A dicembre 2020, la notizia dell’attacco informatico a SolarWinds ha attirato l’attenzione sugli attacchi alla supply chain ma questo fenomeno è tutt’altro che una novità, come indicato dai dati emersi dal recente Rapporto “The State of Ransomware” di Sophos.

Quasi una vittima di ransomware su 10 sostiene che l’attacco si sia infiltrato nei sistemi mediante un fornitore di terze parti attendibile.

Data la complessità e la natura degli attacchi alla supply chain, le tecnologie da sole non sono in grado di prevenirli: Sophos ha dunque stilato una breve lista di indicazioni per supportare le aziende nel cambio di approccio alla gestione della sicurezza informatica:

Le tre regole per proteggere la supply chain

1. Passare da un’attitudine reattiva a un approccio proattivo alla cybersecurity

Quando l’attacco diventa visibile, spesso è ormai troppo tardi: nel momento in cui un criminale rilascia il payload, è possibile che abbia già prelevato illecitamente dati critici e in molti casi che si sia infiltrato nella rete diversi giorni prima.

Occorre adottare una nuova attitudine mentale: partire dal presupposto che i sistemi sono sempre compromessi e cercare proattivamente di individuare le minacce prima che sia troppo tardi. Esistono tecnologie e servizi in grado di supportare questo approccio e ne parleremo in maniera approfondita in un’altra sezione di questo documento.

2. Monitorare i primi indicatori di compromissione dei sistemi

Nelle indagini condotte dal team Sophos Managed Threat Response (MTR), spiccano due indicatori iniziali di compromissione: il primo è l’utilizzo di credenziali per l’accesso remoto e per le mansioni amministrative fuori orario ufficio, mentre il secondo è l’utilizzo improprio di strumenti di amministrazione del sistema per sorvegliare la rete e prelevare illecitamente dati.

L’utilizzo di account legittimi e di strumenti di proprietà dell’organizzazione per ottenere e mantenere la persistenza viene spesso definito Living Off the Land (LOL). Il rilevamento di questi comportamenti richiede particolare attenzione e abilità.

Tuttavia, sono facili da riconoscere per l’occhio esperto di un analista di security operations qualificato, che è in grado di segnalare l’attacco prima che causi danni irreparabili. Consigliamo di investire in tecnologie e corsi di formazione per i dipendenti che li muniscano delle competenze necessarie per rilevare internamente questi indicatori di rischio. Una valida alternativa è quella di affidarsi ad un fornitore di servizi di Managed Detection and Response (MDR) che agisca per conto dell’organizzazione.

3. Eseguire controlli di qualità per la supply chain

Potrebbe sembrare ovvio, ma dedicare del tempo alla compilazione di un elenco di tutte le organizzazioni con cui si è connessi può essere di importanza inestimabile.

Probabilmente sono più numerose di quanto si immagini. Questo accorgimento aiuta a identificare rapidamente gli anelli più deboli della catena (ad esempio le organizzazioni più esposte al cybercrimine) ed a intraprendere azioni correttive per attenuare i rischi associati. Alcuni esempi di fornitori di terze parti a cui si può essere connessi sono i seguenti