Cybersecurity

Difendere l'impresa nel 2022 dai rischi della Digital Supply Chain

Sono sempre più frequenti gli attacchi hacker alla Supply Chain e gestire la sicurezza è diventata una necessità per tutte le aziende. Alcuni esempi di attacchi subiti e quali strategie adottare per proteggersi

30 Mag 2022

Marco Rottigni*

Chief Technical Security Officer EMEA di Qualys

Con l’evoluzione delle vulnerabilità di software e hardware, garantire una buona sicurezza informatica dei sistemi diventa sempre più complesso. In particolare, Gartner ha individuato la sicurezza della Digital Supply Chain tra i primi 7 trend della cybersecurity da tenere sott’occhio nel 2022. Si tratta di un fenomeno che non dovrebbe sorprendere i CISO e i CIO. Ma la domanda è: quanto le organizzazioni sono al sicuro e sono stati messi in piedi gli interventi giusti per proteggersi efficacemente da un attacco alla Supply Chain?

Sicurezza Supply Chain, in cosa consiste un attacco alla catena di approvvigionamento? 

Gestire il rischio sicurezza per la supply chain deriva dalle relazioni che si hanno con i fornitori diretti e indiretti. Ma non si esaurisce qui: perché in molti casi piuttosto che attaccare direttamente un’organizzazione, l’hacker prende di mira il vendor di un software sorgente per lo sviluppo di nuove applicazioni, cercando di inviare un codice dannoso attraverso un’applicazione certificata. I malintenzionati possono accedere alla Supply Chain contaminando i server di aggiornamento o i tool di sviluppo, inserendo il codice malevolo nei file eseguibili o sostituendo i package reali con quelli armati. In questi casi è doveroso chiedersi come sia possibile integrare componenti e servizi di terze parti nei propri sistemi produttivi, riducendo il rischio sicurezza a un livello accettabile e quali strumenti possano garantire un livello adeguato di fiducia. In generale, le minacce cyber in questo contesto sono le più disparate e la complessità è direttamente proporzionale quella della supply chain, al valore dell’obiettivo finale e alla capacità tecnica dell’organizzazione che opera l’attacco.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

Alcuni esempi di attacchi già subiti

Nel 2011 gli hacker hanno attaccato la società RSA Security compromettendone il “seed warehouse” attraverso i token SecurID e in seguito attraverso lo spear phishing, con contenuti personalizzati. Due anni più tardi è stata la catena di abbigliamento Target a subire un attacco ai dispositivi dei punti vendita di tutti i negozi per un danno di oltre 200 milioni di dollari: gli hacker si erano insinuati nel software del sistema di ventilazione. Il software CCleaner è stato attaccato nel 2017 attraverso credenziali rubate tramite Team Viewer. Negli ultimi tre anni sono state colpite dagli hacker le società informatiche AsusTek, SolarWinds e Kaseya riportando ingenti danni, alle aziende e agli utilizzatori stessi.

Altri casi di attacchi alle Supply Chain sono disponibili a questo link .

Basandoci su questi esempi si possono delineare i principali obiettivi degli hacker:

  • Prendere di mira software poco sicuri, utilizzati per realizzare sistemi o piattaforme di aggiornamento su larga scala.
  • Puntare a chi sviluppa internamente o al codice/firmware specializzato.
  • Utilizzare certificati rubati per firmare le app, facendole passare per un prodotto affidabile di terze parti o un prodotto sviluppato internamente.
  • Sfruttare dispositivi vulnerabili, dalle apparecchiature di rete a sistemi IoT e POS, per veicolare un malware preinstallato.

Sicurezza Supply Chain, come proteggersi da un attacco?

È importante che vendor di software e sviluppatori adottino chiare policy di sicurezza. Occorre comunque che anche le organizzazioni rispettino alcuni elementi nella gestione della Supply Chain, partendo dall’assicurarsi di applicare policy di integrità sull’utilizzo del codice sorgente e sfruttando l’SSO Authorization Code Grant o una piattaforma di controllo delle applicazioni.

Successivamente, è necessario adottare una valida soluzione EDR (Endpoint Detection and Response) capace di rilevare e porre rimedio in modo automatico alle attività sospette in tempo reale. Quando si valuta una soluzione EDR, assicurarsi che soddisfi criteri specifici e considerare le analisi MITRE ATT&CK quando si confrontano i prodotti. Per esempio si deve valutare:

  • In che modo l’EDR protegge gli asset? Prevede o meno l’uso di Agent? Se manca l’Agent, verificare le funzionalità mancanti alla soluzione EDR
  • Quali dispositivi o sistemi operativi (OS) non sono coperti dall’EDR? Quante tipologie di Agent/policies sono necessarie per ampliare la sicurezza a tutti i sistemi operativi?
  • Questa soluzione EDR è adatta alle piattaforme cloud? Assicura integrazioni con altri sistemi? Quali funzionalità di automazione sono incluse nell’EDR?
  • Per quanto tempo si possono conservare i dati con l’EDR? Le imprese hanno bisogno di almeno due o tre mesi di dati di log per i vari audit.
  • In caso di fusioni/acquisizioni potrebbero nascere criticità nel combinare i vari EDR?

Oltre a implementare la migliore soluzione EDR occorre valutare anche l’utilizzo di una piattaforma di sicurezza aperta e flessibile che possa massimizzare la visibilità dei sistemi. Una piattaforma XDR (Extended Detection & Response) può offrire flessibilità, visibilità e tranquillità sapendo di avere un unico punto di riferimento in caso di attacco ai sistemi informatici, assicurando anche un ROI migliore.

Naturalmente, anche con l’adeguata tecnologia, è vitale essere preparati alla perdita di dati o alle interruzioni di servizio con backup sicuri e test periodici di ripristino. Mentre gli autori di attacchi ransomware hanno perfezionato le tattiche di estorsione, i backup sono indispensabili per difendersi da disastri locali o semplicemente da guasti hardware.

Promuovere una cultura interna incentrata sulla cybersecurity

Occorre, sempre e comunque, sviluppare una valida cultura ‘cybersecurity-first’, seguendo alcuni passaggi per: responsabilizzare le persone, amplificare il concetto della sicurezza a tutti i processi aziendali, definire e gestire un network con tutte le parti coinvolte nelle attività (manager, enti governativi, vendor e consulenti), prevedere una roadmap per il training.

Potenziare gli strumenti di security per i developer

Alcuni consigli per software vendor e sviluppatori per migliorare la sicurezza:

  • Mantenere l’infrastruttura sicura per la gestione degli update e le fasi di sviluppo – non ritardare patch, richiedere controlli di integrità obbligatori, esaminare l’autenticazione senza password e imporre l’autenticazione a più fattori.
  • Realizzare gli aggiornamenti come parte del Secure Software Development Lifecycle (SSDLC) – richiedere il protocollo SSL per update e il Certificate Pinning, imporre la firma anche sui file di configurazione, gli script e i file XML, non consentire ai programmi di update di ricevere comandi generici e richiedere le firme digitali.
  • Sviluppare un piano di Incident Response (IR) per gli attacchi alla Supply Chain, creare un runbook e testarlo effettivamente con simulazioni di attacchi.

Gli hacker ricercano guadagni facili, seguendo il criterio “minimo sforzo massima resa” e per questo gli attacchi alla Supply Chain restano nei loro radar. Il contesto si complica quando pensiamo che 9 aziende su 10 oggi sviluppano software in open-source. Si aggiunga poi l’uso crescente di dispositivi IoT per auto e negli elettrodomestici, in antifurti e termostati, così come l’adozione di tool intelligenti nella sanità e nell’industria/energia e si ottiene l’esposizione infinita delle superfici di attacco. È essenziale che le organizzazioni rivedano i criteri di cybersecurity, acquisiscano visibilità sulle dipendenze della Supply Chain e siano preparate con strumenti e policy adatte a contenere e prevenire i futuri attacchi.

@RIPRODUZIONE RISERVATA
Canali
S
Supply Chain
Argomenti trattati

Personaggi

Marco Rottigni

Approfondimenti

C
cybersecurity
H
hacker

Articolo 1 di 4