Indice
- Come funziona un cyber attack alla supply chain?
- Tipologie di attacco alla supply chain
- Quali sono le conseguenze e l’impatto di un supply chain attack?
- Chi è vulnerabile agli attacchi alla supply chain?
- Esempi reali di attacchi alla supply chain
- Come proteggersi dagli attacchi alla supply chain
- Valutazione del rischio della catena di fornitura
- In che modo Proofpoint può aiutare
Un supply chain attack è un modo molto efficace di violare la sicurezza iniettando librerie o componenti dannosi in un prodotto senza che lo sviluppatore, il produttore o il cliente finale se ne accorgano. Un attacco alla supply chain è un modo efficace per rubare dati sensibili, accedere ad ambienti altamente sensibili o ottenere il controllo remoto di sistemi specifici. I più a rischio sono i grandi sviluppatori di software e i distributori di hardware che si affidano a un fornitore per costruire e spedire i componenti che utilizzano per realizzare i loro prodotti finali.
La Formazione sulla Cybersecurity Inizia Qui
Ecco come funziona la tua prova gratuita:
- Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
- Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
- Prova la nostra tecnologia in prima persona!
- Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Come funziona un cyber attack alla supply chain?
I cyber attacchi alla supply chain nel settore tecnologico si concentrano sui fornitori di software e sui produttori di hardware. Gli aggressori cercano codice, pratiche infrastrutturali e procedure di rete non sicure che consentano l'iniezione di componenti dannosi. Quando un processo di creazione richiede diversi passaggi dallo sviluppo (o dalla produzione) all'installazione, un aggressore (o un gruppo di aggressori) ha diverse opportunità di iniettare il proprio codice dannoso nel prodotto finale.
Alcuni produttori, venditori e sviluppatori realizzano prodotti utilizzati da migliaia di clienti. Un aggressore in grado di violare uno di questi fornitori può, potenzialmente, ottenere l'accesso a migliaia di vittime ignare, tra cui: aziende tecnologiche, governi, appaltatori di sicurezza e altro ancora. Invece di violare una sola organizzazione bersaglio, un attacco alla supply chain offre a un aggressore la possibilità di ottenere l'accesso a numerose aziende grandi e piccole per esfiltrare silenziosamente grandi quantità di dati a loro insaputa.
Esempio teorico di supply chain attack
In un attacco alla catena di fornitura hardware, un produttore può installare un microchip dannoso su un circuito stampato utilizzato per costruire server e altri componenti di rete. Utilizzando questo chip, l'aggressore può origliare i dati e ottenere l'accesso remoto all'infrastruttura aziendale. Oppure, in un attacco alla supply chain a livello di software, uno sviluppatore di librerie maligne può modificare il codice per eseguire un'azione dannosa. La libreria potrebbe essere utilizzata per il cryptojacking, per rubare dati o per lasciare una backdoor a un aggressore per accedere da remoto a un sistema aziendale.
In molte delle principali minacce alla supply chain, la frode via e-mail è il vettore principale utilizzato per iniziare l'attacco. La compromissione della posta elettronica aziendale (BEC) funziona bene per gli aggressori che fanno le dovute ricerche sul loro obiettivo. Infatti, possono inviare messaggi di posta elettronica ai dipendenti chiave (ad esempio, quelli dell'area finanziaria) per istruirli a pagare una fattura o a inviare denaro. L'indirizzo del mittente sembra quello dell'amministratore delegato o del proprietario ed è scritto in modo da sembrare urgente per il destinatario. In alcuni scenari, l'aggressore compromette l'account di posta elettronica di un dirigente e lo utilizza per inviare e-mail di phishing ai dipendenti dell'organizzazione.
Tipologie di attacco alla supply chain
Tutte le organizzazioni che installano un'infrastruttura utilizzando fornitori terzi sono vulnerabili agli attacchi alla supply chain. Gli attacchi principali di cui tenere conto sono tre:
- Minacce alla catena di fornitura fisica: le minacce alla catena di fornitura fisica richiedono di solito la cooperazione con i produttori e i venditori per introdurre i componenti nelle schede dei circuiti. I produttori ricevono un piano di progettazione che devono seguire per costruire i componenti. Un produttore malintenzionato potrebbe aggiungere un solo componente in più alla scheda di circuito per intercettare i dati e inviarli a un aggressore.
- Minacce alla software supply chain: le organizzazioni utilizzano i fornitori di software per installare i loro prodotti sulla rete e svolgere funzioni come il monitoraggio dei server o consentire agli utenti di svolgere le loro attività quotidiane. Le applicazioni con vulnerabilità sconosciute consentono a un attore malintenzionato di eseguire numerosi attacchi ai sistemi dell’organizzazione.
- Minacce alla catena di approvvigionamento digitale: per ridurre i tempi di sviluppo, gli sviluppatori di software utilizzano una libreria comune di terze parti per svolgere una determinata funzione all'interno della loro applicazione. Se uno sviluppatore di librerie di terze parti inietta codice dannoso nel prodotto, qualsiasi sviluppatore di software che incorpora la libreria infetta sarebbe vulnerabile.
- Business email compromise: un aggressore può inviare messaggi ai dipendenti del settore finanziario per indurli a pagare fatture false. Altri malintenzionati potrebbero ingannare le risorse umane e dirottare i fondi delle buste paga sul proprio conto fingendo di essere un altro dipendente. Se un aggressore riesce a compromettere un indirizzo e-mail aziendale, può utilizzarlo per sfruttare le conversazioni e indurre i destinatari a fornire dati sensibili o a inviare denaro a un conto controllato dall'aggressore.
Quali sono le conseguenze e l’impatto di un supply chain attack?
Molte organizzazioni non conoscono il funzionamento degli attacchi alla supply chain e non sono consapevoli di ciò che accade se cadono vittime di questo tipo di attacco. L'impatto di un attacco alla catena di fornitura potrebbe devastare i ricavi aziendali, la reputazione del marchio e le relazioni con i fornitori.
Le tre principali conseguenze di supply chain attack sono:
- Data breach e divulgazione dei dati: in molti attacchi alla catena di approvvigionamento, soprattutto quelli basati sull'hardware, il codice dannoso intercetta i dati e li invia a un server controllato dall'aggressore. Tutti i dati che passano attraverso un sistema infettato dal codice maligno potrebbero essere violati, compreso il potenziale furto di credenziali di account con privilegi elevati che potrebbero essere utilizzati per compromissioni future.
- Installazione di malware: il codice dannoso eseguito all'interno di un'applicazione potrebbe essere utilizzato per scaricare malware e installarlo sulla rete aziendale. Ransomware, rootkit, keylogger, virus e altre minacce informatiche possono essere installate utilizzando il codice iniettato per l'attacco alla supply chain.
- Perdita monetaria: se un dipendente viene indotto con l'inganno a inviare denaro a un conto bancario o a pagare fatture fraudolente, l'organizzazione presa di mira potrebbe perdere milioni.
Chi è vulnerabile agli attacchi alla supply chain?
Qualsiasi fornitore che si affida a terzi per la realizzazione di un prodotto è vulnerabile agli attacchi alla supply chain. Negli attacchi generici, gli attori delle minacce si concentrano su qualsiasi obiettivo, non su un'azienda specifica. Tuttavia, negli attacchi sofisticati, i cybercriminali si concentrano su agenzie governative o grandi organizzazioni dal valore miliardario. Invece, negli attacchi sponsorizzati da uno Stato, gli attori delle minacce si concentrano sui governi e sulle loro infrastrutture. Questi attacchi possono causare perdite di vite umane se il malware blocca i sistemi critici.
I fornitori di sicurezza sono bersagli perfetti. Le organizzazioni si affidano ai fornitori di sicurezza per proteggere i loro dati e la loro reputazione. Con un codice maligno inserito furtivamente nell'infrastruttura e nei controlli dei fornitori di sicurezza, un aggressore può sottrarre silenziosamente i dati dai sistemi delle grandi aziende e inviarli a una rete controllata dall'aggressore. I dati vulnerabili a questi attacchi possono essere di tipo finanziario, informazioni di identificazione personale (PII), informazioni sui pazienti e sui dipendenti.
Un altro obiettivo primario è rappresentato dai Managed Service Provider (MSP). Queste aziende supportano l'infrastruttura organizzativa e dispongono di sistemi per il monitoraggio delle attività. L'accesso a un sistema MSP consentirebbe a un aggressore di accedere a numerosi sistemi di clienti MSP. Con il giusto codice maligno, l'aggressore potrebbe accedere alle credenziali dell'MSP, consentendogli di accedere all'infrastruttura del cliente. Un'altra possibilità per l'aggressore sarebbe quella di prelevare i numeri delle carte di credito dalle dashboard dei pagamenti e dai sistemi di assistenza clienti.
L'open source è un ottimo modo per gli sviluppatori di collaborare con altri sviluppatori per migliorare il loro codice. Quando altri sviluppatori contribuiscono alla base di codice, il codice deve essere esaminato per individuare eventuali difetti di sicurezza. Queste falle potrebbero essere aggiunte per errore alla base di codice o di proposito. Poiché la maggior parte dei progetti open-source è disponibile pubblicamente per gli altri sviluppatori, un bug di sicurezza errato nel codice potrebbe essere colto da un aggressore prima che da una terza parte utile. L'aggressore potrebbe quindi scrivere del codice per sfruttare la vulnerabilità di sicurezza, lasciando aperte a exploit mirati tutte le aziende che utilizzano il codice open-source.
Qualsiasi organizzazione con una gerarchia di dipendenti pubblicata sui social media o sul sito web dell'organizzazione è un potenziale bersaglio di BEC. Un aggressore può raccogliere un elenco di account con privilegi elevati per effettuare phishing, social engineering o per indurre i dipendenti a pagare fatture fraudolente. Dopo la fase di ricerca, l'aggressore può "diventare" la persona che intende utilizzare per indurre i dipendenti a inviare denaro o a pagare le fatture. In alcuni scenari, anche i fornitori dell'organizzazione potrebbero essere a rischio. Un aggressore potrebbe compromettere l'account di posta elettronica di un fornitore e utilizzarlo per inviare e-mail a dipendenti con privilegi elevati all'interno dell'organizzazione vittima.
Esempi reali di attacchi alla supply chain
Diversi attacchi reali sono già stati sferrati contro la catena di approvvigionamento, ma non sono noti al grande pubblico perché coinvolgono gli sviluppatori e le operazioni. Gli esempi reali più noti hanno un impatto soprattutto sugli amministratori aziendali che devono contenere, eliminare e rimediare alle vulnerabilità lasciate dai fornitori colpiti dagli attacchi alla supply chain.
Alcuni esempi reali di supply chain attack che hanno colpito grandi aziende sono:
- SolarWinds: nel 2020, gli aggressori hanno iniettato una backdoor nel processo di distribuzione degli aggiornamenti di SolarWinds, lasciando i server di produzione aziendali e governativi aperti all'accesso remoto. Numerose organizzazioni sono state vittime di fughe di dati e incidenti di sicurezza.
- Kaseya: il ransomware REvil ha infettato il software MSP utilizzato per gestire migliaia di ambienti dei clienti, consentendo agli aggressori di richiedere 70 milioni di dollari ai clienti MSP.
- Codecov: gli aggressori hanno infettato il Bash uploader di Codecov per l'invio automatico di rapporti ai clienti. Grazie al codice maligno iniettato negli script, gli aggressori hanno intercettato e rubato i dati dei clienti dai server di Codecov.
- NotPetya: NotPetya era un falso ransomware utilizzato per indurre gli utenti a pagare una tassa, ma non è mai stata consegnata alcuna chiave privata, lasciando le vittime con perdite di dati e denaro. L'attacco è iniziato quando un'applicazione di aggiornamento ucraina è stata infettata da codice maligno.
- Atlassian: nel 2020, i ricercatori di sicurezza hanno scoperto che le applicazioni Atlassian erano vulnerabili a causa di un exploit contro la loro procedura Single Sign-On (SSO). Utilizzando i token SSO, gli aggressori potevano accedere alle applicazioni ed eseguire azioni relative all'account utente.
- British Airways: British Airways ha subito una violazione dei dati dopo che l'attacco alla catena di fornitura Magecart ha compromesso il sistema di transazioni e divulgato informazioni sensibili.
- Community housing non-profit: gli aggressori hanno falsificato un dominio di un fornitore per ingannare i dipendenti dell'organizzazione no-profit e indurli a divulgare dati sensibili, in modo che potessero rubare 1 milione di sterline di affitto.
Come proteggersi dagli attacchi alla supply chain
Poiché gli attacchi alla supply chain sono rivolti a sviluppatori e produttori al di fuori del controllo dell'organizzazione, è difficile fermarli. Dovreste sempre esaminare qualsiasi codice o hardware prima di installarlo sulla vostra infrastruttura. I professionisti della sicurezza dovranno anche eseguire un test di penetrazione su questi componenti per assicurarsi che non presentino vulnerabilità impreviste iniettate maliziosamente nel sistema o vulnerabilità sfruttabili introdotte accidentalmente nel sistema.
Sebbene i supply chain attack siano al di fuori del vostro controllo, potete comunque seguire diverse strategie per evitare di diventarne vittima. Ecco alcune:
- Imposta un honeypot: un honeypot di dati falsi che assomigliano a informazioni sensibili e preziose agisce come un filo spinato per avvisare gli amministratori che il sistema potrebbe essere sotto attacco o compromesso. Gli honeypot devono agire e assomigliare a sistemi e dati normali e devono avere un monitoraggio che consenta agli amministratori di identificare il modo in cui un aggressore potrebbe violare l'ambiente.
- Limitare gli account privilegiati: gli spostamenti laterali attraverso la rete sono comuni negli attacchi alla supply chain che compromettono gli account con privilegi elevati. Anche la limitazione dell'accesso a pochi account e la garanzia che gli account possano accedere solo ai dati necessari per svolgere una funzione limitano il rischio.
- Formazione del personale: è stato dimostrato che la formazione del personale per fargli comprendere l'importanza della cybersecurity e i molti modi in cui può rilevare e difendersi dalle minacce interne riduce il rischio. La formazione sulla consapevolezza della sicurezza aiuta a garantire che gli individui comprendano e seguano determinate pratiche per contribuire a garantire la sicurezza di un’organizzazione.
- Implementare un sistema di Identity Access Management (IAM): un sistema IAM fornisce agli amministratori una dashboard centralizzata per controllare l'accesso ai dati e creare e disattivare gli account in tutta l'azienda. Il vantaggio è che gli amministratori possono gestire meglio le autorizzazioni sulla rete in un'unica posizione e identificare potenziali errori di gestione dei privilegi.
- Lavora con un'architettura a fiducia zero (ZTA): invece di fidarsi degli utenti autenticati, un ambiente a fiducia zero presuppone che tutte le applicazioni e gli utenti possano essere degli aggressori e richiede la riautorizzazione e l'autenticazione per ogni richiesta di accesso ai dati.
- Identifica le risorse vulnerabili: in una valutazione del rischio, un professionista controlla tutte le risorse della rete e identifica quelle più vulnerabili e a maggior rischio. Gli amministratori possono quindi dare priorità ai controlli di cybersecurity sull'infrastruttura più rischiosa e proteggere tutte le risorse che gli aggressori potrebbero prendere di mira.
- Riduci al minimo l'accesso ai dati sensibili: per i dati sensibili, tra cui la proprietà intellettuale e i file contenenti segreti commerciali, le organizzazioni devono limitare l'accesso solo agli utenti con privilegi elevati e monitorare le richieste di accesso riuscite e non riuscite per identificare eventuali compromissioni.
- Monitorar l'accesso e le risorse dei fornitori: i fornitori terzi rappresentano il rischio più significativo negli attacchi alla supply chain. Molti fornitori non si rendono conto di essere un bersaglio e di rappresentare un rischio per i loro clienti, pertanto qualsiasi accesso o implementazione di risorse di fornitori terzi deve essere verificato per individuare eventuali vulnerabilità.
- Applica regole rigorose di Shadow IT: le risorse Shadow IT sono tutti i dispositivi non autorizzati ad accedere all'ambiente di rete. Questo problema rappresenta un rischio quando l'organizzazione offre anche una politica BYOD (bring-your-own-device) che consente agli utenti di connettersi con i propri dispositivi desktop o mobili. Questi dispositivi devono essere monitorati in modo intensivo e devono essere dotati di software antivirus.
- Sii consapevole delle minacce interne: l'errore umano è un vettore di attacco primario per le minacce di phishing e social engineering. La valutazione e la revisione del rischio devono identificare anche le potenziali minacce interne e gli errori umani che potrebbero causare una grave violazione dei dati o una compromissione del sistema.
- Utilizza la cybersecurity delle e-mail per bloccare i mittenti spoofed: i tuoi server di posta elettronica dovrebbero impedire ai mittenti spoofed di raggiungere la casella di posta del destinatario e utilizzare l'intelligenza artificiale per bloccare i domini spoofed e i siti di attacco noti.
- Forma i tuoi dipendenti per individuare i messaggi dannosi: la formazione dei dipendenti è fondamentale per ridurre il rischio di errore umano. Gli attacchi di phishing simulati permettono ai dipendenti di identificare gli attacchi di phishing e l'ingegneria sociale.
- Stabilisci delle procedure standard per i pagamenti delle fatture: per evitare il pagamento di fatture fraudolente, è necessario adottare politiche di pagamento per convalidare le fatture e ottenere l'autorizzazione prima di inviare denaro a qualsiasi conto bancario.
Valutazione del rischio della catena di fornitura
Per capire in che modo la vostra organizzazione potrebbe essere vulnerabile a un attacco alla supply chain, dovete innanzitutto fare la dovuta analisi ed eseguire una valutazione del rischio interno. Dopo l'attacco alla catena di fornitura di SolarWinds, molte altre organizzazioni hanno compreso l'importanza delle valutazioni del rischio per proteggere l'ambiente interno da queste minacce di terzi.
Durante una valutazione del rischio, i professionisti non solo identificano i rischi, ma aiutano anche l'organizzazione a progettarli e a gestirli. La mitigazione dei rischi richiede controlli di cybersecurity adeguati e un ambiente a fiducia zero per bloccare correttamente le minacce. In molti casi, l'organizzazione deve riprogettare i controlli di autorizzazione e i privilegi degli utenti per ridurre il rischio.
In che modo Proofpoint può aiutare
Il personale di Proofpoint è esperto nella prevenzione degli attacchi alla supply chain e nei molteplici modi in cui le minacce rappresentano un rischio per la privacy dei dati, la conformità e le difese di cybersecurity. Offriamo servizi completi che proteggono un vettore di attacco primario: la posta elettronica. Proteggiamo la supply chain di diversi settori, tra cui il settore sanitario, servizi finanziari, istruzione, produzione e PMI e altri ancora.