Un attacco alla supply chain mira a danneggiare un’organizzazione prendendo di mira elementi meno sicuri nella sua rete di approvvigionamento. La vittima iniziale diventa un trampolino di lancio per infiltrarsi in altre reti. Lo sfruttamento della catena di fornitura dei dati di un fornitore di servizi o della supply chain tradizionale del produttore è stato l’obiettivo di molte recenti violazioni dei dati importanti. C’è stato un aumento del 78% degli attacchi alla supply chain dal 2018 al 2019 e il 45% di questi attacchi ha preso di mira le agenzie federali.
Invece di compromettere direttamente un’agenzia, gli aggressori si infiltrano in un integratore o in un partner. Ciò aiuta gli aggressori a bypassare le forti difese esistenti delle stesse agenzie. Una volta all’interno della rete, gli aggressori possono spostarsi verticalmente, compromettendo altri fornitori, software, appaltatori IT o dispositivi IoT. Gli aggressori hanno anche la possibilità di spostarsi orizzontalmente, sfruttando i collegamenti con altre agenzie o fornitori che condividono progetti comuni.
L’attacco a Solarwinds è il classico esempio di attacco alla supply chain. Gli attaccanti sono riusciti ad inserire una backdoor in un aggiornamento software (patch) di Orion. Di conseguenza tutti i clienti di SolarWinds che hanno installato quell’aggiornamento hanno anche involontariamente installato sui loro sistemi la backdoor che consentiva agli hacker il libero accesso alle loro reti.
La portata del problema della sicurezza informatica
Il movimento degli stati nazione nel business degli attacchi informatici ha aumentato le capacità tecnologiche degli aggressori. Uno studio recente ha rilevato che se la Russia si infiltrasse in una rete, quell’organizzazione avrebbe solo 19 minuti per mitigare il rischio e spegnerla prima che gli aggressori si spostino su un altro server, PC o dispositivo nella rete. Inoltre, il rischio per le agenzie governative sta crescendo in molti modi allarmanti.
Il 60% delle agenzie federali è stato compromesso almeno una volta.
Il 35% delle agenzie federali è stato compromesso solo l’anno scorso.
Di quel 35%, anche il 14% era stato compromesso l’anno prima.
COVID-19 ha aumentato l’utilizzo dei criteri BYOD (bring your own device)
L’IoT moltiplica anche la disponibilità di soft target.
Sebbene il 94% del malware venga consegnato tramite e-mail, siccome la maggior parte delle persone riceve dozzine di e-mail al giorno, diventa difficile sorvegliarle tutte. Il caso di SolarWinds, ad esempio, includeva malware dormiente nascosto in un file o in un allegato.
Scenari di attacco alla supply chain
Un gateway di file sicuro è una tecnologia di nuova generazione che gestisce gli attacchi in modo fondamentalmente diverso dalla maggior parte delle soluzioni di sicurezza informatica, bloccando una minaccia prima che si diffonda in una rete. Molte soluzioni standard si concentrano sull’esecuzione dell’attacco, determinando come è avvenuto dopo che si è verificato. Un gateway di file sicuro aiuta le organizzazioni a impedire l’esecuzione dell’attacco, consentendo anche all’organizzazione di accedere al proprio ambiente e continuare a essere produttiva.
Invece di mettere in quarantena i file problematici come farebbe la maggior parte dei programmi antivirus, le aziende hanno bisogno di una soluzione che li disinfetti. Un gateway di file sicuro pulisce i file mettendo in quarantena i dati negativi; quindi inserisce i dati positivi in un nuovo modello in modo che possa essere utilizzato dall’utente finale.
Ad esempio, un piccolo studio legale potrebbe inviare un messaggio a un fornitore di assicurazioni, ignaro della presenza di codice dannoso nascosto all’interno del foglio di calcolo Excel. Quando l’utente finale apre il foglio di calcolo, avvia una sessione shell per consentire all’aggressore di attaccare la rete del fornitore di assicurazioni. Ma un gateway di file sicuro scompone quel file in pezzi ed esamina ciascuno di essi. Rimuove il codice dannoso all’interno del file Excel, contrastando direttamente l’attacco in modo che non entri mai nella rete. L’utente finale riceve un messaggio con un nuovo foglio di calcolo Excel che non contiene il codice dannoso.
Abilitazione sia della sicurezza che della produttività
In un altro scenario, un messaggio di posta elettronica legittimo potrebbe contenere un collegamento per un oggetto tecnologico od una informazione di tendenza (vengono sfruttati casi eccezionali del momento come le informazioni sul vaccino Covid) che in realtà rappresentava una minaccia con un comando di shell incorporato. Il gateway di file sicuro elabora direttamente il messaggio, rimuovendo il codice di shell e conserva il messaggio reale. Sanifica i messaggi mentre vengono scaricati sui desktop degli utenti finali, assicurando che gli utenti finali ricevano i file originali indipendentemente da ciò che accade.
Quando l’utente finale riceve i file, questi sono disinfettati al 100% e al sicuro all’interno dell’infrastruttura dell’organizzazione. Un’altra soluzione di sicurezza informatica potrebbe aver bloccato o messo completamente in quarantena il messaggio. Se l’utente finale desidera ottenere le informazioni nel messaggio, deve essere rilasciato dalla quarantena e cancellato dal team di sicurezza.
Con un gateway di file sicuro, i dipendenti di un’azienda possono utilizzare i file senza dover lottare con il team di sicurezza su quali file sono sicuri da usare. Una dashboard consente al personale di sicurezza di vedere quali file sono stati disinfettati. La soluzione consente la produttività dell’azienda senza comprometterne la sicurezza.
Una buona soluzione gateway conserva anche le copie della versione originale e disinfettata in modo che si possa indagare sul tentativo di attacco. Di solito, quando si verificano questi tipi di attacchi, il file viene eseguito sulla macchina dell’utente e si cancella da solo. Ciò impedisce al team di sicurezza di analizzare il file o di capire esattamente cosa ha fatto una volta eseguito. Conservando il file originale, un gateway di file sicuro rende più facile per i team di sicurezza esaminarlo e scoprire dove è entrato nel sito.
Comments