Prospettive

Cybersecurity della supply chain senza rallentare la digitalizzazione di servizi e processi

Una delle decine di sessioni svoltesi in occasione del Security Summit è stata dedicata agli attacchi alla supply chain, un fenomeno in aumento come casi recenti evidenziano. Le relazioni hanno, in particolare, analizzato il ruolo svolto dai “portatori sani”, focalizzandosi sulla compromissione della supply chain del software nella realizzazione e distribuzione dei pacchetti.

Pubblicato il 06 Ago 2021

cybersecurity

“Un attacco alla Supply Chain è un attacco informatico che cerca di danneggiare un’organizzazione prendendo di mira gli elementi meno sicuri nella catena di approvvigionamento”, è la definizione fornita, nel corso della sessione dedicata agli attacchi cyber alle supply chian nel corso dell’ultimo Security Summit, da Denis Valter Cassinerio, Regional Sales Director SEUR di Bitdefender.

L’attacco vede una molteplicità di soggetti e la messa in atto di tecniche, tattiche e procedure da parte degli attaccanti, che Cassinerio definisce parassiti in quanto non puntano ad eliminare le vittime ma a sfruttarle, restando nascosti il più a lungo possibile per coinvolgere il maggior numero di soggetti. I cyber criminali identificano i soggetti più deboli della catena con l’obiettivo di ridurre i costi dell’attacco e ottenere il risultato con il minore sforzo possibile.

Alcune strategie suggerite alle potenziali vittime sono: ottimizzare il processo di difesa per rendere costoso l’attacco, compatibilmente con il valore di quanto di vuole difendere, tutelare le informazioni, scoprire tempestivamente i segnali di attacco.

I sistemi utilizzati per colpire la supply chain

Uno dei metodi più utilizzati per attaccare una supply chain consiste nel modificare pezzi di software legittimo, facendo leva sulla fiducia nel fornitore, da parte delle potenziali vittime, e sulla difficoltà di indentificare il percorso di alterazione, come accaduto nell’attacco alle catene di approvvigionamento energetico messo in atto dal gruppo Dragonfly.

Un’altra tecnica prevede la compromissione di siti web legittimi per rubare le credenziali bancarie, come nel caso del trojan bancario Shylock, rilevato anche in Italia, con alterazioni in grado di sfuggire alle analisi.

Un’ulteriore modalità di attacco si rivolge ai data stores di terze parti per ridirigere le informazioni su un sito controllato dagli attaccanti. “Spesso l’interesse primario non sono tanto le informazioni stesse mala possibilità di risalire al comportamento delle persone per individuare ulteriori target”, spiega Cassinerio. Negli ‘waterhole’ si sfrutta il rapporto di fiducia fra clienti e fornitori di un servizio usato da più clienti dove è lo stesso utente, inconsapevole, a far partire l’attacco attraverso un malware RAT (Remote Access Trojan), che consente agli hacker di monitorare e controllare il computer o la rete con la possibilità di realizzare frodi su larga scala.

Un esempio di attacco all’anello debole è il caso Bonfiglioli che ha subito una violazione ransomware senza impatti su dati sensibili ma solo rallentamenti nei vari stabilimenti e il fermo di un giorno della sede del gruppo a Forlì. “Non escludiamo – ha dichiarato Sonia Bonfiglioli, presidente dell’omonima azienda – che il fine dell’attacco sia stato anche usare noi come cavallo di Troia verso qualche cliente internazionale o qualche altra organizzazione”.

Per combattere le violazioni è particolarmente importante condividere l’esperienza maturata da chi ha subìto attacchi, in modo da individuare tempestivamente i segnali premonitori, visto che gli attacchi alla supply chain hanno molti punti in comune.

Le sette fasi dell’attacco alla supply chain. Fonte: presentazione Bitdefender, Security Summit 2021

Come viene realizzato un attacco sfruttando la supply chain del software

Una delle forme di attacco, più frequenti e potenzialmente molto dannose, è quella che utilizza la tipica supply chain del software che parte dal fornitore del pacchetto per arrivare all’utilizzatore, generalmente un’organizzazione, che rappresenta l’effettiva vittima, come illustrato da Massimo Lucarelli, EMEA Sales Engineering Manager di Bitdefender. Compromettendo il fornitore del pacchetto software, l’attaccante altera il software stesso, per arrivare a colpire i target finali. È frequente inoltre che il pacchetto software sia inserito in altri pacchetti, da altri sviluppatori o da integratori, in un ciclo che può anche essere molto lungo. “Il fornitore rappresenta solo un tramite dell’attacco e non ha grande importanza come la vittima finale che, se ha un rapporto di fiducia con il fornitore, si aspetta che il pacchetto sia sicuro”, sottolinea Lucarelli.

Le fasi di un attacco alla supply chain del software. Fonte: presentazione Bitdefender, Security Summit 2021

Gli attaccanti devono prendere diversi accorgimenti per compromettere il fornitore, infettare il prodotto e distribuirlo, tenendo conto di come avviene lo sviluppo, per evitare che l’alterazione venga rilevata a livello di versioning, di compilazione, di firma del software.

Un caso di successo per gli attaccanti e fra i più gravi negli ultimi mesi è la violazione a SolarWinds che fornisce prodotti e servizi software a oltre 300mila clienti nel mondo fra cui molte agenzie governative Usa che rappresentavano probabilmente il vero obiettivo. Il breach è stato annunciato a dicembre del 2020 e ad oggi non si è stati in grado di arrivare a un’attribuzione certa (l’ipotesi più accreditata indica un’origine russa) né a capire le modalità dell’attacco. Alcune ipotesi hanno indicato una vulnerabilità VMWare, altre hanno individuato password deboli, come ha ammesso lo stesso CEO dell’azienda, Sudhakar Ramakrishna.

A marzo del 2021, si è verificato un altro clamoroso caso di compromissione del software, quello di Microsoft Exchange Server, che ha visto come probabile attore e il gruppo cinese Hafnium e di cui si è discusso in occasione della tavola rotonda di chiusura del Security Summit.

Prevenire gli attacchi alla supply chain non è facile, ma si deve tentare, seguendo una serie di passi: l’assessment del rischio, la presa di controllo e la verifica del fornitore, in un processo che incoraggi il fornitore al miglioramento continuo della sicurezza e preveda una responsabilità condivisa della sicurezza lungo tutta la supply chain.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati