Zpedia 

/ Che cos'è un attacco alla catena di approvvigionamento?

Che cos'è un attacco alla catena di approvvigionamento?

Un attacco alla catena di approvvigionamento è un tipo di attacco informatico effettuato contro i fornitori di un'organizzazione come mezzo per ottenere un accesso non autorizzato ai sistemi o ai dati di tale organizzazione. A volte chiamati attacchi alla catena del valore o attacchi a software di terze parti, comportano una pianificazione significativa da parte degli aggressori, impiegano codice dannoso per infiltrarsi nei sistemi di un'organizzazione e possono avere un raggio di azione dall'impatto devastante, rispetto alla compromissione iniziale, come nel caso degli attacchi a SolarWinds del 2020.
Scopri di più sulla nostra soluzione leader di settore per la sicurezza SaaS integrata della catena di approvvigionamento
Protezione dalle minacce informaticheProtezione dati
  1. Esempi di attacchi
  2. L'impatto
  3. Ciclo di sviluppo dei software
  4. Le best practice per la protezione
  5. Perché scegliere Zscaler?
  6. Argomenti correlati

Esempi di attacchi alla catena di approvvigionamento

Esistono due tipi principali di attacchi alla catena di approvvigionamento, che si concentrano sul valore o sulla fornitura delle organizzazioni.

Attacchi di island hopping

Gli attacchi di island hopping (letteralmente "saltare da un'isola all'altra") si verificano quando i criminali informatici riescono a infiltrarsi in grandi aziende partendo prendendo di mira organizzazioni più piccole o quelle che dispongono di controlli di sicurezza meno sofisticati, che fanno parte della catena del valore dell'azienda più grande. Come suggerisce il nome, gli aggressori "saltano" da un'organizzazione all'altra per avvicinarsi al loro obiettivo principale.

Gli attacchi di island hopping di solito prendono di mira organizzazioni di spicco, che tendono a fare affidamento su un ampio ecosistema digitale di fornitori. Questi ultimi possono includere fornitori di servizi gestiti, di hardware e software e partner tecnologici e commerciali, molti dei quali sono connessi a varie applicazioni e database attraverso una serie di endpoint vulnerabili.

Gli attacchi alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento, come l'attacco informatico a SolarWinds, sono leggermente diversi. Invece di ricercare le vulnerabilità di un fornitore terzo, per accedere alla rete di un'altra azienda puntano esplicitamente a sfruttare la fiducia tra organizzazioni legittime normalmente impiegata nelle operazioni aziendali.

Come funziona un attacco alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento cercano di ottenere l'accesso aprendo una backdoor nei prodotti, generalmente software, utilizzati dalle organizzazioni target. Ciò consente agli aggressori di applicare patch automatizzate o aggiornamenti software in cui è stato inserito un trojan per aprire la strada a malware e altri attacchi.

Gli attacchi di island hopping e contro la catena di approvvigionamento hanno generato violazioni costose e di alto profilo, e persino le organizzazioni "isola" possono subire gravi danni alla reputazione e all'azienda, anche se non sono gli obiettivi finali dell'attacco.

L'impatto degli attacchi alla catena di approvvigionamento

Nell'attacco a SolarWinds Orion del 2020, un aggressore riuscì ad accedere ai sistemi SolarWinds attraverso una backdoor e a creare aggiornamenti per la piattaforma SolarWinds Orion che contenevano dei trojan. L'aggiornamento di Orion, contenente il trojan, consentì agli aggressori di distribuire furtivamente un malware sulle reti di 18.000 clienti di SolarWinds, che incluserno molte agenzie e organizzazioni governative statunitensi, tra cui il Pentagono, il Dipartimento per la sicurezza interna, l'FBI, l'Esercito, la Marina e molti altri.

La backdoor venne erogata tramite un aggiornamento software legittimo a uno strumento di monitoraggio e gestione noto (attendibile). Dopo l'installazione della backdoor, l'aggressore riusci ad adottare delle misure per evitare il rilevamento della sandbox, che inclusero un'attesa di giorni prima di poter inoltrare una callback al suo sistema di comando e controllo (C2).

Perché sono così pericolosi?

I ricercatori nel campo della sicurezza informatica affermano che gli attacchi alla catena di approvvigionamento sono tra le minacce più difficili da prevenire, perché sfruttano la fiducia intrinseca. Oltre a ciò, sono difficili da rilevare e possono avere effetti residui più duraturi. Per mitigare e porre rimedio a un attacco alla catena di approvvigionamento non basta installare un antivirus o ripristinare il sistema operativo. Questi attacchi infatti prendono di mira i processi aziendali, motivo per cui questi ultimi devono essere solidi e ben strutturati.

Testimonianza

[Gli attacchi alla catena di approvvigionamento] sono tra i tipi di minacce più difficili da prevenire, perché sfruttano le relazioni di fiducia tra fornitori e clienti e i canali di comunicazione da macchina a macchina, come i meccanismi di aggiornamento dei software, considerati intrinsecamente attendibili da parte degli utenti.

Lucian Constantin, CSO Online

Spiegazione dell'attacco SolarWinds e del perché è stato così difficile da rilevare

Perché il ciclo di sviluppo dei software è importante

Le vulnerabilità della catena di approvvigionamento dei software iniziano con lo sviluppo della catena stessa. È importante rimediare ai potenziali rischi di sicurezza informatica che si presentano nel processo di sviluppo in modo da poter ridurre al minimo gli incidenti che la riguardano.

Cerchiamo di capire perché, senza un adeguato livello di protezione, lo sviluppo dei software può creare vettori di attacco vulnerabili.

Cosa sono i segreti?

Nell'ambito dello sviluppo dei software, i segreti (secret) sono mezzi di autenticazione, come token, chiavi di cifratura, password, API e così via, che consentono l'accesso da utente ad app e da app ad app alle informazioni sensibili. Molto spesso, hacker e gruppi ransomware come NotPetya esaminano il codice sorgente di un'organizzazione per rilevare le vulnerabilità al suo interno e sfruttarle in un secondo momento.

I rischi dell'open source

Nonostante la sua natura onnipresente, il software open source (OSS) spesso rende un'organizzazione vulnerabile agli attacchi. L'OSS, sebbene efficace per lo sviluppo dei software, estende la superficie di attacco e lascia la porta aperta alle violazioni dei dati e ai malware, due dei vettori più frequenti negli attacchi alla catena di approvvigionamento dei software.

Testimonianza

Le compromissioni della catena di approvvigionamento continueranno a esistere anche in futuro. Proteggersi da questi attacchi è estremamente difficile, il che evidenzia la necessità di considerare la sicurezza come parte del processo di selezione del fornitore.

Jake Williams, SANS Institute

Tutto ciò che c'è da sapere sull'attacco informatico a SolarWinds

L'attacco di SolarWinds evidenzia i rischi associati alla catena di approvvigionamento?

L'attacco a SolarWinds fa capire alle organizzazioni che, quando si tratta delle loro catene di approvvigionamento, devono tenere sempre alta la guardia. Questo evento ha mostrato le vulnerabilità specifiche insite nella produzione di una catena di approvvigionamento di software e il modo in cui tali vulnerabilità possono mettere a rischio persino aziende di alto profilo e altamente protette, come Cisco, Intel e Microsoft. È stato inoltre reso evidente ai leader della sicurezza IT che, dopo l'infiltrazione di un utente malevolo in una parte della catena, tutta la catena è compromessa.

Per aiutarti a proteggere la tua organizzazione da queste pericolose minacce, nella prossima sezione abbiamo creato un elenco di best practice che, se messe in atto, manterranno la tua azienda al sicuro da questi gruppi criminali e da queste minacce.

 

Le best practice per proteggere l'organizzazione

Gli attacchi alla catena di approvvigionamento si stanno ancora evolvendo, e non c'è dubbio che gli aggressori troveranno nuovi modi per compromettere le operazioni e i dati sensibili di enti pubblici e aziende private. Per ridurre il rischio e potenziare il più possibile la sicurezza della catena di approvvigionamento, Zscaler consiglia di adottare le seguenti misure:

  • Eliminare la superficie di attacco rivolta a Internet, bloccare il movimento laterale, ridurre al minimo le autorizzazioni e bloccare il C2 adottando un'architettura zero trust.
  • Abilitare la funzionalità di ispezione TLS/SSL completa e la prevenzione delle minacce avanzate sul traffico da workload a Internet.
  • Eseguire una sandbox cloud inline per identificare e bloccare le minacce avanzate e sconosciute.
  • Applicare protezioni per il traffico C2 noto, con aggiornamenti continui in base all'emergere di nuove destinazioni.
  • Richiedere l'autenticazione a più fattori per qualsiasi accesso a obiettivi di alto valore.
  • Limitare l'impatto del movimento laterale sfruttando la microsegmentazione basata sull'identità per i workload cloud.
  • Scegliere fornitori che possano attestare i massimi livelli di riservatezza, integrità e disponibilità.
  • Eseguire valutazioni continue dei rischi e assegnare la dovuta priorità alla loro gestione, per garantire che l'organizzazione sia protetta al meglio.
  • Organizzare frequenti corsi di formazione sulla sicurezza informatica che includano le best practice da utilizzare, per assicurarsi che i dipendenti sappiano a cosa prestare attenzione (e-mail di phishing, ecc.)
  • Implementare un adeguato framework di risposta agli incidenti nel caso in cui venga rilevato un attacco alla propria rete.

Per implementare queste best practice, è necessario avvalersi dei servizi di un provider con una comprovata esperienza nel campo della sicurezza informatica, il quale deve offrire una piattaforma in grado di ispezionare il traffico inline ed eliminare così la minaccia di subire attacchi malware e ransomware dannosi prima che si infiltrino nell'organizzazione; questo provider è Zscaler. 

Proteggersi dagli attacchi alla catena di approvvigionamento con Zscaler

Gli attacchi alla catena di approvvigionamento sono sofisticati e difficili da rilevare. Oltre a conoscere il profilo di sicurezza di tutte le organizzazioni partner, è importante disporre di più livelli di protezione e visibilità su tutto il traffico della tua organizzazione. Di seguito sono riportati alcuni dei servizi integrati di Zscaler Zero Trust Exchange™ che proteggono da questa tipologia di attacco e consentono di:

  1. Identificare e bloccare le attività dannose dei server compromessi, instradando tutto il traffico verso Zscaler Internet Access™.
  2. Limitare il traffico delle infrastrutture critiche a un elenco "consentito" di destinazioni ritenute attendibili.
  3. Ispezionare tutto il traffico SSL/TLS, anche se proviene da fonti attendibili.
  4. Attivare Advanced Threat Protection per bloccare tutti i domini C2 noti.
  5. Estendere le protezioni di comando e controllo a tutte le porte e i protocolli con Advanced Cloud Firewall (modulo di Cloud IPS), comprese le destinazioni C2 emergenti.
  6. Utilizzare Advanced Cloud Sandbox per impedire la distribuzione dei malware sconosciuti nei payload di seconda fase.
  7. Limitare l'impatto di una potenziale compromissione, bloccando il movimento laterale con la microsegmentazione basata sull'identità (Zscaler Workload Segmentation) e un'architettura zero trust.
  8. Tutelare le applicazioni più importanti, limitando il movimento laterale con Zscaler Private Access.

Impedisci alle applicazioni sconosciute di terze parti di connettersi ed esfiltrare i dati con Zscaler SaaS Supply Chain Security.