Come si sviluppa un attacco alla supply chain, che è il punto di partenza per capire come prevenirlo?

Gli attacchi alla supply chain sono in costante aumento. Gli effetti devastanti e a catena (non siamo davanti a un gioco di parole, purtroppo) provocati da questo genere di minacce si sono manifestati in tutta la loro forza e distruttività con il caso SolarWinds, piattaforma di gestione software vittima di uno spietato hackeraggio in grado di evadere le difese dell’azienda texana riuscendo a raggiungere i suoi clienti in tutto il mondo. Purtroppo, la drammaticità di questo evento non ci deve sorprendere se pensiamo che, anche nell'ambito della cybersecurity, il concetto di supply chain coinvolge davvero un'ampissima gamma di risorse: hardware, software, cloud, storage, applicazioni. E non solo: a ben vedere, un attacco alla supply chain non è altro che una combinazione di almeno due attacchi. Il primo attacco coinvolge un fornitore che a sua volta viene poi utilizzato per attaccare l'obiettivo finale (tipicamente il cliente, o un altro fornitore) e ottenere l'accesso alle sue risorse.

Pertanto, affinché un attacco sia classificato come attacco alla supply chain, sia il fornitore che il cliente devono essere obiettivi. Interessante, dal punto di vista tassonomico, osservare come le tecniche di attacco e gli asset colpiti varino a seconda dell’obiettivo prescelto. Secondo i dati prodotti da Enisa nel report “Threat Landscape For supply chain Attacks”, si è infatti osservato come, dal punto di vista del fornitore, le tecniche di attacco più diffuse siano costituite da infezione da malware, social engineering, attacchi brute-force, prendendo di mira asset quali librerie e software preesistenti, codice e configurazioni. Al contrario, le variabili in gioco degli attacchi che coinvolgono i clienti sono diverse, con una predilezione per il phishing ad esempio, e compromettendo asset quali dati (personali, di pagamento e finanziari, email, proprietà intellettuale, etc.).

Alla luce della vostra esperienza, quali condotte devono cambiare le aziende per gestire questo rischio e quali strumenti gli occorrono?

Dall’indagine svolta da Enisa è emerso inoltre che il 66% dei vettori di attacco utilizzati sui fornitori rimane ancora sconosciuto, mentre per il 16% sono state sfruttate delle vulnerabilità software. Dati, questi, che portano a una riflessione profonda sulla capacità di indagine di molte aziende e su un livello di “fiducia” diffuso presente all’interno della stessa supply chain. In molti casi, infatti, il servizio del fornitore diventa, agli occhi del cliente, automaticamente sicuro, privo di minacce: in poche parole, “trusted”. Per questo, si rende (purtroppo) necessario eliminare completamente il concetto di fiducia secondo il quale se un fornitore è affidabile, lo saranno automaticamente anche i servizi offerti.

Per affrontare un panorama in costante evoluzione, con minacce sempre più sofisticate, è fondamentale introdurre un approccio Zero Trust. Questo tipo di approccio - ben riassunto in “non fidarsi mai, verificare sempre”- presuppone l'assenza di un perimetro di rete affidabile, secondo il quale ogni transazione deve essere autenticata prima che possa concretizzarsi. Grazie a un rigoroso controllo e una verifica serrata di ogni singolo elemento dell’infrastruttura - reti, applicazioni, utenti, cloud pubblici e privati - è possibile osservare tutte le anomalie - spesso inaspettate, come quelle che coinvolgono i servizi dei propri fornitori, per definizione affidabili! - che, se maligne, sono prontamente rilevate e bloccate. Questo principio deve essere applicato in maniera olistica su tutta la catena di fornitura, sia da chi produce i beni e i servizi, sia da chi li riceve, con la sicurezza a costituire un elemento intrinseco e radicato fin dagli esordi della produzione del software stesso. Limitare quel 16% di attacchi che utilizzano vulnerabilità software dei fornitori è oggi possibile con una gestione Shift-left e un approccio DevSecOps: se i controlli si spostano sempre più verso l’origine del software e le verifiche del codice saranno continue, verrà certamente garantita una miglior sicurezza e resilienza. Concludo infatti affermando una cosa apparentemente semplice, ma importante da ricordare: di fatto, oggi, qualsiasi organizzazione produce software e qualsiasi soggetto coinvolto nella catena di fornitura può essere a sua volta considerato cliente o fornitore. Zero Trust e sviluppo sicuro del software sono le chiavi per proteggere questo vastissimo ecosistema di processi, persone, organizzazioni che ogni giorno sono coinvolti nella creazione e nella consegna di beni e servizi.