In questo articolo, esploriamo il fenomeno degli attacchi alla supply-chain: cosa sono, come avvengono, alcuni esempi e quali misure possono adottare le aziende per proteggersi.
Cosa sono gli attacchi alla supply chain?
L’aumento della connettività, l’esternalizzazione di servizi interni, la nascita dei SaaS e molte altre rivoluzioni dell’organizzazione aziendale e delle filiere hanno reso le aziende obiettivi sempre più attraenti per i criminali informatici. Questo avviene perché dipendono fortemente da una rete complessa di venditori, partner e fornitori di servizi per ottenere le risorse necessarie alle loro operazioni.
Gli attacchi alla supply chain puntano a una grande organizzazione sfruttando proprio le vulnerabilità di uno dei fornitori o vendor terzi. Si tratta di un attacco informatico avanzato che può avvenire attraverso diversi metodi, come l’iniezione di malware o backdoor nei prodotti o servizi offerti dal fornitore. Una volta che il malware o la backdoor sono distribuiti all’interno dell’organizzazione bersaglio tramite il fornitore compromesso, l’attaccante può appropriarsi di dati sensibili, ottenere accessi non autorizzati o, peggio, interrompere le operazioni.
Questo tipo di attacco è particolarmente pericoloso perché bypassa le tradizionali misure di sicurezza dell’organizzazione bersaglio, sfruttando la fiducia e la connessione tra il fornitore e il committente. L’obiettivo finale dell’attaccante è quello di compromettere la sicurezza dell’intera catena di approvvigionamento per ottenere un vantaggio strategico o finanziario, mettendo a rischio non solo l’organizzazione bersaglio ma anche i suoi clienti e partner.
Esempi emblematici e conseguenze
Gli attacchi alla supply chain hanno dimostrato di essere minacce sofisticate e devastanti, con conseguenze significative per le aziende colpite. Di seguito, esaminiamo tre casi emblematici che illustrano l’impatto di questi attacchi.
Attacco a SolarWinds (2020)
E’ avvenuto nel 2020 il sofisticato attacco alla supply chain della piattaforma Orion di SolarWinds (società che sviluppa soluzioni per il monitoraggio e la gestione dell’IT). L’attacco è iniziato violando la rete di SolarWinds: gli attaccanti hanno aggiunto una backdoor a una libreria chiave del prodotto. E’ proprio questa libreria compromessa che è poi stata diffusa a tutti i clienti, tramite il normale processo di update / upgrade di Orion, quindi sfruttando il dominio legittimo di SolarWinds. La violazione ha consentito ad un gruppo di criminali informatici di spiare per mesi enti governativi USA di alto livello in tutto il mondo, sottraendo molteplici informazioni riservate, sia tra agenzie federali che comunicazioni interne ai dipendenti. La società ha dovuto affrontare numerosi procedimenti legali e investigazioni da parte delle autorità competenti, con un impatto negativo sul loro status e sulla percezione pubblica della loro affidabilità.
Per approfondire > Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain
Attacco a Kaseya (2021)
Non si può non citare l’attacco Kaseya, definito come il più grande attacco ransomware della storia. Nell’estate del 2021, il gruppo di cybercriminali REvil ha sfruttato una vulnerabilità zero-day nei sistemi di Kaseya, una società statunitense di software di gestione IT, per distribuire un attacco ransomware. Utilizzando questa vulnerabilità, i criminali informatici hanno inserito il ransomware nei pacchetti di aggiornamento del software di Kaseya. Di conseguenza, le vittime hanno ricevuto il ransomware invece dell’aggiornamento legittimo, tecnica molto simile all’attacco subito da SolarWinds. Kaseya ha visto un significativo calo di fiducia tra i suoi clienti e partner a causa della vulnerabilità sfruttata. L’azienda è stata criticata per non aver messo in atto misure di sicurezza sufficienti per proteggere i suoi clienti.
Attacco a Toyota (2023)
Ancora più recente il caso di Toyota, avvenuto nel 2023, dove la produzione Toyota è stata bloccata in Giappone a causa di un attacco alla supply-chain di un fornitore di componenti interni (Kojima) tra cui porta bicchieri e connettori USB. In particolare, l’attacco informatico ha bloccato ben 14 stabilimenti Toyota e ha comportato una perdita di più di 300 milioni di dollari. L’attacco ha danneggiato la reputazione di Toyota come leader nel settore automobilistico, mostrando la vulnerabilità della sua supply chain. La visibilità mediatica dell’attacco ha messo in discussione la capacità dell’azienda di proteggere le sue operazioni critiche.
Come mitigare gli attacchi informatici alla supply chain
Come abbiamo visto, gli attacchi alla supply chain sono estremamente pericolosi. L’aumento della connettività ha reso questi ecosistemi interconnessi bersagli attraenti per i criminali informatici. Se la supply chain venisse presa di mira, le conseguenze potrebbero essere molto gravi.
Per prevenire questi attacchi e proteggere le proprie operazioni, le aziende possono adottare diverse strategie:
1. Valutazione del rischio
Esecuzione di una valutazione completa del rischio:
- Identificazione dei punti deboli: le aziende dovrebbero condurre un’analisi approfondita della propria supply chain per individuare vulnerabilità e rischi associati ai fornitori e ai partner. Questo include l’esame dei processi, delle tecnologie e delle interazioni tra i vari componenti della catena di approvvigionamento.
- Sviluppo di un piano di mitigazione: una volta identificati i rischi, è fondamentale sviluppare e implementare un piano di mitigazione dei rischi che preveda misure specifiche per affrontare e ridurre i punti deboli rilevati. Questo piano dovrebbe essere regolarmente aggiornato in base ai cambiamenti nel panorama delle minacce e nella struttura della supply chain.
2. Controllo dei fornitori
Implementazione di controlli rigorosi sui fornitori:
- Clausole contrattuali di sicurezza: è essenziale includere clausole specifiche nei contratti con i fornitori che stabiliscano requisiti di sicurezza informatica chiari e misurabili. Questi requisiti dovrebbero coprire aspetti come la protezione dei dati, l’implementazione di misure di sicurezza e la gestione delle vulnerabilità. Secondo l’Articolo 28 del GDPR, i contratti devono prevedere garanzie sufficienti in termini di misure tecniche e organizzative, obblighi di riservatezza, e la gestione dei sub-responsabili.
Per approfondire > Articolo 28 GDPR: il responsabile e i sub responsabili del trattamento. - Esecuzione di controlli periodici: le aziende devono effettuare controlli regolari dei fornitori per garantire che rispettino gli standard di sicurezza stabiliti. Gli audit dovrebbero includere verifiche delle pratiche di sicurezza, dei controlli interni e della conformità alle clausole contrattuali.
- Penalità per mancata conformità: i contratti dovrebbero prevedere penali per i fornitori che non adempiono agli obblighi di sicurezza. Questo crea un incentivo tangibile per mantenere elevati standard di protezione e per rispondere rapidamente alle problematiche di sicurezza.
3. Monitoraggio della Supply Chain
Implementazione di soluzioni di monitoraggio avanzate:
- Monitoraggio continuo delle minacce: le aziende dovrebbero adottare soluzioni di monitoraggio avanzate per rilevare attività anomale e sospette nella supply chain. Questo include l’uso di tecnologie di rilevamento delle minacce basate su intelligenza artificiale e machine learning, che possono identificare segnali di compromissione e anomalie in tempo reale.
- Analisi e risposta agli incidenti: è fondamentale avere un piano di risposta agli incidenti ben definito che preveda procedure per gestire rapidamente e efficacemente qualsiasi segnale di attacco. Questo piano dovrebbe includere la comunicazione con i fornitori e i partner coinvolti, nonché misure di contenimento e ripristino.
Per approfondire > La gestione della catena esterna della Data Protection
Con un approccio multilivello che combina intelligenza artificiale e apprendimento automatico, le soluzioni XDR (Extended Detection and Response) garantiscono una difesa proattiva contro le minacce informatiche, automatizzando la risposta agli incidenti, isolando i sistemi compromessi e agendo con tempestività.
