Con l’evoluzione delle vulnerabilità di software e hardware, garantire una buona sicurezza informatica dei sistemi diventa sempre più complesso. In particolare, Gartner ha individuato la sicurezza della Digital Supply Chain tra i primi 7 trend della cybersecurity da tenere sott’occhio nel 2023. Si tratta di un fenomeno che non dovrebbe sorprendere i CISO e i CIO. Ma la domanda è: quanto le organizzazioni sono al sicuro e sono stati messi in piedi gli interventi giusti per proteggersi efficacemente da un attacco alla Supply Chain?
Sicurezza Supply Chain, in cosa consiste un attacco alla catena di approvvigionamento?
Gestire il rischio sicurezza per la Supply Chain deriva dalle relazioni che si hanno con i fornitori diretti e indiretti. Ma non si esaurisce qui: perché in molti casi piuttosto che attaccare direttamente un’organizzazione, l’hacker prende di mira il vendor di un software sorgente per lo sviluppo di nuove applicazioni, cercando di inviare un codice dannoso attraverso un’applicazione certificata.
I malintenzionati possono accedere alla Supply Chain contaminando i server di aggiornamento o i tool di sviluppo, inserendo il codice malevolo nei file eseguibili o sostituendo i package reali con quelli armati. In questi casi è doveroso chiedersi come sia possibile integrare componenti e servizi di terze parti nei propri sistemi produttivi, riducendo il rischio sicurezza a un livello accettabile e quali strumenti possano garantire un livello adeguato di fiducia.
In generale, le minacce cyber in questo contesto sono le più disparate e la complessità è direttamente proporzionale quella della supply chain, al valore dell’obiettivo finale e alla capacità tecnica dell’organizzazione che opera l’attacco.
Modalità di attacco
Gli attacchi alla Supply Chain sono idealmente riconducibili a due tipologie principali: frodi perpetrate attraverso messaggi eMail e attacchi a software di terze parti (attacchi client-side).
Attacchi via eMail
Nel primo caso, i cyber criminali compromettono gli account di posta elettronica dei fornitori o dei service provider con lo scopo di attaccare i loro partner e clienti.
Solitamente, la violazione iniziale si realizza tramite malware (Stuxnet, Kwampirs, Sunburst, NotPetya) o phishing. Una volta che si sono guadagnati l’accesso al sistema del fornitore, i criminali informatici saranno in grado di falsificare gli account eMail (BEC, Business Email Compromise) per lanciare un attacco di phishing, perpetrare una frode (per esempio, al sistema di fatturazione) o altre tipologie di attacchi.
Questi atttacchi mirano a sottrarre dati riservati, installare software malevoli e ransomware. Solitamente, il criminale informatico si finge un partner commerciale, un rivenditore o un fornitore che gode della fiducia del destinatario. A quest’ultimo viene richiesto di pagare una falsa fattura o effettuare un bonifico. In alcuni casi di frodi via eMail, il cyber criminale arriva a compromettere il vero account del fornitore violando la sua identità e inserendosi nei flussi di scambio di messaggi di posta elettronica.
Attacchi client-side
In casi più rari, l’attacco avviene ai danni dei software di gestione della Supply Chain. Questi attacchi lato client sono una minaccia particolarmente difficile da intercettare e prevenire. Derivano dalla pratica molto comune di sviluppare app Web che richiamano script, librerie o altri componenti software di terze parti mentre vengono eseguiti, ovvero dopo che sono stati scaricati in un browser client.
Nel caso in cui questi componenti esterni siano stati compromessi, l’attacco risultante avverrà interamente al sistema dell’utente mentre sul lato server, non vi sarà alcuna indicazione di compromissione, rendendone così estremamente difficile il rilevamento.
Il malintenzionato ottiene in pratica l’accesso ai sistemi informativi di un fornitore di software o di servizi gestiti e infetta i nuovi rilasci di codice eseguibile della piattaforma (build), che vengono poi distribuiti a partner e clienti infettandoli a loro volta.
Alcuni esempi di attacchi già subiti
Nel 2011 gli hacker hanno attaccato la società RSA Security compromettendone il “seed warehouse” attraverso i token SecurID e in seguito attraverso lo spear phishing, con contenuti personalizzati. Due anni più tardi è stata la catena di abbigliamento Target a subire un attacco ai dispositivi dei punti vendita di tutti i negozi per un danno di oltre 200 milioni di dollari: gli hacker si erano insinuati nel software del sistema di ventilazione.
Il software CCleaner è stato attaccato nel 2017 attraverso credenziali rubate tramite Team Viewer. Negli ultimi tre anni sono state colpite dagli hacker le società informatiche AsusTek, SolarWinds e Kaseya riportando ingenti danni, alle aziende e agli utilizzatori stessi.
Altri casi di attacchi alle Supply Chain sono disponibili a questo link .
Basandoci su questi esempi si possono delineare i principali obiettivi degli hacker:
- Prendere di mira software poco sicuri, utilizzati per realizzare sistemi o piattaforme di aggiornamento su larga scala.
- Puntare a chi sviluppa internamente o al codice/firmware specializzato.
- Utilizzare certificati rubati per firmare le app, facendole passare per un prodotto affidabile di terze parti o un prodotto sviluppato internamente.
- Sfruttare dispositivi vulnerabili, dalle apparecchiature di rete a sistemi IoT e POS, per veicolare un malware preinstallato.
Sicurezza Supply Chain, come proteggersi da un attacco?
È importante che vendor di software e sviluppatori adottino chiare policy di sicurezza. Occorre comunque che anche le organizzazioni rispettino alcuni elementi nella gestione della Supply Chain, partendo dall’assicurarsi di applicare policy di integrità sull’utilizzo del codice sorgente e sfruttando l’SSO Authorization Code Grant o una piattaforma di controllo delle applicazioni.
Successivamente, è necessario adottare una valida soluzione EDR (Endpoint Detection and Response) capace di rilevare e porre rimedio in modo automatico alle attività sospette in tempo reale. Quando si valuta una soluzione EDR, assicurarsi che soddisfi criteri specifici e considerare le analisi MITRE ATT&CK quando si confrontano i prodotti. Per esempio si deve valutare:
- In che modo l’EDR protegge gli asset? Prevede o meno l’uso di Agent? Se manca l’Agent, verificare le funzionalità mancanti alla soluzione EDR
- Quali dispositivi o sistemi operativi (OS) non sono coperti dall’EDR? Quante tipologie di Agent/policies sono necessarie per ampliare la sicurezza a tutti i sistemi operativi?
- Questa soluzione EDR è adatta alle piattaforme cloud? Assicura integrazioni con altri sistemi? Quali funzionalità di automazione sono incluse nell’EDR?
- Per quanto tempo si possono conservare i dati con l’EDR? Le imprese hanno bisogno di almeno due o tre mesi di dati di log per i vari audit.
- In caso di fusioni/acquisizioni potrebbero nascere criticità nel combinare i vari EDR?
Il ruolo delle piattaforme XDR
Oltre a implementare la migliore soluzione EDR occorre valutare anche l’utilizzo di una piattaforma di sicurezza aperta e flessibile che possa massimizzare la visibilità dei sistemi. Una piattaforma XDR (Extended Detection & Response) può offrire flessibilità, visibilità e tranquillità sapendo di avere un unico punto di riferimento in caso di attacco ai sistemi informatici, assicurando anche un ROI migliore.
Naturalmente, anche con l’adeguata tecnologia, è vitale essere preparati alla perdita di dati o alle interruzioni di servizio con backup sicuri e test periodici di ripristino. Mentre gli autori di attacchi ransomware hanno perfezionato le tattiche di estorsione, i backup sono indispensabili per difendersi da disastri locali o semplicemente da guasti hardware.
Promuovere una cultura interna incentrata sulla cybersecurity
Occorre, sempre e comunque, sviluppare una valida cultura ‘cybersecurity-first’, seguendo alcuni passaggi per: responsabilizzare le persone, amplificare il concetto della sicurezza a tutti i processi aziendali, definire e gestire un network con tutte le parti coinvolte nelle attività (manager, enti governativi, vendor e consulenti), prevedere una roadmap per il training.
Potenziare gli strumenti di security per i developer
Alcuni consigli per software vendor e sviluppatori per migliorare la sicurezza:
- Mantenere l’infrastruttura sicura per la gestione degli update e le fasi di sviluppo – non ritardare patch, richiedere controlli di integrità obbligatori, esaminare l’autenticazione senza password e imporre l’autenticazione a più fattori.
- Realizzare gli aggiornamenti come parte del Secure Software Development Lifecycle (SSDLC) – richiedere il protocollo SSL per update e il Certificate Pinning, imporre la firma anche sui file di configurazione, gli script e i file XML, non consentire ai programmi di update di ricevere comandi generici e richiedere le firme digitali.
- Sviluppare un piano di Incident Response (IR) per gli attacchi alla Supply Chain, creare un runbook e testarlo effettivamente con simulazioni di attacchi.
Gli hacker ricercano guadagni facili, seguendo il criterio “minimo sforzo massima resa” e per questo gli attacchi alla Supply Chain restano nei loro radar.
Il contesto si complica quando pensiamo che 9 aziende su 10 oggi sviluppano software in open-source. Si aggiunga poi l’uso crescente di dispositivi IoT per auto e negli elettrodomestici, in antifurti e termostati, così come l’adozione di tool intelligenti nella sanità e nell’industria/energia e si ottiene l’esposizione infinita delle superfici di attacco.
È essenziale che le organizzazioni rivedano i criteri di cybersecurity, acquisiscano visibilità sulle dipendenze della Supply Chain e siano preparate con strumenti e policy adatte a contenere e prevenire i futuri attacchi.
Articolo originariamente pubblicato a maggio 2022 e sottoposto a successive modifiche e revisioni
Articolo originariamente pubblicato il 30 Mag 2022