Come si sviluppa un attacco alla supply chain, che è il punto di partenza per capire come prevenirlo?

Gli attacchi alla supply chain comportano in genere una violazione della sicurezza legata ad un partner o ad un fornitore di servizi che ha accesso ai sistemi o ai dati di un’azienda. L'idea alla base di questi attacchi è che questi siano soggetti fidati e i criminali informatici abusano di questa fiducia per perpetrare i loro attacchi. Un esempio è quello di autorizzare un partner ad accedere alla rete aziendale tramite connessione VPN: nel corso di una violazione avvenuta all'inizio di quest'anno, le credenziali VPN trafugate di un partner sono state utilizzate per violare la rete dell’azienda statunitense Colonial Pipeline. In altri casi, il software di gestione da remoto utilizzato dai provider di servizi gestiti è stato usato come backdoor da un hacker per ottenere l'accesso ai sistemi dei clienti del provider. A volte, gli attacchi possono avere origine da attività semplici come la ricezione di un'email con un link di phishing o un allegato dannoso da parte del CEO di un'azienda partner. Si stima che il 39% di tutte le violazioni della sicurezza nel 2021 ha coinvolto un partner.

Ci sono molteplici ragioni per cui i criminali informatici prendono di mira i partner. In genere, il partner è un'azienda di piccole dimensioni che non dispone delle risorse di sicurezza di cui potrebbe disporre un'azienda di dimensioni più grandi. Per un criminale informatico è più facile compromettere la sicurezza di queste aziende più piccole, utilizzandole come punto di partenza per accedere ai sistemi e ai dati di aziende più grandi. Un hacker che viola la rete di un'azienda di piccole dimensioni può in genere rimanervi più a lungo, raccogliendo informazioni, senza essere notato. Inoltre, le forze dell'ordine prestano meno attenzione quando viene violata un'azienda di piccole dimensioni rispetto a un attacco diretto a una grande azienda. I criminali informatici tendono a operare con cautela e discrezione. Il concetto chiave da ricordare è che queste violazioni della sicurezza si basano sulla fiducia, e le aziende devono sapere di chi fidarsi per consentire l'accesso ai loro sistemi e ai loro dati, e di come questa fiducia viene gestita.

Alla luce della vostra esperienza, quali condotte devono cambiare le aziende per gestire questo rischio e quali strumenti gli occorrono?

Ci sono diverse azioni che le aziende possono intraprendere per ridurre le probabilità di cadere vittime di questi attacchi alla supply chain. Occorre rispettare requisiti rigorosi per le password (le password devono essere lunghe almeno 12 caratteri con una combinazione di lettere minuscole e maiuscole, numeri e almeno un carattere speciale e devono essere cambiate frequentemente); abilitare l'autenticazione a due fattori per gli account dell’utente; attivare verifiche periodiche degli account e dei sistemi dell’utente e infine evitare connessioni RDP/VDI rivolte al pubblico e implementare controlli di accesso stringenti.

Ci sono altri strumenti di cui le aziende dovrebbero dotarsi e, cosa importante, dovrebbero anche verificare che i loro partner di fiducia li abbiano:

• Una solida sicurezza delle email a livello di trasporto per bloccare le email di phishing indesiderate e i file dannosi che raggiungono gli utenti, che include anche la protezione contro gli attacchi di impersonificazione.
• Le aziende dovrebbero implementare una difesa con più livelli di protezione. Gli antivirus standard non sono più sufficienti. Le soluzioni di sicurezza devono includere il machine learning basato su una solida intelligence delle minacce.
• Strumenti di rilevamento e risposta efficaci che vadano oltre i sistemi e coprano anche i servizi di identità, le applicazioni di produttività, le reti e i carichi di lavoro in cloud. Questi strumenti dovrebbero consentire alle aziende di identificare quando gli account degli utenti sono stati compromessi in base a comportamenti sospetti riconoscibili.
• Idealmente, questi strumenti di rilevamento e risposta dovrebbero fornire intuitivamente informazioni sul contesto degli attacchi in modo da ridurre il tempo di permanenza degli hacker insieme a funzionalità di ripristino.
• La valutazione dei rischi legati alle persone è molto importante per riconoscere i comportamenti che potrebbero portare a una violazione della sicurezza. Un esempio è rappresentato da un utente che utilizza la stessa password su più siti web. Si tratta di un’abitudine particolarmente rischiosa se la stessa password è quella che l'utente usa per accedere alle risorse aziendali. È sufficiente che uno di questi siti web venga violato e la password può finire nelle mani sbagliate.

Fortunatamente per le aziende, tutti questi importanti strumenti sono integrati in Bitdefender GravityZone.