Cos’è un Supply Chain Attack?

Un supply chain attack è un modo molto efficace di violare la sicurezza iniettando librerie o componenti dannosi in un prodotto senza che lo sviluppatore, il produttore o il cliente finale se ne accorgano. Un attacco alla supply chain è un modo efficace per rubare dati sensibili, accedere ad ambienti altamente sensibili o ottenere il controllo remoto di sistemi specifici. I più a rischio sono i grandi sviluppatori di software e i distributori di hardware che si affidano a un fornitore per costruire e spedire i componenti che utilizzano per realizzare i loro prodotti finali.

I cyber attacchi alla supply chain nel settore tecnologico si concentrano sui fornitori di software e sui produttori di hardware. Gli aggressori cercano codice, pratiche infrastrutturali e procedure di rete non sicure che consentano l'iniezione di componenti dannosi. Quando un processo di creazione richiede diversi passaggi dallo sviluppo (o dalla produzione) all'installazione, un aggressore (o un gruppo di aggressori) ha diverse opportunità di iniettare il proprio codice dannoso nel prodotto finale.

Alcuni produttori, venditori e sviluppatori realizzano prodotti utilizzati da migliaia di clienti. Un aggressore in grado di violare uno di questi fornitori può, potenzialmente, ottenere l'accesso a migliaia di vittime ignare, tra cui: aziende tecnologiche, governi, appaltatori di sicurezza e altro ancora. Invece di violare una sola organizzazione bersaglio, un attacco alla supply chain offre a un aggressore la possibilità di ottenere l'accesso a numerose aziende grandi e piccole per esfiltrare silenziosamente grandi quantità di dati a loro insaputa.

Esempio teorico di supply chain attack

In un attacco alla catena di fornitura hardware, un produttore può installare un microchip dannoso su un circuito stampato utilizzato per costruire server e altri componenti di rete. Utilizzando questo chip, l'aggressore può origliare i dati e ottenere l'accesso remoto all'infrastruttura aziendale. Oppure, in un attacco alla supply chain a livello di software, uno sviluppatore di librerie maligne può modificare il codice per eseguire un'azione dannosa. La libreria potrebbe essere utilizzata per il cryptojacking, per rubare dati o per lasciare una backdoor a un aggressore per accedere da remoto a un sistema aziendale.

In molte delle principali minacce alla supply chain, la frode via e-mail è il vettore principale utilizzato per iniziare l'attacco. La compromissione della posta elettronica aziendale (BEC) funziona bene per gli aggressori che fanno le dovute ricerche sul loro obiettivo. Infatti, possono inviare messaggi di posta elettronica ai dipendenti chiave (ad esempio, quelli dell'area finanziaria) per istruirli a pagare una fattura o a inviare denaro. L'indirizzo del mittente sembra quello dell'amministratore delegato o del proprietario ed è scritto in modo da sembrare urgente per il destinatario. In alcuni scenari, l'aggressore compromette l'account di posta elettronica di un dirigente e lo utilizza per inviare e-mail di phishing ai dipendenti dell'organizzazione.

Qualsiasi fornitore che si affida a terzi per la realizzazione di un prodotto è vulnerabile agli attacchi alla supply chain. Negli attacchi generici, gli attori delle minacce si concentrano su qualsiasi obiettivo, non su un'azienda specifica. Tuttavia, negli attacchi sofisticati, i cybercriminali si concentrano su agenzie governative o grandi organizzazioni dal valore miliardario. Invece, negli attacchi sponsorizzati da uno Stato, gli attori delle minacce si concentrano sui governi e sulle loro infrastrutture. Questi attacchi possono causare perdite di vite umane se il malware blocca i sistemi critici.

I fornitori di sicurezza sono bersagli perfetti. Le organizzazioni si affidano ai fornitori di sicurezza per proteggere i loro dati e la loro reputazione. Con un codice maligno inserito furtivamente nell'infrastruttura e nei controlli dei fornitori di sicurezza, un aggressore può sottrarre silenziosamente i dati dai sistemi delle grandi aziende e inviarli a una rete controllata dall'aggressore. I dati vulnerabili a questi attacchi possono essere di tipo finanziario, informazioni di identificazione personale (PII), informazioni sui pazienti e sui dipendenti.

Un altro obiettivo primario è rappresentato dai Managed Service Provider (MSP). Queste aziende supportano l'infrastruttura organizzativa e dispongono di sistemi per il monitoraggio delle attività. L'accesso a un sistema MSP consentirebbe a un aggressore di accedere a numerosi sistemi di clienti MSP. Con il giusto codice maligno, l'aggressore potrebbe accedere alle credenziali dell'MSP, consentendogli di accedere all'infrastruttura del cliente. Un'altra possibilità per l'aggressore sarebbe quella di prelevare i numeri delle carte di credito dalle dashboard dei pagamenti e dai sistemi di assistenza clienti.

L'open source è un ottimo modo per gli sviluppatori di collaborare con altri sviluppatori per migliorare il loro codice. Quando altri sviluppatori contribuiscono alla base di codice, il codice deve essere esaminato per individuare eventuali difetti di sicurezza. Queste falle potrebbero essere aggiunte per errore alla base di codice o di proposito. Poiché la maggior parte dei progetti open-source è disponibile pubblicamente per gli altri sviluppatori, un bug di sicurezza errato nel codice potrebbe essere colto da un aggressore prima che da una terza parte utile. L'aggressore potrebbe quindi scrivere del codice per sfruttare la vulnerabilità di sicurezza, lasciando aperte a exploit mirati tutte le aziende che utilizzano il codice open-source.

Qualsiasi organizzazione con una gerarchia di dipendenti pubblicata sui social media o sul sito web dell'organizzazione è un potenziale bersaglio di BEC. Un aggressore può raccogliere un elenco di account con privilegi elevati per effettuare phishing, social engineering o per indurre i dipendenti a pagare fatture fraudolente. Dopo la fase di ricerca, l'aggressore può "diventare" la persona che intende utilizzare per indurre i dipendenti a inviare denaro o a pagare le fatture. In alcuni scenari, anche i fornitori dell'organizzazione potrebbero essere a rischio. Un aggressore potrebbe compromettere l'account di posta elettronica di un fornitore e utilizzarlo per inviare e-mail a dipendenti con privilegi elevati all'interno dell'organizzazione vittima.

Diversi attacchi reali sono già stati sferrati contro la catena di approvvigionamento, ma non sono noti al grande pubblico perché coinvolgono gli sviluppatori e le operazioni. Gli esempi reali più noti hanno un impatto soprattutto sugli amministratori aziendali che devono contenere, eliminare e rimediare alle vulnerabilità lasciate dai fornitori colpiti dagli attacchi alla supply chain.

Alcuni esempi reali di supply chain attack che hanno colpito grandi aziende sono:

• SolarWinds: nel 2020, gli aggressori hanno iniettato una backdoor nel processo di distribuzione degli aggiornamenti di SolarWinds, lasciando i server di produzione aziendali e governativi aperti all'accesso remoto. Numerose organizzazioni sono state vittime di fughe di dati e incidenti di sicurezza.
• Kaseya: il ransomware REvil ha infettato il software MSP utilizzato per gestire migliaia di ambienti dei clienti, consentendo agli aggressori di richiedere 70 milioni di dollari ai clienti MSP.
• Codecov: gli aggressori hanno infettato il Bash uploader di Codecov per l'invio automatico di rapporti ai clienti. Grazie al codice maligno iniettato negli script, gli aggressori hanno intercettato e rubato i dati dei clienti dai server di Codecov.
• NotPetya: NotPetya era un falso ransomware utilizzato per indurre gli utenti a pagare una tassa, ma non è mai stata consegnata alcuna chiave privata, lasciando le vittime con perdite di dati e denaro. L'attacco è iniziato quando un'applicazione di aggiornamento ucraina è stata infettata da codice maligno.
• Atlassian: nel 2020, i ricercatori di sicurezza hanno scoperto che le applicazioni Atlassian erano vulnerabili a causa di un exploit contro la loro procedura Single Sign-On (SSO). Utilizzando i token SSO, gli aggressori potevano accedere alle applicazioni ed eseguire azioni relative all'account utente.
• British Airways: British Airways ha subito una violazione dei dati dopo che l'attacco alla catena di fornitura Magecart ha compromesso il sistema di transazioni e divulgato informazioni sensibili.
• Community housing non-profit: gli aggressori hanno falsificato un dominio di un fornitore per ingannare i dipendenti dell'organizzazione no-profit e indurli a divulgare dati sensibili, in modo che potessero rubare 1 milione di sterline di affitto.

Poiché gli attacchi alla supply chain sono rivolti a sviluppatori e produttori al di fuori del controllo dell'organizzazione, è difficile fermarli. Dovreste sempre esaminare qualsiasi codice o hardware prima di installarlo sulla vostra infrastruttura. I professionisti della sicurezza dovranno anche eseguire un test di penetrazione su questi componenti per assicurarsi che non presentino vulnerabilità impreviste iniettate maliziosamente nel sistema o vulnerabilità sfruttabili introdotte accidentalmente nel sistema.

Sebbene i supply chain attack siano al di fuori del vostro controllo, potete comunque seguire diverse strategie per evitare di diventarne vittima. Ecco alcune:

• Imposta un honeypot: un honeypot di dati falsi che assomigliano a informazioni sensibili e preziose agisce come un filo spinato per avvisare gli amministratori che il sistema potrebbe essere sotto attacco o compromesso. Gli honeypot devono agire e assomigliare a sistemi e dati normali e devono avere un monitoraggio che consenta agli amministratori di identificare il modo in cui un aggressore potrebbe violare l'ambiente.
• Limitare gli account privilegiati: gli spostamenti laterali attraverso la rete sono comuni negli attacchi alla supply chain che compromettono gli account con privilegi elevati. Anche la limitazione dell'accesso a pochi account e la garanzia che gli account possano accedere solo ai dati necessari per svolgere una funzione limitano il rischio.
• Formazione del personale: è stato dimostrato che la formazione del personale per fargli comprendere l'importanza della cybersecurity e i molti modi in cui può rilevare e difendersi dalle minacce interne riduce il rischio. La formazione sulla consapevolezza della sicurezza aiuta a garantire che gli individui comprendano e seguano determinate pratiche per contribuire a garantire la sicurezza di un’organizzazione.
• Implementare un sistema di Identity Access Management (IAM): un sistema IAM fornisce agli amministratori una dashboard centralizzata per controllare l'accesso ai dati e creare e disattivare gli account in tutta l'azienda. Il vantaggio è che gli amministratori possono gestire meglio le autorizzazioni sulla rete in un'unica posizione e identificare potenziali errori di gestione dei privilegi.
• Lavora con un'architettura a fiducia zero (ZTA): invece di fidarsi degli utenti autenticati, un ambiente a fiducia zero presuppone che tutte le applicazioni e gli utenti possano essere degli aggressori e richiede la riautorizzazione e l'autenticazione per ogni richiesta di accesso ai dati.
• Identifica le risorse vulnerabili: in una valutazione del rischio, un professionista controlla tutte le risorse della rete e identifica quelle più vulnerabili e a maggior rischio. Gli amministratori possono quindi dare priorità ai controlli di cybersecurity sull'infrastruttura più rischiosa e proteggere tutte le risorse che gli aggressori potrebbero prendere di mira.
• Riduci al minimo l'accesso ai dati sensibili: per i dati sensibili, tra cui la proprietà intellettuale e i file contenenti segreti commerciali, le organizzazioni devono limitare l'accesso solo agli utenti con privilegi elevati e monitorare le richieste di accesso riuscite e non riuscite per identificare eventuali compromissioni.
• Monitorar l'accesso e le risorse dei fornitori: i fornitori terzi rappresentano il rischio più significativo negli attacchi alla supply chain. Molti fornitori non si rendono conto di essere un bersaglio e di rappresentare un rischio per i loro clienti, pertanto qualsiasi accesso o implementazione di risorse di fornitori terzi deve essere verificato per individuare eventuali vulnerabilità.
• Applica regole rigorose di Shadow IT: le risorse Shadow IT sono tutti i dispositivi non autorizzati ad accedere all'ambiente di rete. Questo problema rappresenta un rischio quando l'organizzazione offre anche una politica BYOD (bring-your-own-device) che consente agli utenti di connettersi con i propri dispositivi desktop o mobili. Questi dispositivi devono essere monitorati in modo intensivo e devono essere dotati di software antivirus.
• Sii consapevole delle minacce interne: l'errore umano è un vettore di attacco primario per le minacce di phishing e social engineering. La valutazione e la revisione del rischio devono identificare anche le potenziali minacce interne e gli errori umani che potrebbero causare una grave violazione dei dati o una compromissione del sistema.
• Utilizza la cybersecurity delle e-mail per bloccare i mittenti spoofed: i tuoi server di posta elettronica dovrebbero impedire ai mittenti spoofed di raggiungere la casella di posta del destinatario e utilizzare l'intelligenza artificiale per bloccare i domini spoofed e i siti di attacco noti.
• Forma i tuoi dipendenti per individuare i messaggi dannosi: la formazione dei dipendenti è fondamentale per ridurre il rischio di errore umano. Gli attacchi di phishing simulati permettono ai dipendenti di identificare gli attacchi di phishing e l'ingegneria sociale.
• Stabilisci delle procedure standard per i pagamenti delle fatture: per evitare il pagamento di fatture fraudolente, è necessario adottare politiche di pagamento per convalidare le fatture e ottenere l'autorizzazione prima di inviare denaro a qualsiasi conto bancario.

Per capire in che modo la vostra organizzazione potrebbe essere vulnerabile a un attacco alla supply chain, dovete innanzitutto fare la dovuta analisi ed eseguire una valutazione del rischio interno. Dopo l'attacco alla catena di fornitura di SolarWinds, molte altre organizzazioni hanno compreso l'importanza delle valutazioni del rischio per proteggere l'ambiente interno da queste minacce di terzi.

Durante una valutazione del rischio, i professionisti non solo identificano i rischi, ma aiutano anche l'organizzazione a progettarli e a gestirli. La mitigazione dei rischi richiede controlli di cybersecurity adeguati e un ambiente a fiducia zero per bloccare correttamente le minacce. In molti casi, l'organizzazione deve riprogettare i controlli di autorizzazione e i privilegi degli utenti per ridurre il rischio.

Il personale di Proofpoint è esperto nella prevenzione degli attacchi alla supply chain e nei molteplici modi in cui le minacce rappresentano un rischio per la privacy dei dati, la conformità e le difese di cybersecurity. Offriamo servizi completi che proteggono un vettore di attacco primario: la posta elettronica. Proteggiamo la supply chain di diversi settori, tra cui il settore sanitario, servizi finanziari, istruzione, produzione e PMI e altri ancora.