Sei modi per proteggere la tua organizzazione dagli attacchi alla supply chain – Guida per PMI

Gli attacchi alla supply chain possono colpire aziende di qualsiasi dimensione: leggi i nostri consigli per salvaguardare la tua azienda.

Potresti aver letto degli attacchi alla catena di approvvigionamento nelle notizie. Alla fine dell’anno scorso, Solarwinds, fornitore globale di servizi di infrastruttura, è stato colpito da un attacco alla supply chain soprannominato Sunburst, compromettendo molti dei suoi clienti nel processo.

Questi tipi di attacchi possono colpire aziende di tutte le dimensioni: i nostri esperti di sicurezza hanno messo insieme sei passi che le piccole e medie imprese possono seguire per mitigare il rischio di essere compromessi da tali attacchi alla supply chain e minimizzare i danni se uno di essi va a buon fine.

Cos’è un attacco alla supply chain?

Un attacco alla supply chain è una tattica utilizzata dai criminali informatici per colpire indirettamente gli obiettivi attraverso i loro fornitori. Approfittano delle relazioni di fiducia già stabilite e delle connessioni infrastrutturali tra un’azienda e i suoi fornitori per ottenere l’accesso all’obiettivo finale. Possiamo identificare due tipi principali di attacchi di questo genere:

1. Molte aziende attualmente hanno sofisticate soluzioni di cyber security. Per questo motivo, i cyber criminali hanno capito che spesso è più facile e conveniente attaccarle attraverso la loro catena di approvvigionamento. In questi incidenti, un attaccante violerà un fornitore terzo di un obiettivo di alto profilo e sfrutterà le protezioni più deboli del fornitore per diffondere ed elevare l’attacco all’obiettivo effettivo.
2. Nell’altro tipo di attacco, i criminali cercheranno di sfruttare le economie di scala prendendo di mira un fornitore con molti clienti. L’obiettivo è quello di violare l’applicazione del fornitore di servizi con un software malevolo e permettergli di distribuirlo a tutti i suoi clienti.

Come sono colpite le PMI?

La maggior parte delle PMI non sarà l’obiettivo principale del primo tipo di attacco (anche se ci sono eccezioni), ma potrebbero essere violate come mezzo per arrivare a un’azienda che forniscono. Potrebbero anche essere colpite nel secondo tipo di attacco se uno dei loro fornitori di servizi viene violato.

Inoltre, solo perché una società è piccola, questo non significa necessariamente che non sia un obiettivo di alto profilo. Alcune PMI possiedono una preziosa proprietà intellettuale (ad esempio il codice sorgente, i dati dei clienti, le cartelle cliniche, i film inediti), che le rendono degne di essere attaccate. Tuttavia, si tratta della minoranza dei casi.

Sei modi per proteggere la tua azienda con un budget limitato

Iniziamo con le cattive notizie: se la tua azienda è presa di mira da un attaccante sofisticato, sostenuto da uno Stato, sarete colpiti anche con la difesa più completa. Questo perché l’attaccante abusa delle relazioni di fiducia esistenti. Spesso è necessario concedere molti accessi ai fornitori di servizi per poter utilizzare appieno i loro servizi, e un attaccante può sfruttare questa situazione.

L’unico modo per garantire la protezione da una violazione al tuo fornitore di servizi di gestione dell’infrastruttura sarebbe quello di vietargli l’accesso all’infrastruttura, il che ovviamente vanifica lo scopo.

La buona notizia è che molti attacchi alla supply chain non sono così sofisticati come Sunburst e ci sono alcune regole generali per proteggere la tua azienda o almeno per minimizzare l’impatto di qualsiasi attacco che sfugge ad un rilevamento tempestivo. In questo modo sarai in grado di reagire prima che vengano causati troppi danni.

1. Scegli con cura i fornitori. Puoi e devi fare domande difficili ai tuoi fornitori. Certificazioni come ISO27001 o ISAE 3000 sono importanti ma non garantiscono nulla da sole. Dovresti anche chiedere informazioni riguardo le loro pratiche di sicurezza e richiedere rapporti di security assessment o un’altra forma di prova che prenda sul serio la sicurezza. Un dilemma davanti al quale potresti trovarti è che i fornitori affermati con posizioni di sicurezza più consolidate e regole più rigide possono essere obiettivi più attraenti per un attacco sofisticato. Naturalmente, è impossibile prevedere chi sarà attaccato prossimamente, quindi dovresti sempre richiedere ai fornitori di documentare il loro processo di sicurezza. Un buon indicatore di un processo rigoroso è la disponibilità del fornitore ad essere controllato, quindi puoi suggerirlo, anche se è improbabile che venga messo in atto.
2. Concedi ai fornitori solo gli accessi necessari e rivedi regolarmente il livello di accesso. Supponi che ad un certo punto il tuo fornitore venga compromesso e pianifica in anticipo come minimizzare l’impatto. Scegli sempre l’accesso minimo richiesto (questo vale anche per il personale interno). Per esempio, se hai un responsabile esterno dell’infrastruttura di rete, i suoi account dovrebbero permettergli di fare quello e nient’altro. Il principio dell’accesso minimo per tutti gli account significa che un attaccante avrà anche un accesso minimo quando li compromette.
3. Fai un esercizio di modellazione delle minacce (anche se è solo leggero). Questo significa considerare l’accesso che tutti i servizi di terze parti hanno e in che modo potrebbe essere abusato, quindi considerare quali misure la tua azienda o il tuo fornitore potete mettere in atto per limitare i danni in caso di un attacco.
4. Considera una soluzione di monitoraggio di terze parti come EDR (Endpoint Detection and Response). Non sarai in grado di fermare tutti gli attacchi prima che accadano (specialmente se siete attaccati attraverso una fonte pre-trusted o whitelisted), ma prima viene individuato un attacco, meglio è. I nostri sistemi di rilevamento e risposta analizzano la telemetria dei sistemi e della rete aziendale per identificare indizi di attività sospette.
5. Dotati di un piano di risposta. Vediamo spesso aziende che non sono in grado di rispondere adeguatamente a una violazione, una volta allertate. Dovresti organizzare delle esercitazioni per mettere in pratica tutti gli aspetti della tua risposta (tecnici, legali, di comunicazione).
6. Parti dalle basi. Sunburst ha iniziato tentando di “silenziare” l’anti-malware sull’host, la soluzione EPP. Questo è qualcosa che si può e si deve monitorare, poiché disabilitare l’EPP è una chiara bandiera rossa che indica che qualcosa di brutto potrebbe accadere. Il fatto che ora abbiamo nuovi tipi di protezione “next-gen”, non significa che possiamo dimenticare cose come la protezione anti-malware o un firewall. Ovviamente, nell’ambiente multi-cloud i metodi per isolare gli ambienti e fornire protezione anti-malware possono richiedere strumenti diversi, ma l’idea di fondo è la stessa.

Scopri di più

Il panorama delle minacce è in continua evoluzione, e mentre gli attacchi alla supply chain hanno fatto notizia di recente, il phishing è ancora la forma di attacco più diffusa contro le PMI. Per saperne di più sulle minacce che potrebbero colpire la tua azienda e sulle soluzioni fornite da F-Secure, clicca qui e leggi la nostra guida su Endpoint Detection and Response.