Gli attacchi alla supply chain sono in continuo aumento. Colpire fornitori terzi con difese informatiche meno avanzate dell’obiettivo principale sta diventando una commodity per i gruppi criminali, che in questo modo riescono a ottenere il maggiore risultato con il minimo sforzo. L’incremento di questo tipo di attacchi era stato messo in preventivo da molti esperti di security. Una recente ricerca condotta dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano conferma la bontà delle previsioni: negli ultimi 12 mesi quasi un’azienda su quattro (24%) ha subìto un incidente di sicurezza attraverso un attacco che ha colpito la sua catena di fornitura.

La catena d’attacco ormai è nota, ma questo non significa che sia facile da bloccare: l’attaccante prende di mira un fornitore e sfrutta le informazioni di cui entra in possesso per accedere all’infrastruttura della vittima principale. La kill chain spesso prende il via con una email che scarica un payload dannoso; possono seguire il furto di credenziali, i movimenti laterali con accesso e email, dati e contatti. Sono le informazioni collezionate in questa fase – spesso senza che nessuno se ne renda conto – a consegnare agli attaccanti la chiave per assalire il maggiore o i maggiori clienti della piccola realtà.

Come spiegano gli esperti di Sababa Security, gli attacchi alla supply chain si divino in due gruppi: quelli mirati, ideati per esempio per attaccare un’infrastruttura critica, e quelli diffusi, che mirano a un fornitore di servizi con migliaia di clienti, per poter compromettere molte aziende clienti con un singolo attacco.

Un esempio tipico del primo caso è quello di Westech International, mentre per il secondo caso possiamo citare Kaseya e SolarWinds, dove fu la compromissione di un software a veicolare il payload malevolo a tutti i clienti. Come ricorda Alessio Aceti CEO di Sababa Security, queste tecniche articolate e complesse sono sempre più usate perché “gli attacchi verso organizzazioni ben protette comportano costi e complessità considerevoli. Attaccare la supply chain è molto più semplice e offre un numero maggiore di target”.

Una questione di mentalità

Prevenire questi attacchi non è semplice, più che altro per un problema culturale: spesso è difficile giustificare gli investimenti per abbassare il rischio cyber legato a questi avvenimenti. Le enterprise beneficiano di soluzioni per la gestione delle identità e hanno un forte potere contrattuale con clienti e fornitori: possono escludere dal proprio business chi non è in linea con le policy aziendali.

Le PMI sono molto in ritardo perché non hanno le risorse necessarie per gestire i rapporti con i fornitori, spesso non beneficiano del know-how e dei budget necessari per la cyber security. Le conseguenze di un attacco, tuttavia, sono pesanti sia per le enterprise sia per le PMI: essere veicolo di un attacco comporta danni di reputazione, con il rischio della perdita di clienti.

I passi da fare per mettersi in carreggiata sono cinque secondo Sababa Security. Il primo è implementare processi e sistemi di gestione delle identità, soprattutto degli accessi privilegiati, per controllare i dipendenti interni al pari dei fornitori esterni. Il secondo è l’attuazione di un processo di Vulnerability Management che permetta di identificare, valutare e segnalare le vulnerabilità presenti all’interno della rete aziendale, che comprenda audit di sicurezza anche sui fornitori critici.

Terzo nodo critico è la security awareness, che deve riguardare tutti, anche i fornitori. Questi ultimi devono quindi essere coinvolti nel percorso di formazione, essere messi a parte delle regole aziendali e messi nelle condizioni di poterle e saperle rispettare. Quanto sopra, infine, non contravviene alla presenza di una dotazione di base della difesa informatica, che oggi deve includere soluzioni di rilevamento e risposta alle minacce, automazione e security intelligence.

Tutto questo può sembrare eccessivamente oneroso per una PMI, ma è bene ricordare che chi non dispone di un SOC interno può sempre esternalizzare uno, diversi o tutti i servizi a un MSP, verificando i servizi offerti, la copertura e tutti gli aspetti che gli esperti di security hanno indicato in questo speciale.