In un recente cyberattacco, attaccanti sconosciuti hanno compromesso SolarWind, una piattaforma di monitoraggio delle infrastrutture e gestione software sviluppato da Orion: l'attacco ha riguardato centinaia di reti pubbliche e private nel mondo. Non c'è però alcuna certezza su chi si celi dietro l'attacco, anche se gli esperti credano che origini dalla Russia. C'è anche la convinzione che oltre 1000 ingegneri abbiano la lavorato assieme per garantire il successo di questo attacco. 

Come parte di questo attacco, gli attaccanti hanno usando la tecnica cosiddetta "Supply chain attack" per colpire i clienti SolarWind, incluso più dell'80% dellee prime 500 aziende per US Fortune, tutti i rami delle forze armate statunitensi, così come molte università e college in giro per il mondo. Questa operazione è stata la più grandi e sofisticata mai vista fino ad ora, come sottolineato da Microsoft, portando sotto i riflettori sia il processo di sviluppo che la supply chain software. Prima di andare avanti, però, che cosa è un attacco supply chain. 

In un attacco Supply Chain, gli attaccanti tentano di infiltrare la rete dell'azienda bersaglio attraverso una terza parte affidabile i cui sistemi / dati sono già stati violati in precedenza. Con l'avvento di questo meccanismo di attacco, la superficie di attacco di una azienda è cresciuta in maniera sostanziale. 

Quando un'azienda sceglie un servizio o prodotto di terze parti, viene a stabilirsi una "catena di fiducia" intrinseca tra le due parti. Gli attaccanti ben lo sanno e tentano di approfittare e sfruttare tale catena. Ciò che rende molto profittevole per gli attaccanti questa tipologia di attacco è che consente loro di accedere a tutte le aziende che utilizzano il servizio / software compromesso. 

Le catene di forniture di software sono ormai onnipresenti. E' molto molto probabile che qualsiasi azienda che abbia una componente digitalizzata utilizzi uno o più servizi di terze parti: questo vale anche per le piccole aziende. L'uso di questi servizi / software di terze parti è ciò che espone le aziende a potenziali attacchi supply chain. Sono suscettibili di attacchi supply chain non solo l'azienda che fornisce servizi / prodotti, ma anche tutte le aziende che sono consumatrici di strumenti di terze parti. La conseguenza è che i team di sicurezza IT e il CISO aziendale dovrebbero tenere di conto di questa tipologia di attacchi al momento di pianificare la strategia di sicurezza. 

E' utile anche tenere di conto che attacchi supply chain non sono limitati ai software commerciali, ma colpiscono anche software open source nella stessa maniera: gli attaccanti violano prima il fornitore di servizi / prodotti, che molto spesso hanno accesso alla rete dell'eventuale obiettivo (ad esempio una società di terze parti che monitora lo stato di salute delle macchine di produzione), quindi entrano nella rete aziendale bersaglio sfruttando questo accesso.  

Tuttavia, per garantire una più  rapida adozione possibile di strumenti digitali, le aziende finiscono per collaborare con fornitori di servizi di terze parti con molta fretta e finiscono esposte a questa tipologia di attacchi. I CISO quindi devono non solo preparare validi strumenti di sicurezza per affrontare questo potenziale rischio, ma anche promuovere la consapevolezza sui rischi degli attacchi supply chain. 

I CISO delle aziende che offrono prodotti B2B ad altre aziende dovrebbero tenere in considerazione questi punti:

Le aziende che usufruiscono di servizi / software di terze parti dovrebbero invece:

In un panorama di minacce in continua evoluzione, le aziende che offrono o utilizzano soluzioni di terze parti dovrebbero investire in strumenti di sicurezza affidabili, dando a questo punto la massima priorità. Dovrebbero anche diffondere la consapevolezza non solo dell'esistenza degli attacchi di tipo supply chain, ma anche degli effetti e dei possibili rischi, formando i dipendenti su come affrontare gli incidenti di sicurezza. Solide pratiche di igiene informatica possono aiutare sicuramente le aziende a ridurre al minimo l'impatto di cyber attack su vasta scala.