti prendono di mira i fornitori che hanno accesso ai vostri sistemi. Gli attacchi di firma del codice utilizzano firme digitali contraffatte per far sembrare legittimo il malware. Ciascuno di essi sfrutta diverse vulnerabilità nella vostra catena di approvvigionamento e richiede misure di sicurezza diverse per risolverle.
Gli autori degli attacchi individuano l'anello più debole della catena di fornitura, spesso fornitori più piccoli e meno sicuri. Attaccano questi fornitori e poi sfruttano il loro accesso legittimo per raggiungere gli obiettivi primari. Possono interferire con gli aggiornamenti software, inserire backdoor negli ambienti di sviluppo o rubare le credenziali di fornitori di servizi di terze parti. Una volta entrati, iniziano a muoversi lateralmente, elevando i privilegi al livello di risorse di valore o distribuendo ransomware.
Monitorare il traffico di rete alla ricerca di modelli sospetti. Implementare analisi comportamentali per rilevare modelli sospetti dalle operazioni tipiche. Verificare periodicamente i processi di sicurezza dei fornitori e incorporare requisiti di sicurezza espliciti. Implementare software avanzati di rilevamento degli endpoint sulla rete. Utilizzare sistemi di intelligenza artificiale per scansionare in tempo reale le potenziali minacce. Verificare l'integrità degli aggiornamenti software prima dell'installazione. Implementare un centro operativo di sicurezza con monitoraggio 24 ore su 24, 7 giorni su 7.
Isolare immediatamente i sistemi compromessi per impedire movimenti laterali. Attivare il team di risposta agli incidenti per identificare la portata della violazione. Identificare il vettore di attacco e il componente della catena di fornitura interessato. Informare i fornitori e i clienti interessati come richiesto dalle normative. Conservare le prove forensi per l'analisi. Applicare contromisure per fermare attacchi simili. Ripristinare i sistemi da backup puliti noti. Aggiornare e adeguare le politiche di sicurezza sulla base delle lezioni apprese.
In primo luogo, mettere in quarantena la violazione isolando i sistemi interessati. Individuare il punto di compromissione all'interno della catena di fornitura. Collaborare con esperti di sicurezza per rimuovere il codice dannoso. Informare le parti interessate in base ai requisiti di conformità. Ripristinare i sistemi online da backup puliti. Documentare l'incidente in modo dettagliato. Implementare procedure di verifica più sostanziali per i fornitori. Valutare l'implementazione di rating di sicurezza per i fornitori. Rivedere i contratti per aggiungere requisiti di sicurezza più sostanziali.
Gli attacchi alla catena di fornitura sfruttano i rapporti di fiducia tra le parti e sono difficili da individuare. Possono avere un impatto su migliaia di aziende a partire da una singola violazione. Eludono i normali controlli di sicurezza entrando attraverso canali affidabili. Hanno un tempo di permanenza elevato prima di essere rilevati. La complessità delle catene di approvvigionamento odierne offre agli aggressori molti potenziali punti di accesso. Gli aggressori accedono a più vittime tramite un'unica incursione riuscita, con il massimo danno e il minimo sforzo.