Traduzione dell’intervista “What India CISOs can learn from SolarWinds security breach” su The Economic Times di Himanshu Dubey – Direttore Quick Heal Security Labs.
In un recente cyberattacco, attaccanti sconosciuti hanno compromesso SolarWind, una piattaforma di monitoraggio delle infrastrutture e gestione software sviluppato da Orion: l’attacco ha riguardato centinaia di reti pubbliche e private nel mondo. Non c’è però alcuna certezza su chi si celi dietro l’attacco, anche se gli esperti credano che origini dalla Russia. C’è anche la convinzione che oltre 1000 ingegneri abbiano la lavorato assieme per garantire il successo di questo attacco.
Come parte di questo attacco, gli attaccanti hanno usando la tecnica cosiddetta “Supply chain attack” per colpire i clienti SolarWind, incluso più dell’80% dellee prime 500 aziende per US Fortune, tutti i rami delle forze armate statunitensi, così come molte università e college in giro per il mondo. Questa operazione è stata la più grandi e sofisticata mai vista fino ad ora, come sottolineato da Microsoft, portando sotto i riflettori sia il processo di sviluppo che la supply chain software. Prima di andare avanti, però, che cosa è un attacco supply chain.
Supply Chain Attack: significato e in che modo è uno strumento redditizio per i cyber attaccanti?
In un attacco Supply Chain, gli attaccanti tentano di infiltrare la rete dell’azienda bersaglio attraverso una terza parte affidabile i cui sistemi / dati sono già stati violati in precedenza. Con l’avvento di questo meccanismo di attacco, la superficie di attacco di una azienda è cresciuta in maniera sostanziale.
Quando un’azienda sceglie un servizio o prodotto di terze parti, viene a stabilirsi una “catena di fiducia” intrinseca tra le due parti. Gli attaccanti ben lo sanno e tentano di approfittare e sfruttare tale catena. Ciò che rende molto profittevole per gli attaccanti questa tipologia di attacco è che consente loro di accedere a tutte le aziende che utilizzano il servizio / software compromesso.
Quanto c’è da preoccuparsi di questo tipo di attacchi?
Le catene di forniture di software sono ormai onnipresenti. E’ molto molto probabile che qualsiasi azienda che abbia una componente digitalizzata utilizzi uno o più servizi di terze parti: questo vale anche per le piccole aziende. L’uso di questi servizi / software di terze parti è ciò che espone le aziende a potenziali attacchi supply chain. Sono suscettibili di attacchi supply chain non solo l’azienda che fornisce servizi / prodotti, ma anche tutte le aziende che sono consumatrici di strumenti di terze parti. La conseguenza è che i team di sicurezza IT e il CISO aziendale dovrebbero tenere di conto di questa tipologia di attacchi al momento di pianificare la strategia di sicurezza.
E’ utile anche tenere di conto che attacchi supply chain non sono limitati ai software commerciali, ma colpiscono anche software open source nella stessa maniera: gli attaccanti violano prima il fornitore di servizi / prodotti, che molto spesso hanno accesso alla rete dell’eventuale obiettivo (ad esempio una società di terze parti che monitora lo stato di salute delle macchine di produzione), quindi entrano nella rete aziendale bersaglio sfruttando questo accesso.
Tuttavia, per garantire una più rapida adozione possibile di strumenti digitali, le aziende finiscono per collaborare con fornitori di servizi di terze parti con molta fretta e finiscono esposte a questa tipologia di attacchi. I CISO quindi devono non solo preparare validi strumenti di sicurezza per affrontare questo potenziale rischio, ma anche promuovere la consapevolezza sui rischi degli attacchi supply chain.
Che cosa dovrebbero fare i vendor di software?
I CISO delle aziende che offrono prodotti B2B ad altre aziende dovrebbero tenere in considerazione questi punti:
- implementare una architettura Zero Trust. Impostano verifiche di accesso e usando il principio “del minimo livello di privilegio necessario” le aziende possono drasticamente ridurre le opportunità per gli attaccanti di spostarsi lateralmente lungo la rete aziendale bersaglio: è un sistema che minimizza l’impatto di un eventuale accesso malevolo e non autorizzato di attaccanti nella rete interna;
- rafforzare la sicurezza intorno agli asset critici e assicurarsi che tali sistemi non siano pubblicamente accessibili. E’ fondamentale l’adozione dell’autenticazione a più fattori per l’accesso a tali sistemi;
- garantire l’esistenza di log dettagliati riguardanti gli asset critici: installare prodotti di sicurezza in grado di analizzare tali log e generare alert in caso di anomalie è fondamentale e, con l’aggiunta di un team dedicato che monitori costantemente tali alert, gli attaccanti avranno davvero vita dura;
- mantenere un changelog tra le builds e compararlo con i cambiamenti attuali prima di passare 100% all’automazione. In caso di mancata corrispondenza, sospendere le operazioni e analizzare immediatamente la situazione;
- impostare meccanismi di trasmissione sicura dei moduli per le fasi di sviluppo successive. E’ utile anche verificare la firma digitale dei file binari mentre si spostano attraverso i sistemi. L’intero processo dovrebbe concludersi con una revisione finale prima della distribuzione ai clienti esterni.
Che cosa dovrebbero fare i CISO?
Le aziende che usufruiscono di servizi / software di terze parti dovrebbero invece:
- monitorare costantemente il traffico di rete, così da poter individuare attività dannose in corso nell’ambiente aziendale. Nella maggior parte dei casi, una volta dentro, gli attaccanti tentano di esfiltrare le informazioni dalla rete violata. Controllare da vicino il traffico può bloccare tali incidenti;
- usare architetture Zero Trust e segmentare la rete. Queste accortezze minimizzeranno l’impatto di eventuali attaccanti che dovessero ottenere l’accesso, limitandolo ad un numero ridotto di sistemi nell’ambiente aziendale;
- identificare i dati critici e importare rigidissimi controlli di sicurezza intorno ad essi. E’ utile criptare tutti i dati e salvare, in una location diversa e ben protetta, la chiave di decriptazione. Disporre di dettagliati log di tutti gli accessi ai dati e verificarli continuamente consentirà di individuare con più facilità un’eventuale violazione della rete;
- è ormai necessario sapere che i data breach possono accadere. Prepararsi a questa evenienza creando un piano di risposta immediato è essenziale sia per ridurre l’impatto di questi breach che per reagire senza andare in panico.
Per concludere, qualche indicazione?
In un panorama di minacce in continua evoluzione, le aziende che offrono o utilizzano soluzioni di terze parti dovrebbero investire in strumenti di sicurezza affidabili, dando a questo punto la massima priorità. Dovrebbero anche diffondere la consapevolezza non solo dell’esistenza degli attacchi di tipo supply chain, ma anche degli effetti e dei possibili rischi, formando i dipendenti su come affrontare gli incidenti di sicurezza. Solide pratiche di igiene informatica possono aiutare sicuramente le aziende a ridurre al minimo l’impatto di cyber attack su vasta scala.
