Sypply chain attack in aumento, le indicazioni per la prevenzione

Un’azienda su quattro ha subìto un incidente di sicurezza attraverso un attacco che ha colpito la sua catena di fornitura: ecco alcune regole di base per la prevenzione.

Tecnologie/Scenari

Gli attacchi alla supply chain sono in continuo aumento. Colpire fornitori terzi con difese informatiche meno avanzate dell’obiettivo principale sta diventando una commodity per i gruppi criminali, che in questo modo riescono a ottenere il maggiore risultato con il minimo sforzo. L’incremento di questo tipo di attacchi era stato messo in preventivo da molti esperti di security. Una recente ricerca condotta dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano conferma la bontà delle previsioni: negli ultimi 12 mesi quasi un’azienda su quattro (24%) ha subìto un incidente di sicurezza attraverso un attacco che ha colpito la sua catena di fornitura.

La catena d’attacco ormai è nota, ma questo non significa che sia facile da bloccare: l’attaccante prende di mira un fornitore e sfrutta le informazioni di cui entra in possesso per accedere all’infrastruttura della vittima principale. La kill chain spesso prende il via con una email che scarica un payload dannoso; possono seguire il furto di credenziali, i movimenti laterali con accesso e email, dati e contatti. Sono le informazioni collezionate in questa fase – spesso senza che nessuno se ne renda conto – a consegnare agli attaccanti la chiave per assalire il maggiore o i maggiori clienti della piccola realtà.

Come spiegano gli esperti di Sababa Security, gli attacchi alla supply chain si divino in due gruppi: quelli mirati, ideati per esempio per attaccare un’infrastruttura critica, e quelli diffusi, che mirano a un fornitore di servizi con migliaia di clienti, per poter compromettere molte aziende clienti con un singolo attacco.


Un esempio tipico del primo caso è quello di Westech International, mentre per il secondo caso possiamo citare Kaseya e SolarWinds, dove fu la compromissione di un software a veicolare il payload malevolo a tutti i clienti. Come ricorda Alessio Aceti CEO di Sababa Security, queste tecniche articolate e complesse sono sempre più usate perché “gli attacchi verso organizzazioni ben protette comportano costi e complessità considerevoli. Attaccare la supply chain è molto più semplice e offre un numero maggiore di target”.

Una questione di mentalità

Prevenire questi attacchi non è semplice, più che altro per un problema culturale: spesso è difficile giustificare gli investimenti per abbassare il rischio cyber legato a questi avvenimenti. Le enterprise beneficiano di soluzioni per la gestione delle identità e hanno un forte potere contrattuale con clienti e fornitori: possono escludere dal proprio business chi non è in linea con le policy aziendali.

Le PMI sono molto in ritardo perché non hanno le risorse necessarie per gestire i rapporti con i fornitori, spesso non beneficiano del know-how e dei budget necessari per la cyber security. Le conseguenze di un attacco, tuttavia, sono pesanti sia per le enterprise sia per le PMI: essere veicolo di un attacco comporta danni di reputazione, con il rischio della perdita di clienti.

I passi da fare per mettersi in carreggiata sono cinque secondo Sababa Security. Il primo è implementare processi e sistemi di gestione delle identità, soprattutto degli accessi privilegiati, per controllare i dipendenti interni al pari dei fornitori esterni. Il secondo è l’attuazione di un processo di Vulnerability Management che permetta di identificare, valutare e segnalare le vulnerabilità presenti all’interno della rete aziendale, che comprenda audit di sicurezza anche sui fornitori critici.


Terzo nodo critico è la security awareness, che deve riguardare tutti, anche i fornitori. Questi ultimi devono quindi essere coinvolti nel percorso di formazione, essere messi a parte delle regole aziendali e messi nelle condizioni di poterle e saperle rispettare. Quanto sopra, infine, non contravviene alla presenza di una dotazione di base della difesa informatica, che oggi deve includere soluzioni di rilevamento e risposta alle minacce, automazione e security intelligence.

Tutto questo può sembrare eccessivamente oneroso per una PMI, ma è bene ricordare che chi non dispone di un SOC interno può sempre esternalizzare uno, diversi o tutti i servizi a un MSP, verificando i servizi offerti, la copertura e tutti gli aspetti che gli esperti di security hanno indicato in questo speciale.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Set 14
ACRONIS - Imposta correttamente la tua strategia di Disaster Recovery
Ott 20
SAP NOW 2022

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter