Come combatteremo le vulnerabilità in futuro?

Reading time: 10 min

    Published

  • 11/2022
Craig Houston

La supply chain è in continua evoluzione e parallelamente emergono nuove e pericolose vulnerabilità. Per chiarire meglio quali siano e capire come difendersi, Neeraj Singh, Research and Development Manager di WithSecure, condivide la sua opinione di esperto su come possiamo proteggere noi stessi e proteggerci l'un l'altro. 

Secondo te, Neeraj, in che modo si è sviluppata ed è cambiata la supply chain negli ultimi dieci anni?

Il decennio scorso ha visto l'introduzione e l'implementazione dell'automazione nella supply chain. Negli ultimi anni, le organizzazioni si sono rivolte sempre più a società di software che forniscono strumenti di gestione per scopi diversi, come infrastrutture IT, sistemi di pagamento, applicazioni web, servizi cloud e archiviazione dati. Di conseguenza, oggi le aziende fanno affidamento su questi fornitori per gestire e automatizzare le loro operazioni.

Quali effetti hanno avuto questi cambiamenti dal punto di vista della sicurezza?

La maggior parte delle aziende ha scarsa o nessuna visibilità sulla propria supply chain software. Per operare in modo snello, spesso le aziende affidano in outsourcing alcune parti del business e questo, a sua volta, fornisce al software di terze parti le autorizzazioni per gestire l'infrastruttura.

In alcuni casi, questo software di terze parti ottiene un accesso illimitato ai dati archiviati. Anche se le organizzazioni hanno un solido profilo di sicurezza, la dipendenza dall'outsourcing, l'uso di strumenti e software di terze parti e la concessione dell'accesso a software di terze parti sono diventati punti deboli per la sicurezza.

Per informazioni esclusive e insight di esperti sulla supply chain, iscriviti qui: https://www.withsecure.com/en/expertise/campaigns/supply-chain-security

Quali vulnerabilità sono emerse da questa nuova supply chain?

Sono tante, quindi forse è più facile suddividerle in tre aree.

1. Exploit di software

Gli esempi più famosi riguardano l'exploit del software di fornitura di servizi MSP. Nei casi di SolarWinds e Kaseya, abbiamo osservato l'exploit del software che ha portato alla distribuzione di backdoor e ransomware. L'exploit di software noti offre agli attaccanti l'opportunità di inserire backdoor in organizzazioni in cui altrimenti sarebbe difficile penetrare.

2. Sottrazione di dati, credenziali e certificati

L'exploit MEDOC è un esempio di sfruttamento di un software attraverso credenziali rubate. Il threat actor ha poi manipolato il server di aggiornamento trasformandolo in un server di comando e controllo e ha rilasciato il distruttivo ransomware NotPetya nei sistemi.

Un altro esempio di attacco basato su credenziali sottratte è la contaminazione del software di pulizia dei sistemi CCcleaner. Le credenziali sottratte sono state utilizzate per accedere a un desktop remoto TeamViewer in un sistema, che poi è stato impiegato per spostarsi lateralmente e installare malware personalizzato.

3. Attacchi basati sul web

Un altro esempio è l'attacco Megacart basato sul web del 2018, in cui sono stati utilizzati JavaScript e skimmer di carte digitali personalizzati caricati da un server web compromesso.

Un'organizzazione può operare con centinaia di fornitori affidabili e le vulnerabilità di questi fornitori possono spaziare dal software ai siti web. Questo significa che anche l'impatto può variare, dal malware alle backdoor o dal furto di informazioni al ransomware. Alcune di queste violazioni possono riguardare Paesi o organizzazioni specifiche; MEDOC si è diffuso maggiormente in Ucraina, mentre il caso ShadowHammer ha preso di mira indirizzi MAC specifici.  

Quali meritano maggiore attenzione da parte delle aziende?

Gli attacchi alla supply chain hanno avuto un impatto considerevole in passato e ogni tentativo di violazione deve essere preso sul serio. Quando un attaccante riesce a inserire un malware o una backdoor nei sistemi con privilegi, non ci sono limiti a ciò che può fare.

In che modo le aziende possono gestire queste vulnerabilità per alzare al massimo le difese?

Prima di tutto, occorre esaminare attentamente i fornitori e studiare il loro profilo di sicurezza, quindi discutere e implementare le best practice definite. È anche importante rivedere regolarmente le autorizzazioni e i privilegi concessi ai fornitori terzi.

Inoltre, non potendo fare affidamento sulla sicurezza dei fornitori, è meglio dotarsi di una propria difesa, come Detection and Response, contro gli attacchi. 

Anche esercizi di Red Teaming regolari che simulano attacchi alla supply chain possono aiutare a comprendere meglio l'esposizione corrente e le falle nella protezione. Gli attacchi simulati possono essere utilizzati anche per predisporre un piano di mitigazione di potenziali attacchi futuri.  

Sei parte del problema? Scoprilo in questo articolo: https://www.withsecure.com/gb-en/expertise/resources/am-i-part-of-the-problem

In ottica futura, siamo in grado di prevedere le vulnerabilità e proteggerci in anticipo?

Ciò che abbiamo detto finora mette in evidenza il fatto che il rilevamento e la prevenzione nella supply chain sono un nodo difficile da sciogliere. Per prevenire gli attacchi alla supply chain bisogna capire in che modo è possibile compromettere lo sviluppo del software o le pipeline di distribuzione o quando le vittime utilizzano un software compromesso.

I modelli di machine learning possono essere utili per identificare i comportamenti insoliti per un'applicazione affidabile, come la connessione a una rete insolita o sospetta, l'accesso a un file a cui solitamente non accede, l'avvio di un processo insolito o il caricamento di una DLL insolita.

Per una protezione proattiva, è bene assicurarsi sempre che gli account forniti a terze parti o a un dominio dell'organizzazione dispongano di controlli di accesso basati su ruoli e solo dei permessi e privilegi di cui necessitano. È anche importante utilizzare un controllo dell'integrità dei dati durante l'installazione di software e aggiornamenti e verificare che i nuovi software o aggiornamenti non consentano l'esecuzione di software non autorizzati.

Inoltre, per lo sviluppo di codice interno, è consigliabile impiegare uno strumento di analisi della composizione del software (SCA) che sia in grado di rilevare i pacchetti open-source dannosi e mostrare avvisi quando gli sviluppatori utilizzano librerie vulnerabili. Questi suggerimenti, per quanto completi, non possono essere considerati una bacchetta magica contro gli attacchi alla supply chains.

Infine, quali altri cambiamenti nella supply chain riesci a intravedere per i prossimi anni?

Gli attacchi alla supply chain non sono un fenomeno passeggero. Rappresenteranno sempre potenziali vettori di attacco contro le organizzazioni. Con la pandemia Covid-19, le organizzazioni si sono orientate verso soluzioni basate sul cloud piuttosto che su soluzioni on-premise. Questo rappresenta un'opportunità per gli attaccanti, dato che questa nuova modalità di lavoro prevede l'inclusione di più fornitori terzi. 

Anche se gli attacchi alla supply chain basati su hardware o IoT sono rari, credo che potrebbero aumentare perché sono difficili da rilevare e mitigare. Questi attacchi possono avere effetti tanto devastanti quanto quelli basati su software, quindi conviene proteggersi.

Scopri cosa può fare il portafoglio WithSecure Elements per la tua gestione delle vulnerabilità qui: Elements Vulnerability Management.

Image credit – Lianhao Qu, Unsplash