Che cos'è un attacco alla catena di approvvigionamento?

Gli attacchi alla catena di approvvigionamento sono progettati per sfruttare le relazioni di fiducia tra un'organizzazione e le parti esterne. Queste relazioni possono includere partnership, rapporti con i fornitori o l'uso di software di terze parti. Gli attori delle minacce informatiche compromettono un'organizzazione e poi risalgono la catena di approvvigionamento, sfruttando queste relazioni di fiducia per accedere agli ambienti di altre organizzazioni.

Prevenire un attacco? CYBER SECURITY REPORT

Che cos'è un attacco alla catena di approvvigionamento?

Gli attacchi alla catena di approvvigionamento sono in aumento

Negli ultimi anni, molti degli incidenti di cybersecurity più dannosi e di alto profilo sono stati attacchi alla catena di approvvigionamento. Sebbene questa impennata possa avere molti fattori trainanti, uno dei più significativi è la pandemia informatica.

 

COVID-19 ha trasformato l'azienda moderna, spingendo molte organizzazioni verso il lavoro da remoto e l'adozione del cloud quando forse non erano ancora del tutto pronte a fare il passo. Di conseguenza, i team di sicurezza, spesso sotto organico a causa della carenza di competenze in materia di cybersecurity, sono sopraffatti e incapaci di tenere il passo.

Esempi di attacchi alla catena di approvvigionamento

Con i nuovi vettori di attacco creati dal lavoro in remoto e dai team di sicurezza sovraccarichi, i criminali informatici hanno avuto molte opportunità di eseguire attacchi alla catena di approvvigionamento. Tra i più grandi degli ultimi anni ci sono:

 

  • SolarWinds: Nel 2020, un gruppo di hacker ha avuto accesso all'ambiente di produzione di SolarWinds e ha inserito una backdoor negli aggiornamenti del suo prodotto di monitoraggio della rete Orion. I clienti di SolarWinds che eseguono l'aggiornamento dannoso hanno subito violazioni dei dati e altri incidenti di sicurezza.
  • Kaseya: La banda del ransomware REvil ha sfruttato Kaseya, un'azienda che fornisce software per i fornitori di servizi gestiti (MSP) per infettare oltre 1.000 clienti con il ransomware.  Il gruppo ha chiesto un riscatto di 70 milioni di dollari per fornire le chiavi di decrittazione a tutti i clienti colpiti. 
  • Codecov: Codecov è un'organizzazione di test del software il cui script Bash uploader (utilizzato per inviare rapporti sulla copertura del codice all'azienda) è stato modificato da un aggressore. Questo exploit della catena di approvvigionamento ha permesso agli aggressori di reindirizzare informazioni sensibili come codice sorgente, segreti e altro dai clienti di CodeCov ai propri server.
  • NotPetya: NotPetya era un falso malware ransomware che criptava i computer ma non salvava la chiave segreta per la decriptazione. Si chiama "tergicristallo".
    • L'attacco NotPetya è iniziato come un attacco alla catena di approvvigionamento, quando è stata violata una società di contabilità ucraina e il malware è stato incluso in un aggiornamento dannoso.
  • Atlassian: nel novembre 2020, Check Point Research (CPR) ha scoperto una serie di vulnerabilità che, se combinate, possono essere sfruttate per ottenere il controllo di un account e di varie app Atlassian collegate tramite SSO.
    • Ciò che rende questa vulnerabilità un attacco potenzialmente a catena di distribuzione è che una volta che l'aggressore sfrutta queste falle e ottiene il controllo di un account, può installare backdoor da utilizzare in futuro.
    • Questo può provocare danni gravi che verranno rilevati e controllati solo dopo che il danno si è verificato.
    • Check Point Research ha divulgato responsabilmente queste informazioni ai team di Atlassian, che hanno implementato una soluzione per garantire che i suoi utenti possano continuare a condividere informazioni in sicurezza sulle varie piattaforme.
  • British Airways: Nel 2018, British Airways ha subito un attacco Magecart che ha compromesso oltre 380.000 transazioni sul sito web della compagnia aerea. L'attacco è stato reso possibile da un attacco alla catena di approvvigionamento che ha compromesso uno dei fornitori della compagnia aerea e si è diffuso a British Airways, Ticketmaster e altre aziende.

Come funziona un attacco alla catena di approvvigionamento

Un attacco alla catena di approvvigionamento sfrutta le relazioni di fiducia tra diverse organizzazioni. Tutte le organizzazioni hanno un livello di fiducia implicita nelle altre aziende, in quanto installano e utilizzano il software dell'azienda all'interno della loro rete o lavorano con loro come fornitori.

 

Un attacco alla catena di approvvigionamento prende di mira l'anello più debole di una catena di fiducia. Se un'organizzazione dispone di una forte cybersecurity ma ha un fornitore di fiducia insicuro, gli aggressori prenderanno di mira quel fornitore. Con un punto d'appoggio nella rete del fornitore, gli aggressori potrebbero poi passare alla rete più sicura sfruttando quel rapporto di fiducia.

 

Un tipo comune di attacco alla catena di approvvigionamento è rappresentato dai fornitori di servizi gestiti (MSP). Gli MSP hanno un accesso profondo alla rete dei loro clienti, che è inestimabile per un aggressore. Dopo aver sfruttato l'MSP, l'aggressore può facilmente espandersi alla rete dei propri clienti. Sfruttando le vulnerabilità della catena di approvvigionamento, questi aggressori hanno un impatto maggiore e possono ottenere l'accesso a reti che sarebbero molto più difficili da attaccare direttamente. Ecco come gli aggressori di Kaseya sono riusciti a infettare così tante organizzazioni con il ransomware.

 

Altri attacchi alla catena di approvvigionamento utilizzano il software per consegnare il malware ai clienti di un'organizzazione.  Per esempio, gli aggressori di SolarWinds hanno avuto accesso ai server di build dell'azienda e hanno iniettato una backdoor negli aggiornamenti del prodotto di monitoraggio della rete SolarWinds Orion.  Quando il codice di aggiornamento è stato inviato ai clienti, gli aggressori hanno ottenuto l'accesso anche alla loro rete.

Gli impatti degli attacchi alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento forniscono semplicemente all'aggressore un altro metodo per violare le difese di un'organizzazione. Possono essere utilizzati per eseguire qualsiasi tipo di cyber attackcome ad esempio:

 

  • Violazione dei dati: Gli attacchi alla catena di approvvigionamento sono comunemente utilizzati per effettuare violazioni di dati. Ad esempio, l'hack di SolarWinds ha esposto i dati sensibili di diverse organizzazioni del settore pubblico e privato.
  • Infezioni da malware: I criminali informatici spesso sfruttano le vulnerabilità della catena di approvvigionamento per inviare malware a un'organizzazione target. SolarWinds includeva la consegna di una backdoor dannosa, e l'attacco di Kaseya ha portato a un ransomware progettato per sfruttarli.

Le migliori pratiche per identificare e mitigare gli attacchi alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento sfruttano le relazioni di fiducia non protette tra un'azienda e altre organizzazioni. Alcuni modi per mitigare i rischi di questi attacchi includono:

 

  • Implementare il Privilegio Minimo: Molte organizzazioni assegnano accessi e permessi eccessivi ai loro dipendenti, partner e software. Queste autorizzazioni eccessive rendono più facile l'esecuzione degli attacchi alla catena di approvvigionamento. Implementa il privilegio minimo e assegna a tutte le persone e ai software solo i permessi necessari per svolgere il loro lavoro.
  • Eseguire la segmentazione della rete: Il software di terze parti e le organizzazioni partner non hanno bisogno di un accesso illimitato a ogni angolo della rete. Utilizzi la segmentazione di rete per suddividere la rete in zone basate sulle funzioni aziendali. In questo modo, se un attacco alla catena di approvvigionamento compromette una parte della rete, il resto della rete è comunque protetto.
  • Seguire le pratiche DevSecOps: Integrando la sicurezza nel ciclo di vita dello sviluppo, è possibile rilevare se il software, come gli aggiornamenti di Orion, è stato modificato in modo malevolo.
  • threat prevention e Threat Hunting automatizzati: Gli analisti dei Centri Operativi di Sicurezza (SOC) devono proteggere dagli attacchi in tutti gli ambienti dell'organizzazione, compresi endpoint, rete, cloud e mobile.

Protezione contro gli attacchi alla catena di approvvigionamento con Check Point

Gli aggressori della catena di approvvigionamento sfruttano la mancanza di monitoraggio all'interno dell'ambiente di un'organizzazione. Check Point Harmony Endpoint aiuta un'organizzazione a proteggersi da queste minacce, monitorando le applicazioni alla ricerca di comportamenti sospetti che potrebbero indicare una compromissione.

 

Per saperne di più sui tipi di attacchi contro cui Harmony Endpoint protegge, consulti il Report 2021 Cyber Security di Check Point. Quindi, faccia un check-up della sicurezza per conoscere i problemi di sicurezza del suo ambiente. Può anche imparare a chiudere questi gap di sicurezza con una demo gratuita.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK