Come si sviluppa un attacco alla supply chain, qual è il punto di partenza per capire come prevenirlo?

Gli attacchi alla supply chain sfruttano canali legittimi di accesso alla rete presenti nell’ecosistema di un’azienda, per iniettare malware o backdoor in pacchetti software che verranno poi distribuiti ulteriormente, o genericamente per compiere ulteriori movimenti all’interno della rete fino all’obiettivo finale. Attacchi di questo tipo possono quindi raggiungere centinaia o migliaia di aziende prima di essere rilevati e per questo sono estremamente vantaggiosi per l’attaccante.

Per esempio, un attacco contro un Managed Service Provider è in realtà una minaccia contro tutti i suoi clienti. Un esempio clamoroso è costituito dall’attacco che colpì SolarWinds nel 2019, la cui rete venne violata allo scopo di inserire un malware in un prodotto software molto diffuso al fine di colpire le aziende utenti di tale software: la gravità dell’attacco risultò chiara solamente più di un anno dopo l’intrusione iniziale. Per questa ragione, desumiamo che le supply chain compromesse siano molte di più di quante se ne abbia notizia.

La crescente complessità dei processi di supply chain e l’aumento esponenziale delle necessità di accesso alle reti aziendali da parte di impiegati remoti e terze parti contribuiscono a espandere la superficie d’attacco disponibile, fino a renderla di fatto non presidiabile con gli strumenti di sicurezza informatica tradizionali.

I punti critici sono molteplici, e possono includere la compromissione degli strumenti software sviluppati in-house o degli ambienti infrastructure-as-a-service utilizzati in cloud, l’utilizzo di software non sicuri o compromessi in ambiente IoT/OT, le connessioni verso Internet di server e generici workload, fino al traffico machine-to-machine all’interno della rete aziendale o tra datacenter distribuiti geograficamente.

In molti casi, i criminali prendono di mira aziende con misure di sicurezza poco sofisticate che però fanno parte della supply chain o, in generale, dell’ecosistema del reale obbiettivo dell’attacco. Una volta completata l’intrusione iniziale, gli attaccanti utilizzano strategie e strumenti noti per guadagnare privilegi amministrativi, stabilire nuovi punti d’ingresso persistenti nella rete della vittima, e infine raggiungere l’obbiettivo. In aggiunta alla difficoltà di rilevamento dovuta al fatto che le intrusioni avvengono attraverso canali legittimi, spesso l’attività degli attaccanti prende di mira i server, sui quali sono più raramente presenti soluzioni di EDR rispetto alle postazioni utente.

Alla luce della vostra esperienza, quali condotte devono cambiare le aziende per gestire questo rischio e quali strumenti gli occorrono?

Ridurre la superficie di attacco e limitare i movimenti laterali attraverso soluzioni Zero Trust è una salvaguardia fondamentale. Questo approccio deve limitare l'accesso a Internet nel modo più granulare possibile: se per un'applicazione di terze parti è necessario l'accesso ad aggiornamenti software, ad esempio, questa dovrebbe essere in grado di accedere, in modo controllato, solo ai server opportuni. Analogamente, il traffico da e verso le applicazioni private va autorizzato secondo i principi dello Zero Trust, cioè verificando in maniera granulare e basata sul contesto ogni richiesta di comunicazione.

I sistemi di sicurezza devono bloccare il traffico di command and control su ogni porta e protocollo, incluse le connessioni cifrate SSL/TLS. Strumenti basati sull’Intelligenza Artificiale e il machine learning come le sandbox avanzate sono fondamentali per rilevare malware prima sconosciuti o comportamenti anomali di software e utenti. Infine, gli strumenti di Data Loss Prevention (DLP) possono monitorare in tempo reale l’attività di rete per rilevare e bloccare l’esfiltrazione di dati sensibili.

Zero Trust Exchange di Zscaler è una piattaforma cloud che costituisce lo stato dell’arte dell’approccio Zero Trust. Invece di concedere agli utenti accesso a un sottoinsieme dei dati o delle risorse dell'azienda (come nel caso dei sistemi tradizionali di VPN o di segmentazione di rete), Zscaler connette singoli utenti e applicazioni direttamente alle risorse di cui hanno bisogno, ispezionando e autenticando ogni singola connessione con la migliore velocità e scalabilità sul mercato. Con l’architettura di Zscaler, i criminali non possono nascondere le loro attività nel traffico cifrato, e nel caso riuscissero a inserire un componente compromesso nella rete aziendale, non possono muoversi all’interno di essa o comunicare coi server di command and control.

La pervasività della soluzione Zscaler permette di coprire non solo tutte le conversazioni di rete, che provengano da utenti, server, o apparati IoT/OT, ma anche i dati e il codice aziendale conservati in ambienti cloud o SaaS. Grazie a soluzioni innovative che permettono l’applicazione dei principi Zero Trust a tutti gli ambiti aziendali, e tramite sinergie con i più avanzati partner tecnologici sul mercato, la soluzione Zscaler fornisce una protezione senza pari contro gli attacchi alle supply chain più complesse.