Autore: Redazione SecurityOpenLab
Un anno fa, in questo periodo, la maggior parte degli esperti di cybersecurity prevedeva che il 2022 sarebbe stato l’anno degli attacchi alle supply chain. Dopo il caso SolarWinds si era ampiamente compreso il potenziale di questi incidenti, ma pochi pensavano che li avrebbe riguardati in prima persona. Invece casi si sono effettivamente moltiplicati, tanto che gli esperti hanno contezza solo di una minima parte di essi. Non è difficile comprenderne il motivo: questo tipo di attacco si adatta perfettamente all’opportunismo dei cyber criminali e al loro criterio di base, che mira all’ottenimento della massima resa con il minimo sforzo.
Se l’obiettivo è colpire il numero maggiore possibile di vittime, tipicamente i cyber criminali cercano di sviluppare un attacco che passi inosservato contro un fornitore software o un MSP con l’intento di contaminarne tutti i clienti. Nel caso SolarWinds il codice malevolo è stato inserito in un update e ha raggiunto tutti i clienti che lo hanno scaricato. Un fornitore di servizi gestiti tipicamente è in possesso degli accessi privilegiati alle reti di tutti i clienti, quindi un attacco contro un MSP è in realtà un attacco contro tutti i suoi clienti.
Ci sono poi i casi in cui un attaccante mira a un obiettivo specifico, ben protetto: l’attacco diretto comporterebbe un ingente investimento di tempo e denaro, mentre un attacco ai danni di un fornitore più piccolo e con difese cyber meno strutturate può equivalere a entrare dalla porta di servizio. È quello che accadde nel 2020 contro un fornitore dell’appaltatore militare statunitense Westech International.
A prescindere dal tipo di attacco alla supply chain, la partita si gioca sempre sulla fiducia: il fornitore storico e le attività a esso riconducibili non destano sospetti, non subiscono controlli serrati. E la mancanza di allineamento del livello di security su tutta la supply chain viene capitalizzata dai criminali informatici. Oggi più di un tempo, perché la crescente digitalizzazione sta ampliando progressivamente la necessità di accesso alle risorse aziendali da parte di fornitori terzi, ampliando inevitabilmente la superficie di rischio.
Quello che cerchiamo di capire in questo speciale è come fare per prevenire gli incidenti alla supply chain, o per lo meno come ridurre la superficie di rischio affinché diventi complicato e poco remunerativo scatenarli. Non è un obiettivo facile da raggiungere e ciascuno degli esperti che abbiamo interpellato ha fornito la sua interpretazione. In linea di massima, sono sempre di più coloro che puntano su un controllo degli accessi basato sullo Zero Trust: dato che gli attaccanti abusano della fiducia, adottare un approccio di “fiducia zero” sembra una soluzione vincente.
Andando a fondo della questione emerge che una sola scommessa vincente non basta. Prima di tutto perché l’anello debole della catena è quasi sempre il dipendente, il quale per aggirare gli inganni del social engineering (spesso alla base degli attacchi in oggetto) ha bisogno di formazione e di strumenti di difesa quali per esempio un efficace blocco del phishing. In secondo luogo perché, per quanto le maglie della security preventiva possano essere strette, qualcosa riuscirà sempre a oltrepassarle. Ed è in questi casi che diventano fondamentali gli strumenti di detection e response. Non quelli vecchio stampo basati sulle firme, ma quelli che fanno uso del machine learning per rilevare qualsiasi anomalia nel comportamento di utenti, sistemi e traffico di rete. E che una volta individuata un’anomalia siano in grado di analizzarla e processarla in automatico per evitare di soffocare gli analisti con migliaia di inutili alert.
La lista delle tattiche da adottare in realtà è molto più lunga e complessa di questa, gli esperti che abbiamo intervistato le hanno dettagliate molto approfonditamente, quindi vi lasciamo alla lettura dei loro contributi.