Supply Chain Security

Quando si parla di “attacchi informatici” siamo soliti pensare ad un hacker alla ricerca di vulnerabilità all’interno della rete aziendale, alle mail di phishing per sottrarre credenziali o, ancora, ai malware.

Esistono altri modi per infiltrarsi in una rete, senza colpire direttamente l’azienda target?

La risposta è sì e la brutta notizia è che sentiremo sempre più spesso parlare di questo tipo di attacchi.

La maggior parte delle organizzazioni, infatti, si affida a fornitori. Le catene di approvvigionamento possono essere lunghe e complesse, coinvolgendo vari attori con funzioni diverse. Le aziende spesso non hanno pieno controllo su di esse e non stabiliscono standard minimi di sicurezza per i propri fornitori.

Le vulnerabilità possono essere presenti (e sfruttate) in qualsiasi punto della catena di approvvigionamento, causando danni di varia entità e gravità, e gli effetti a cascata di un singolo attacco possono avere un impatto disastroso.

Proteggere efficacemente le supply chain non è semplice.  È, però, possibile ridurre il rischio.

Gli attacchi alla catena di approvvigionamento sono aumentati in numero e in sofisticazione a partire dal 2020.  L’esempio di supply chain hack più noto, non a caso, è SolarWinds, definito da Brad Smith come “l'attacco più grande e sofisticato che il mondo abbia mai visto”: questo attacco informatico, infatti, oltre a rappresentare il più grave subito dagli Stati Uniti, ha avuto un forte impatto anche su alcune agenzie dell’Unione Europea. L’attacco, inoltre, sarebbe rimasto sconosciuto al pubblico, se FireEye non avesse deciso di essere trasparente sulla violazione subita.

La possibilità di attacchi di questo tipo, però, è stata dimostrata per la prima volta nel lontano 1984 dal pioniere dell’informatica Ken Thompson, uno dei creatori del sistema operativo Unix.

Verrebbe da domandarsi, allora, perché il numero di attacchi alla catena di approvvigionamento stia aumentando costantemente solo nel corso degli ultimi anni. Come evidenziato anche da ENISA nel report “Threat Landscape for Supply Chain Attacks” è possibile che, a causa della più solida protezione della sicurezza attuata dalle organizzazioni, gli autori degli attacchi si siano spostati verso i fornitori, causando un impatto significativo in termini di tempi di inattività dei sistemi, perdite finanziarie e danni alla reputazione. Sempre più aziende, infatti, si affidano a fornitori di fiducia di terze parti per gestire i propri dati. Quello che rileva è che un’organizzazione potrebbe essere vulnerabile a un attacco alla catena di approvvigionamento pur disponendo di buone difese.

Le piccole e medie imprese hanno, di conseguenza, ora maggiori probabilità di subire un attacco, pur non rappresentando l'obiettivo finale.

Questa metodologia di intrusione, inoltre, è particolarmente insidiosa per società che utilizzano estesamente sistemi IoT e industriali, per i quali la supply chain è particolarmente variegata e spesso costituita da aziende molto specializzate, ma di dimensioni ridotte e, quindi, prive di expertise di cybersecurity rilevanti.

Gli attacchi alla supply chain costituiscono una grave minaccia per le aziende e possono avere un impatto profondo e duraturo per le organizzazioni e per i loro clienti.

Essi, in particolare, si verificano quando i cybercriminali accedono alla rete di un’azienda sfruttando vulnerabilità dei fornitori (o subfornitori). Questi attacchi permettono di colpire più aziende contemporaneamente, comportando danni operativi, reputazionali e finanziari.

Gli attacchi alla supply chain sono in continua evoluzione e di vario tipo. I principali sono:

• Third party software providers - Creazione di patch automatiche e aggiornamenti "trojanizzati" di software utilizzati dalle organizzazioni bersaglio.
• Third party data stores - Botnet esfiltranti informazioni dai sistemi interni di numerosi data store.
• Watering hole - Un sito Web frequentato dagli utenti all'interno di un'organizzazione (o di un settore) viene compromesso per consentire la distribuzione di malware.

Gli attacchi alla catena di approvvigionamento sfruttano l’interconnessione dei mercati globali. Una caratteristica, infatti, accomuna le varie tipologie di attacco alla supply chain: i criminali informatici utilizzano le vulnerabilità dei fornitori come “trampolino di lancio” per diffondere i propri attacchi alle reti dei clienti, arrivando così a colpire centinaia (a volte migliaia) di vittime. I cybercriminali ottengono, così, l'accesso a informazioni e documenti aziendali, semplicemente approfittando della normale fiducia tra organizzazioni. Gli attacchi alla catena di approvvigionamento, inoltre, sono difficili da individuare, trattandosi di attacchi silenziosi, pazienti e persistenti.

Ecco perché è importante “partire dal basso”, avendo in primo luogo sempre ben presente:

• Chi sono i propri fornitori
• La maturità dei propri fornitori in termini di cybersicurezza
• Il livello di esposizione al rischio derivante dal rapporto cliente-fornitore

Ecco alcuni consigli per aiutarti a stabilire un controllo e una supervisione efficaci della tua catena di approvvigionamento:

• Analizzare le disposizioni di sicurezza dei fornitori
• Determinare contrattualmente le responsabilità dei fornitori per qualsiasi compromissione o violazione dei dati
• Sottoporre i fornitori a audit e/o richieste di report
• Determinare i requisiti minimi di sicurezza per i fornitori, differenziando i livelli di protezione richiesti
• Sviluppare allegati contrattuali comuni (ad esempio, valutazione dei rischi e questionario di sicurezza) per supportare il processo di appalto e consentire ai fornitori di trasmetterli ai subappaltatori
• Limitare l’accesso ai propri sistemi verso i fornitori al minimo necessario
• Adottare soluzioni di protezione con il modello “zero-trust”
• Sviluppare piani di emergenza che includano i fornitori
• Simulare un attacco
• Monitorare l’infrastruttura IT per rilevare in tempo reale gli eventi relativi alla sicurezza informatica (SOC)

Il Team Advisory di Lutech può fornirti consulenza professionale e aiutare la tua azienda ad aumentare la sicurezza della supply chain.