Come si sviluppa un attacco alla supply chain, che è il punto di partenza per capire come prevenirlo?

Un attacco alla supply chain si verifica quando un attaccante ottiene l’accesso ai sistemi aziendali attraverso un partner esterno, come un fornitore o un provider di servizi. I criminali informatici sono oggi in grado di far progredire un attacco all’interno dell’ambiente aziendale, dalla backdoor iniziale fino al cloud, aggirando la prevenzione e i controlli degli endpoint. Con alcuni dei casi di attacco alla supply chain più recenti, gli attaccanti hanno dimostrato un notevole impegno e una grande abilità nell’eludere i controlli preventivi che coinvolgono sandbox di rete, endpoint e autenticazione multifattore (MFA).

Per superare i sistemi di prevention gli attaccanti effettuano controlli approfonditi, per assicurarsi di non essere inseriti in una sandbox o in un altro ambiente di analisi del malware; utilizzano la firma del codice e processi legittimi per eludere i controlli comuni sugli endpoint; superano la multi-factor authentication utilizzando chiavi di firma di sessione SAML (Security Assertion Markup Language) rubate.

Alla luce della vostra esperienza, quali condotte devono cambiare le aziende per gestire questo rischio e quali strumenti gli occorrono?

Per i criminali informatici la supply chain rappresenta un’occasione di guadagno potenzialmente enorme: man mano che si adottano nuovi servizi o si creano nuovi partner, la catena di fornitura si espande e così anche la superficie di attacco. Secondo il rapporto “2022 Data Breach Investigations” di Verizon, le minacce persistenti avanzate (APT) che attaccano le supply chain rappresentano il 62% degli incidenti di intrusione nei sistemi aziendali.

Concentrarsi solo sul tentativo di fermare o prevenire l’attacco non risulta sufficiente a evitare i danni. Per proteggersi da un attacco alla supply chain è fondamentale monitorare l’intera infrastruttura, compresi tutti i sistemi non supportati da prodotti di Endpoint Detection and Response: gli attacchi infatti prendono comunemente di mira ambienti, come VPN e IoT, non coperti dall’EDR. È poi importante eliminare la dipendenza dalle patch di molti vendor differenti e dotarsi di soluzioni che offrano un monitoraggio completo di tutte le reti cloud ibride, compresi i data center, e mantenere piena visibilità in modo da essere a conoscenza di qualsiasi attacco senza dover aspettare le patch. Gli attacchi alla supply chain possono rimanere scoperti per mesi, lasciando l’organizzazione esposta. È fondamentale, quindi, individuare rapidamente qualsiasi segnale di attacco, anche prima che la minaccia sia resa pubblica e che siano pubblicati gli indicatori di compromissione (IoC).

Le organizzazioni dovrebbero ripartire dal Security Operation Center (SOC), dotandolo di soluzioni di rilevamento degli attacchi con un’alta fedeltà, di rilevazione dei movimenti laterali, delle fasi di reconessaince, dei Command & Control e dell’uso di account rubati, in modo da bloccare gli attacchi derivanti dalla compromissione della supply chain. Il secondo passo è quello di affidarsi all’automazione per consentire ai team di sicurezza più estesi di difendersi efficacemente dagli exploit della supply chain.

Vectra ha sperimentato un approccio AI guidato dalla sicurezza per trovare i metodi di attacco mappati nei framework MITRE ATT&CK e D3FEND. Il risultato è una copertura migliore con un ridotto numero di falsi positivi, che consente di individuare in near real time le minacce alla supply chain e di bloccarle prima che il danno sia fatto. Analizzando in real-time il comportamento di computer, utenti e accesso ai servizi e monitorando costantemente l’uso dei metodi degli attaccanti, l’Attack signal intelligence di Vectra è in grado di far emergere le minacce più critiche e dare loro il giusto livello di priorità nel momento in cui vengono segnalate agli analisti della sicurezza. L’intelligenza artificiale guidata dalla sicurezza fa emergere le attività degli aggressori, ricostruisce la progressione dell’attacco mettendola in relazione con il giusto contesto e dà priorità alle minacce, consentendo ai team di sicurezza di indagare e rispondere rapidamente e con sicurezza. Costruendo così una resilienza a lungo termine contro gli attacchi alla supply chain.