• admin

Minacce alla sicurezza nella supply chain: ecco come contrastare gli attacchi più diffusi

Gli attacchi alla supply chain sono aumentati di numero e in sofisticazione nel corso del 2020 e il trend non accenna a fermarsi. In questo scenario, ENISA ha pubblicato alcune utili raccomandazioni per un efficace contrasto delle minacce alle catene di fornitori. Eccole in dettaglio


ENISA, nel suo compito di fornire informazione e consapevolezza generale sulla sicurezza informatica quale agenzia dell’Unione sul tema, ha pubblicato a fine luglio scorso un rapporto dal titolo “ENISA threat landscape for supply chain attacks” che mira a mappare e studiare gli attacchi nelle catene di fornitori che sono stati scoperti da gennaio 2020 all’inizio di luglio 2021, in piena era “Covid-19” con relativa digitalizzazione forzata del mercato.

Sulla base delle tendenze e dei modelli osservati, l’ente suona l’allarme: gli attacchi di questo tipo sono aumentati di numero e in sofisticazione nel corso del 2020, continuando nel 2021 (si stima che nel 2021 vi saranno quattro volte più attacchi rispetto all’anno passato).

Tali attacchi sfruttano l’interconnessione e interdipendenza dei mercati globali per avere maggior penetrazione ed effetto nella accresciuta complessità e commistione, alimentando anche la “reputazione” di determinati gruppi di attaccanti che si fanno forti di certi exploit resi noti dalla stampa.

Il tema è anche di pregnante interesse sotto la lente della protezione dei dati personali: è di giugno ad es. una serie di sanzioni del Garante Privacy nel caso dell’aeroporto Marconi di Bologna ove si era scoperta una serie di malpractice anche del fornitore software dell’aeroporto.

Il rischio di subire dunque non solo un danno di sicurezza ma anche una sanzione per la cattiva gestione del tema è elevato.

Trattandosi di minacce alla sicurezza di maggior complessità rispetto ad altri, l’analisi dell’ENISA è fondamentale nel cercare di allertare le aziende, i professionisti, le pubbliche amministrazioni, suggerendo anche metodi di protezione al passo coi tempi e che coinvolgano maggiormente i fornitori stessi.

Proviamo, dunque, ad analizzarlo premettendo che il documento è un corposo volume di quasi sessanta pagine: qui ci limitiamo a indicazioni generali e a sottolineare alcune casistiche di rilievo pratico, sia per la sicurezza che per la protezione dei dati (personali e non).


Minacce alla sicurezza della Supply Chain: i dati

ENISA riporta nel suo documento 24 attacchi alla filiera (supply chain) che sono stati segnalati da gennaio 2020 all’inizio di luglio 2021, con risultati piuttosto allarmanti:

  • circa il 50% degli attacchi sono stati attribuiti a noti gruppi di attaccanti dalla comunità di security (il restante invece non è stato attribuito a un particolare gruppo o attaccante);

  • circa il 66% dei vettori di attacco utilizzati verso i fornitori rimane ancora sconosciuto;

  • circa il 62% degli attacchi ai clienti ha fatto leva sulla fiducia riposta nel proprio fornitore;

  • nel 62% dei casi il malware era la tecnica di attacco utilizzata;

  • nel 66% degli attacchi gli aggressori si sono concentrati sul codice dei fornitori, al fine di compromettere determinati clienti degli stessi;

  • circa il 58% degli attacchi mirava ad accedere ai dati (prevalentemente dati dei clienti, compresi i dati personali e di proprietà intellettuale), circa il 16% a entrare in contatto e far leva sulle persone per accedere a quanto desiderato;

  • non tutti gli attacchi dovrebbero essere qualificati come attacchi della filiera, però a causa della loro natura molti di essi sono potenziali vettori per nuovi attacchi alla supply chain in futuro.


Attacco alla Supply Chain: di cosa si tratta

L’ENISA propone anzitutto una propria tassonomia degli attacchi in parola, pregni di singolarità per distinguerli da altre fattispecie così da facilitare l’analisi e gli interventi nel caso concreto.

La tassonomia dovrebbe essere utilizzata come un modello guida nel caso di un nuovo potenziale attacco, così che la comunità possa cercare di analizzarlo, identificando e mappando ciascuno dei vari elementi della tassonomia.

Se nessun cliente o fornitore viene attaccato, probabilmente non si tratta di un attacco alla filiera. Ecco perché il modello dell’ENISA propone una tassonomia schematizzata per tipo di attacco al cliente/fornitore e per beni/risorse attaccati, indicando i vari elementi da marcare per comprendere il tipo di attacco in corso e le relative contromisure suggerite.

Un modello che può completare, nelle intenzioni dell’ENISA, altri framework come ad es. quello del MITRE ATT&CK, un’importante knowledge-base ad accesso pubblico proprio per informare ed aiutare nella controffensiva sulla sicurezza, dedicando una sezione alla compromissione della supply chain.

Tra le tecniche di attacco elencate possiamo trovare: (per il fornitore) infezione da malware, ingegneria sociale, attacco “brute force”, sfruttamento di vulnerabilità del software, vulnerabilità di configurazione, attacco o modifica fisici, OSINT (open source intelligence), contraffazione; (per il cliente) relazione attendibile tra soggetti (ad es. fiducia), drive-by download (quando è sufficiente visitare un sito web per avviare, tramite script, il download del codice maligno), phishing, infezione dal malware, attacco o modifica fisici, contraffazione (ad es. simulazione di una memoria USB).

Scorrendo le risorse attaccabili rinveniamo: (per il fornitore) codice (del fornitore), librerie software, software preesistente di terzi, configurazioni, dati, processi hardware, persone (con accessi a dati, sistemi ecc.); (per il cliente) dati (personali e non), software, processi, larghezza di banda della rete, obiettivi finanziari (es. dirottare pagamenti), persone.

Ciclo di vita della Supply Chain

Un attacco alla supply chain è solitamente composto da un attacco a uno o più fornitori e poi da un attacco successivo al bersaglio finale, vale a dire il cliente.

Ognuno di questi attacchi può assomigliare molto al ciclo di vita degli attacchi “APT” (Advanced Persistence Threat), ovvero un qualsiasi attacco mirato che: ottenga l’accesso non autorizzato a un’azienda/sistema informativo; sia distribuito su un lungo periodo di tempo (ovviamente senza che sia percepito dall’host, ad es. mantenendo un accesso non autorizzato attivo nel tempo); il suo obiettivo finale sia legato specificamente al target.

Detto altrimenti, è un tipo di attacchi mirati, complessi, costosi, pianificati a lungo (ad es. potrebbero richiedere attacchi sincronizzati a più aziende), così come complessa sarà l’attività di contrattacco, specie quanto alla gestione di un incidente, all’analisi forense e alla gestione complessiva.

Quindi ENISA sottolinea che “un’organizzazione potrebbe essere vulnerabile a un attacco della catena di approvvigionamento anche quando le proprie difese risultano piuttosto buone”, visto che gli aggressori possono esplorare nuove potenziali vie per infiltrarsi sfruttando i loro fornitori.

Il ciclo di vita degli attacchi alla supply chain, secondo ENISA, può essere visto come due attacchi APT intrecciati: Il primo attacco prende di mira uno o più fornitori e il secondo attacco prende di mira i clienti di questi, per arrivare ai suoi asset.


Analisi di attacchi e incidenti della filiera

Il documento procede nel descrivere alcuni reali casi di attacchi alla catena di approvvigionamento, ad es. quello occorso al software di gestione e monitoraggio Orion della società SolarWinds (gli aggressori avevano probabilmente sfruttato una vulnerabilità zero-day o simile, una volta compromesso il sistema il software dannoso è stato iniettato in Orion durante il processo di compilazione, per poi essere scaricato direttamente dai clienti ed essere utilizzato per raccogliere e rubare informazioni).

Inoltre ci sono stati molti incidenti che inizialmente sembravano essere attacchi della catena di approvvigionamento o erano considerati parte di un probabile futuro attacco alla catena di approvvigionamento. Ad es. molte vulnerabilità software tradizionali che sono state trovate sono state segnalate come un “rischio” per futuri attacchi della supply chain. In seguito tuttavia sono state trovate cause come bug o errori involontari, non costituendo attacchi alla catena di approvvigionamento perché non hanno comportato la compromissione di alcun fornitore o cliente. In molti casi, le vulnerabilità nel software sono state scoperte ma non utilizzate negli attacchi noti.


Sicurezza della Supply Chain: raccomandazioni

A esito della disamina l’ente fornisce preziose indicazioni, dato che le imprese “stanno diventando sempre più consapevoli della necessità di valutare la maturità della sicurezza informatica dei loro fornitori e il livello di esposizione al rischio derivante da questa relazione cliente-fornitore”.

I clienti devono valutare e tener conto della qualità complessiva dei prodotti e delle pratiche di cybersicurezza dei loro fornitori, compreso se applicano procedure di sviluppo software sicure. Inoltre dovrebbero esercitare una maggiore diligenza nel formare e vagliare i loro fornitori, oltre che nel gestire il rischio che deriva da tali relazioni.

Per gestire il rischio di sicurezza nella supply chain, i clienti devono:

  1. identificare e documentare i tipi di fornitori e di servizi;

  2. definire criteri di rischio per diversi tipi di fornitori e servizi (ad es. dipendenze da fornitori e clienti, dipendenze software critiche, singoli point-of-failure);

  3. valutare i rischi della supply chain in base alla propria business continuity;

  4. definire misure per il trattamento del rischio basate su best practice;

  5. monitorare i rischi e le minacce della filiera, sulla base di fonti di informazione interne ed esterne nonchè dei risultati del monitoraggio e delle revisioni delle prestazioni dei fornitori stessi;

  6. rendere il proprio personale consapevole dei predetti rischi.

Nel gestire il rapporto con i fornitori, i clienti devono:

  1. gestire i fornitori durante l’intero ciclo di vita di un prodotto o servizio, comprese le procedure per gestire prodotti o componenti fuori uso;

  2. classificare le risorse e le informazioni condivise o accessibili ai fornitori e definire le procedure pertinenti per il loro accesso e gestione;

  3. definire gli obblighi dei fornitori per la protezione del patrimonio dell’organizzazione, per la condivisione delle informazioni, per l’esercizio di audit, per la business continuity, per lo screening del personale e per la gestione degli incidenti in termini di responsabilità, notifica e procedure;

  4. definire i requisiti di sicurezza per i prodotti e i servizi acquisiti;

  5. includere tutti questi obblighi e requisiti nei contratti con i fornitori; concordare norme per il subappalto e potenziali requisiti a cascata (per i c.d. sub-responsabili nel caso di dati personali ai sensi del GDPR);

  6. monitorare le prestazioni del servizio ed eseguire audit di sicurezza di routine per verificare il rispetto dei requisiti contrattuali di sicurezza informatica; ciò include l’handling di incidenti, vulnerabilità, patch, requisiti di sicurezza ecc.;

  7. farsi garantire dai fornitori che non siano consapevolmente incluse funzionalità nascoste o backdoor;

  8. garantire che siano presi in considerazione e rispettati tutti i requisiti normativi;

  9. definire processi per gestire i cambiamenti negli accordi con i fornitori, ad es. cambiamenti negli strumenti, nelle tecnologie e via dicendo.

ENISA procede con raccomandazioni circa lo sviluppo sicuro di prodotti e servizi per i fornitori, oltre che con buone prassi circa i seguenti aspetti:

  • vulnerability management: ciò include ad es. il monitoraggio delle vulnerabilità di sicurezza segnalate da fonti interne ed esterne che includono componenti di terze parti, l’analisi dei rischi delle vulnerabilità utilizzando un sistema di ranking delle vulnerabilità (ad es. CVSS), policy di manutenzione per il trattamento delle vulnerabilità identificate a seconda del livello di rischio, processi per informare i clienti, verifica delle patch con relativi test per garantire che siano soddisfatti i requisiti operativi, di sicurezza, legali e di sicurezza informatica e che la patch sia compatibile con componenti di terze parti non integrati, processi per la delivery sicura delle patch e per la documentazione delle patch ai clienti, partecipare a un programma di divulgazione delle vulnerabilità che includa un processo di segnalazione e divulgazione;

  • patch management: le vulnerabilità vanno affrontate dai fornitori tramite le patch, la cui buona gestione include ad es. mantenere un inventario delle risorse che includa informazioni rilevanti in materia di patch, utilizzare le risorse informative per identificare le vulnerabilità tecniche pertinenti, valutare i rischi delle vulnerabilità identificate e disporre di una policy di manutenzione documentata e correttamente implementata, ricevere patch solo da fonti legittime e testarle prima della loro installazione, applicare misure alternative qualora una patch non sia disponibile o applicabile, applicare procedure efficaci di rollback (cioè di ripristino di una situazione coerente e funzionale all’ultimo buono stato conosciuto) nonché di backup e ripristino.

Vi sono anche iniziative di terzi – consapevoli dell’interesse generale e di tutta la filiera per i temi in parola – che possono rivelarsi preziose in questo ambito: si cita Google, la quale ha introdotto nel giugno 2021 un framework chiamato SLSA (Supplychain Levels for Software Artifacts), proprio per garantire l’integrità dei software lungo tutta la catena di fornitura, specie riguardo all’open source.

Inoltre si menziona il progetto MITRE D3FEND, un framework anch’esso lanciato a giugno, tale da consentire alle imprese di trovare misure di mitigazione specifiche per prevenire attacchi specifici, seppure non sia mirato specificamente alla protezione della supply chain.

Non mancano richiami all’azione degli Stati e delle relative istituzioni: pensiamo alle funzioni nascoste e le funzionalità di accesso non documentato (c.d. backdoor) nei componenti hardware, non certo facili da identificare in modo esaustivo dalle certificazioni più comuni o dai penetration test standard, oppure alle vulnerabilità zero-day (note e utilizzate solo da un gruppo specifico).

Tutti casi estremamente difficili da contrastare, sia per i clienti che per i fornitori.

Di conseguenza, può essere necessaria un’azione a livello nazionale o addirittura comunitario, qualora le autorità nazionali competenti svolgessero valutazioni dei rischi per la sicurezza nazionale della filiera, tenendo conto degli attaccanti noti, al fine di ricavare misure di contrasto di livello nazionale.

Anche considerato che gli attacchi potrebbero essere frutto dell’operato di o sostenuti da attaccanti istituzionali esteri, con capacità avanzate: in questo caso sarebbe necessaria l’assistenza delle autorità competenti per mitigare i rischi annessi.



Fonte: CyberSecurity360

8 visualizzazioni0 commenti