Zpedia 

/ Che cos'è un attacco alla catena di approvvigionamento?

Che cos'è un attacco alla catena di approvvigionamento?

Un attacco alla catena di approvvigionamento è un tipo di attacco informatico effettuato contro i fornitori di un'organizzazione come mezzo per ottenere un accesso non autorizzato ai sistemi o ai dati di tale organizzazione. A volte chiamati attacchi alla catena del valore o attacchi a software di terze parti, comportano una pianificazione significativa da parte degli aggressori, impiegano codice dannoso per infiltrarsi nei sistemi di un'organizzazione e possono avere un raggio di azione dall'impatto devastante, rispetto alla compromissione iniziale, come nel caso degli attacchi a SolarWinds del 2020.

Scopri di più sulla nostra soluzione leader di settore per la sicurezza SaaS integrata della catena di approvvigionamento
Protezione dalle minacce informaticheProtezione dati
  1. Esempi di attacchi
  2. L'impatto
  3. Ciclo di sviluppo dei software
  4. Le best practice per la protezione
  5. Perché scegliere Zscaler?
  6. Argomenti correlati

Esempi di attacchi alla catena di approvvigionamento

Esistono due tipi principali di attacchi alla catena di approvvigionamento, che si concentrano sul ciclo di approvvigionamento o del valore di un'organizzazione.

Attacchi di island hopping

Gli attacchi di island hopping (letteralmente "saltare da un'isola all'altra") si verificano quando i criminali informatici riescono a infiltrarsi in grandi aziende partendo prendendo di mira organizzazioni più piccole o quelle che dispongono di controlli di sicurezza meno sofisticati, che fanno parte della catena del valore dell'azienda più grande. Come suggerisce il nome, gli aggressori "saltano" da un'organizzazione all'altra per avvicinarsi al loro obiettivo principale.

Gli attacchi di island hopping prendono di solito di mira organizzazioni importanti, che tendono a fare affidamento su un ampio ecosistema digitale di fornitori. Questi possono includere fornitori di servizi gestiti, fornitori di hardware e software e partner tecnologici e commerciali, molti dei quali sono collegati a varie applicazioni e database attraverso una serie di endpoint vulnerabili.

Attacchi alla catena di approvvigionamento

Gli attacchi alla "catena di approvvigionamento", come l' attacco informatico a SolarWinds, sono leggermente diversi. Invece di ricercare le vulnerabilità di un fornitore terzo, per accedere alla rete di un'altra azienda, mirano esplicitamente a sfruttare la fiducia tra organizzazioni legittime, che viene normalmente impiegata nelle operazioni aziendali.

Come funziona un attacco alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento cercano di ottenere l'accesso impiantando una backdoor nei prodotti, in genere software, utilizzati dalle organizzazioni prese di mira. Ciò consente agli aggressori di applicare patch automatiche o aggiornamenti software in cui è stato inserito un trojan, per aprire la strada a malware e altri attacchi.

Gli attacchi di island hopping e alla catena di approvvigionamento hanno generato violazioni costose e di alto profilo, e persino le organizzazioni "isola" possono subire gravi danni alla reputazione e all'azienda, anche se non sono gli obiettivi finali dell'attacco.

L'impatto degli attacchi alla catena di approvvigionamento

Nell'attacco a SolarWinds Orion del 2020, un aggressore riuscì ad accedere ai sistemi SolarWinds attraverso una backdoor e a creare aggiornamenti per la piattaforma SolarWinds Orion che contenevano dei trojan. L'aggiornamento di Orion, contenente il trojan, consentì agli aggressori di distribuire furtivamente un malware sulle reti di 18.000 clienti di SolarWinds, che inclusero molte agenzie e organizzazioni governative statunitensi, tra cui il Pentagono, il Dipartimento per la sicurezza interna, l'FBI, l'Esercito, la Marina e molti altri.

La backdoor venne erogata tramite un aggiornamento software legittimo a uno strumento di monitoraggio e gestione noto (attendibile). Dopo l'installazione della backdoor, l'aggressore riusci ad adottare delle misure per evitare il rilevamento della sandbox, che inclusero un'attesa di giorni prima di poter inoltrare una callback al suo sistema di comando e controllo (C2).

Perché sono così pericolosi?

I ricercatori nel campo della sicurezza affermano che gli attacchi alla catena di approvvigionamento sono tra le minacce più difficili da prevenire, perché sfruttano la fiducia intrinseca. Oltre a ciò, sono difficili da rilevare e possono avere effetti residui più duraturi. Per mitigare e porre rimedio a un attacco alla catena di approvvigionamento non basta installare un antivirus o ripristinare il sistema operativo. Questi attacchi infatti prendono di mira i processi aziendali, motivo per cui questi ultimi devono essere solidi e ben strutturati.

Quote

[Gli attacchi alla catena di approvvigionamento] sono tra i tipi di minacce più difficili da prevenire, perché sfruttano le relazioni di fiducia tra fornitori e clienti e i canali di comunicazione da macchina a macchina, come i meccanismi di aggiornamento dei software, considerati intrinsecamente attendibili da parte degli utenti.

Lucian Constantin, CSO Online

Spiegazione dell'attacco SolarWinds e del perché è stato così difficile da rilevare

Perché il ciclo di sviluppo dei software è importante

Le vulnerabilità della catena di approvvigionamento dei software iniziano con lo sviluppo della catena stessa. È importante rimediare ai potenziali rischi di sicurezza informatica che si presentano nel processo di sviluppo, in modo da poter ridurre al minimo gli incidenti legati alla sicurezza nella catena di approvvigionamento.

Cerchiamo di capire perché lo sviluppo dei software può creare vettori di attacco vulnerabili, se non viene implementato un adeguato livello di protezione.

Cosa sono i segreti?

Nell'ambito dello sviluppo dei software, i segreti, o secret, sono mezzi di autenticazione, come token, chiavi di crittografia, password, API e così via, che consentono l'accesso da utente ad app e da app ad app a informazioni sensibili. Molto spesso, hacker e gruppi autori di ransomware , come NotPetya, esaminano il codice sorgente di un'organizzazione per rilevare le vulnerabilità al suo interno da sfruttare in un secondo momento.

I rischi dell'open source

Nonostante la sua natura onnipresente, il software open source (OSS) spesso rende un'organizzazione vulnerabile agli attacchi. L'OSS, sebbene efficace per lo sviluppo di software, estende la superficie di attacco e lascia la porta aperta alle violazioni dei dati e ai malware, due dei vettori più frequenti negli attacchi alla catena di approvvigionamento dei software.

Quote

Le compromissioni della catena di approvvigionamento continueranno a esistere anche in futuro. Proteggersi da questi attacchi è estremamente difficile, il che evidenzia la necessità di considerare la sicurezza come parte del processo di selezione del fornitore.

Jake Williams, SANS Institute

Tutto ciò che c'è da sapere sull'attacco informatico a SolarWinds

L'attacco di SolarWinds evidenzia i rischi associati alla catena di approvvigionamento?

L'attacco a SolarWinds fa capire alle organizzazioni che devono tenere sempre alta la guardia quando si tratta delle loro catene di approvvigionamento. Mostra le vulnerabilità specifiche insite nella produzione di una catena di approvvigionamento di software e mostra ai leader della sicurezza IT che una volta che un utente malintenzionato si è infiltrato in una parte della catena, si è infiltrato nell'intera catena.

Per aiutarti a proteggere la tua organizzazione da queste pericolose minacce, nella prossima sezione abbiamo messo insieme un elenco di best practice che, se messe a frutto, manterranno la tua azienda al sicuro da questi gruppi criminali e da queste minacce.

 

Le best practice per proteggere l'organizzazione

Gli attacchi alla catena di approvvigionamento sono in costante evoluzione e non c'è dubbio che gli aggressori troveranno nuovi modi per compromettere le operazioni e i dati sensibili, sia degli enti pubblici che delle aziende private. Per ridurre il rischio associato alla catena di approvvigionamento e accrescere il più possibile la sicurezza della catena di approvvigionamento, Zscaler consiglia di adottare queste misure:

  • Eliminare la superficie di attacco esposta a Internet, bloccare il movimento laterale, ridurre al minimo le autorizzazioni e bloccare le attività di C2 con un'architettura zero trust.
  • Abilitare funzionalitò di ispezione TLS/SSL completa e di prevenzione delle minacce avanzata sul traffico da workload a Internet.
  • Eseguire una sandbox cloud inline per identificare e bloccare le minacce sconosciute.
  • Applicare misure di protezione per il traffico C2 noto, con aggiornamenti continui man mano che emergono nuove destinazioni.
  • Richiedere l'autenticazione a più fattori per qualsiasi accesso a target di alto valore.
  • Limitare l'impatto del movimento laterale con la microsegmentazione basata sull'identità per i workload sul cloud.
  • Sceglire fornitori in grado di attestare massimi livelli di riservatezza, integrità e disponibilità.
  • Eseguire valutazioni continue del rischio e assegnare la priorità alla gestione del rischio, per assicurarsi che l'organizzazione sia coperta dal miglior livello di protezione possibile.
  • Condurre frequenti corsi di sensibilizzazione sulla sicurezza informatica, che illustrano le best practice da seguire, per assicurarsi che i dipendenti sappiano a cosa prestare attenzione (e-mail phishing, ecc.).
  • Implementare un adeguato framework di risposta agli incidenti nel caso in cui venga rilevato un attacco sulla rete.

Per mettere in pratica queste best practice correlate alla sicurezza della catena di approvvigionamento, è necessario avvalersi dei servizi di un provider accreditato nel campo della sicurezza informatica, che offra una piattaforma che ispeziona il traffico inline, rimuovendo la minaccia posta da malware dannosi e attacchi ransomware, prima che si infiltrino nell'organizzazione: Zscaler. 

Proteggersi dagli attacchi alla catena di approvvigionamento con Zscaler

Gli attacchi alla catena di approvvigionamento sono sofisticati e difficili da rilevare. Oltre a essere a conoscenza del livello di sicurezza di tutte le organizzazioni partner, è importante disporre di più livelli di protezione e della massima visibilità su tutto il traffico della tua organizzazione. Di seguito, sono riportati alcuni dei servizi integrati abilitati da Zscaler Zero Trust Exchange™, che proteggono dagli attacchi alla catena di approvvigionamento consentendo di:

  1. Identificare e bloccare attività dannose dai server compromessi, instradando tutto il traffico del server attraverso Zscaler Internet Access.
  2. Limitare il traffico dalle infrastrutture critiche a un elenco "consentito" di destinazioni conosciute.
  3. Assicurarsi di ispezionare tutto il traffico SSL/TLS, anche se proviene da fonti attendibili.
  4. Attivare Advanced Threat Protection per bloccare tutti i domini C2 conosciuti.
  5. Estendere la protezione contro le attività di comando e controllo a tutte le porte e i protocolli con Advanced Cloud Firewall (modulo Cloud IPS), comprese le destinazioni C2 emergenti.
  6. Utilizzare Advanced Cloud Sandbox per impedire la distribuzione di malware sconosciuti sotto forma di payload di secondo livello.
  7. Limitare l'impatto di una potenziale compromissione limitando il movimento laterale con la microsegmentazione basata sull'identità (Zscaler Workload Segmentation) e un'architettura zero trust.
  8. Proteggere le applicazioni più importanti limitando il movimento laterale con Zscaler Private Access.

Ecco alcuni passaggi successivi da considerare:

  1. Guarda questo video per saperne di più su Zscaler Zero Trust Exchange.
  2. Scopri come proteggere le tue applicazioni, dalla creazione al runtime, con Posture Control.
  3. Visita questa pagina per capire cosa fare in caso di attacco informatico in stile SolarWinds.