Associati
Introduzione alla sicurezza della Supply Chain
A cura di Cristina Spagnoli
Definizione e importanza nell’economia globale attuale
L’economia attuale, fortemente globalizzata, è basata in modo importante su catene di fornitori appartenenti alle aree più diverse del mondo. Sperimentiamo questo fatto ogni giorno, salendo sulla nostra auto, azionata da componenti elettronici e meccanici provenienti da ogni parte del globo; andando al supermercato, dove oggi è sostanzialmente possibile trovare qualunque cosa; scaricando ed installando un software, prodotto da una software house che potrebbe essere nel quartiere affianco al nostro o dall’altra parte della terra, senza che per noi faccia alcuna differenza. È come se ci trovassimo all’interno di una rete di mutue dipendenze, ognuno facendo affidamento su qualcosa prodotto da qualcun altro. Questo è un concetto che nell’informatica torna spesso: quando si parla di layer di un protocollo, per esempio, ci si riferisce proprio al fatto che, nell’erogazione di un servizio ad un determinato livello, si faccia affidamento sui servizi offerti dal livello sottostante, per, insomma, non dover ogni volta reiventare la ruota.
I servizi offerti oggi racchiudono complessità via via sempre maggiori, ed è pressoché impensabile che una sola azienda racchiuda in sé tutte le competenze necessarie che le consentano di implementare tutto, dalla A alla Z, portandoli fuori dal proprio ambito o dal proprio core business.
In tutto questo come non pensare ai servizi basati sul cloud, che rappresentano oggi una parte importante nella filiera dei fornitori di ogni azienda.
È dunque chiaro che servizi e prodotti offerti dai fornitori rientrano necessariamente all’interno del perimetro di sicurezza aziendale, perimetro i cui contorni sono diventati sempre meno visibili.
Tendenze recenti e rischi in aumento
La tendenza è dunque quella di affidarsi sempre a fornitori esterni per tutto quello che non sia core business. Ma quali rischi per la sicurezza occorre essere pronti a mitigare? È chiaro che i fornitori rappresentano un asset di cui essere perfettamente a conoscenza e per i quali occorre indirizzare le problematiche di sicurezza, come per qualunque altro asset, ma con qualche difficoltà in più: si tratta di un asset sul quale non abbiamo controllo e, a volte, difficilmente individuabile. Ora occorre correlare questa affermazione con la criticità di cui spesso alcuni fornitori sono investiti nella gestione dei nostri servizi, dei nostri prodotti e della nostra vita aziendale, e-mail, gestione dell’identità, sviluppo degli applicativi, gestione dei sistemi e così via - per capire quanto, un problema di sicurezza su uno di questi, possa trasformarsi facilmente in un incubo. In Italia, inoltre, abbiamo migliaia di piccole e piccolissime aziende, che fanno parte di supply chain di aziende molto più grandi, e che sono ancora non sufficientemente mature dal punto di vista della sicurezza, diventando una facile porta di accesso verso le infrastrutture dei loro clienti. Una categoria di fornitori, poi, è particolarmente ambita dagli attaccanti: i Managed Security Service Provider (MSSP). Il motivo della loro appetibilità è facilmente intuibile: hanno le chiavi del regno di molteplici clienti, sono in possesso di dati riservati e approfonditi e un eventuale traffico di rete proveniente dalle loro infrastrutture, proprio in virtù del servizio erogato, sarebbe difficilmente giudicato anomalo.
Il 2023 ha visto l’uscita di diversi report relativi a questo argomento (SonaType, KROLL, KPMG, per citarne alcuni) tutti concordi nel dire che la tendenza degli attacchi alle supply chain è decisamente in crescita, perché si tratta di un business estremamente redditizio, con una amplificazione di impatto enorme (un attacco con successo verso uno di questi, ha impatto su molti) e perché spesso si attacca l’anello debole di una catena di difesa.
Attacchi alla Supply Chain di Rilievo
Le tipologie di attacchi che vedono sfruttare la supply chain come vettore di ingresso per raggiungere le vittime finali sono molteplici. Vediamo di analizzarne alcune sulla base di attacchi rilevanti avvenuti negli ultimi anni.
Compromissione di Software e Firmware: è il caso dell’attacco a SolarWinds del 2020. Gli attaccanti, probabilmente state sponsored, sono stati in grado di alterare il codice di un prodotto SolarWinds, Orion, introducendo una backdoor nel software, che si è poi trasformata in una backdoor nei server dei clienti attraverso i successivi aggiornamenti. Si è trattato di un attacco devastante, sia per la grande diffusione del software e quindi per la mole dei clienti successivamente coinvolti (circa 300.000), che per le tipologie di clienti impattati, che comprendevano decine di grossi nomi (NASA, NSA, ING Direct, US Pentagon, Symantec, TIM giusto per citarne alcune), che per le conseguenze che sui singoli clienti l’attacco ha avuto. È da notare, come nota a margine (ma poi neanche troppo), che ad ottobre 2023, la U.S. Exchange Commission (SEC) ha accusato il CISO di SolarWinds di “frode e carenze di controllo interno in relazione a presunti rischi e vulnerabilità di cybersicurezza noti”, aprendo, di fatto, una stagione del tutto nuova nella gestione delle responsabilità delle figure apicali della sicurezza.
Abuso di Relazioni di Fiducia: il 2 luglio 2021, REvil, una gang ransomware ben conosciuta, attaccò circa un migliaio di Managed Service Provider, sfruttando delle vulnerabilità già scoperte ad aprile di quell’anno, ma la cui remediation non era stata completata, in un software di controllo remoto, Virtual System Administrator (VSA), prodotto dalla statunitense Kaseya. La particolare funzione del software lo poneva in una posizione critica all’interno delle aziende attaccate, sfruttando, di fatto, un trust tra Kaseya, gli MSP ed i loro clienti.
Attacchi ai Componenti Open Source: quello che è successo il 25 ed il 30 dicembre 2022 è significativo per capire come anche la supply chain open-source possa essere utilizzata dagli attaccanti per colpire. Tra queste due date, infatti, sfruttando il meccanismo della gestione delle priorità nelle dipendenze dei pacchetti python (il Python Package Index), alcuni cyber criminali hanno sostituito un pacchetto legittimo del framework di Machine Learning PyTorch, con uno con lo stesso nome, ma malevolo. Malevolo sì, ma quanto? Beh, diremmo molto. Conteneva, infatti, un malware, Triton, specializzato nel manomettere i dispositivi di sicurezza dei sistemi industriali: un report del MIT Technology Review, lo definisce il primo malware progettato per mettere in pericolo vite umane. Quindi, ricapitolando, parliamo di un Framework per il Machine Learning usato come vettore per un malware specializzato in sistemi di sicurezza industriale: i possibili target, dunque, non sono banali.
Furto di Credenziali e Token: il phishing continua a essere un vettore di attacco efficace contro la supply chain. Aziende e fornitori sono frequentemente presi di mira tramite e-mail ingannevoli per rubare credenziali o distribuire malware. Chiaramente se posso ottenere delle credenziali valide per sfruttare una VPN destinata ai fornitori, perché non farlo? Minimo rischio e massimo guadagno, multi-factor authentication permettendo, ovviamente.
L’attacco ad Okta nel 2023 è stato un grave incidente di sicurezza che ha esposto i dati dei clienti e sollevato preoccupazioni significative riguardo alla sicurezza della supply chain IT. Okta è un provider neutrale per la gestione dell’identità, per cui riveste un ruolo centrale per le infrastrutture dei suoi clienti.
Tra il 28 settembre e il 17 ottobre 2023, un threat actor ha ottenuto accesso non autorizzato ai file del sistema di supporto clienti di Okta, utilizzando delle credenziali rubate ad un amministratore. Alcuni di questi file contenevano token di sessione, i quali potevano essere utilizzati per attacchi di session hijacking. Gli attaccanti hanno abusato di queste credenziali per attaccare, con più o meno successo, alcuni dei clienti di Okta. Alcune analisi evidenziano come gli attaccanti abbiano trascorso almeno due settimane di tempo all’interno dell’infrastruttura di Okta. Quella di BeyondTrust in particolare, cliente Okta, sottolinea che il 2 ottobre, il loro team di sicurezza ravvisava dei movimenti sospetti all’interno della propria infrastruttura, da parte di un utente di supporto che utilizzava le credenziali locali di un amministratore Okta. Il 2 ottobre stesso BeyondTrust avvisava quindi Okta, senza che la cosa producesse, almeno apparentemente, alcun effetto, se non la pianificazione di qualche call di allineamento. Questo almeno fino al 19 di ottobre quando, effettivamente, Okta avvisava BeyondTrust di avere subito un breach.
Questo attacco sottolinea l’importanza critica delle misure di sicurezza, in particolare per i fornitori di servizi di identità e autenticazione che, come Okta, svolgono un ruolo fondamentale nella protezione dell’accesso a sistemi e dati aziendali. E sottolinea quanto sia importante non sottovalutare alcun aspetto, alert e segnalazione.
Backdoor in Prodotti Ampiamente Diffusi: un altro attacco emblematico delle possibili implicazioni della compromissione supply chain è quello che ha coinvolto 3CX nel marzo del 2023. 3CX produce un software per audio e video comunicazione, chiamato 3CX Desktop App. Alcune versioni di questo software sono state utilizzate come trojan horse per arrivare a bordo dei computer degli utenti finali e, sostanzialmente, rubare loro dei dati. Come è potuto arrivare l’attaccante all’interno della rete di 3CX ? Compromettendo un’altra supply chain, quella relativa ad un prodotto software, X_Trader, evidentemente utilizzato da qualcuno all’interno dell’infrastruttura di 3CX. Una volta all’interno, l’attaccante è stato in grado di raccogliere credenziali e muoversi lateralmente, fino ad arrivare ai sorgenti del software di 3CX Desktop App e modificarli.
L’ultimo attacco di una certa rilevanza è quello che ha coinvolto la Taiwanese Cyberlink, produttrice di software multimediale e di riconoscimento facciale. In questo caso il threat actor, probabilmente il gruppo Nordcoreano Diamond Sleet (ZINC), è stato in grado di modificare il legittimo installer dell’applicazione CyberLink, includendo codice dannoso che scarica, decifra e carica un payload. Il file, che è stato firmato utilizzando un certificato valido rilasciato a CyberLink Corp., è ospitato su un’infrastruttura di update legittima di proprietà di CyberLink e include controlli per limitare la finestra temporale di esecuzione ed eludere il rilevamento da parte dei prodotti di sicurezza. Fino a questo momento, l’attività malevola ha impattato oltre 100 dispositivi in molti paesi, inclusi Giappone, Taiwan, Canada e Stati Uniti (Fonte Microsoft).
Strategie di Mitigazione
Come si capisce facilmente, dietro la sicurezza della supply chain si nasconde una complessità esponenziale. Come detto, le parti in gioco sono molteplici e non direttamente controllabili. Indubbiamente, ma ci rendiamo conto che attualmente questa sia utopia, sarebbe bene che ogni parte coinvolta nella supply chain fosse consapevole della necessità di avere una postura di sicurezza elevata, in modo da poter garantire sicurezza in maniera atomica e indipendente: a onor del vero, la legislazione europea, ha preso molto seriamente il problema, e sta cercando di indirizzarlo con diversi provvedimenti, anche se con qualche distorsione.
Al di là ed in attesa di questo, tuttavia, occorre predisporre un approccio strategico che farà parte di un percorso di maturità della sicurezza complementare alla messa a punto delle misure di sicurezza interne.
Vediamo quali possono essere alcuni punti su cui basare questo approccio:
Valutazione e Gestione del Rischio: identificare e valutare i rischi per la sicurezza associati con tutti gli elementi della supply chain. Questo include la valutazione dei fornitori, dei prodotti e dei servizi che sono parte della catena di fornitura.
Sicurezza dei Fornitori e dei Partner: sviluppare politiche e procedure per la gestione della sicurezza delle informazioni che coinvolgono fornitori e partner. Questo include contratti che definiscono chiaramente le aspettative in termini di sicurezza delle informazioni e i requisiti per la gestione degli incidenti.
Gestione dei Cambiamenti nella Supply Chain: stabilire processi per gestire i cambiamenti nella supply chain, inclusi i cambiamenti dei fornitori o dei loro prodotti, che potrebbero influenzare la sicurezza delle informazioni.
Continuità Operativa e Resilienza: assicurarsi che ci siano piani di continuità operativa e di ripristino in caso di incidenti che colpiscono la supply chain.
Sicurezza nell’Acquisizione di Prodotti e Servizi: integrare i requisiti di sicurezza nelle specifiche di acquisto dei prodotti e dei servizi.
Monitoraggio e Audit Regolari: monitorare continuamente i fornitori e le loro prestazioni in termini di sicurezza delle informazioni, e condurre audit regolari per garantire il rispetto dei requisiti di sicurezza. Può inoltre essere utile ricorrere ad audit esterni per verificare l’efficacia delle misure di sicurezza implementate nella supply chain.
Gestione delle Vulnerabilità e degli Incidenti: sviluppare e implementare processi per identificare, valutare e mitigare le vulnerabilità, e per gestire e rispondere agli incidenti di sicurezza che coinvolgono la supply chain. Questo processo deve comprendere la verifica dei sorgenti e delle librerie open source che utilizziamo: l’open source ha, infatti, da un lato lo svantaggio di lasciare agli attaccanti la possibilità di modificare sorgenti e dipendenze in modo probabilmente meno controllato, cosa peraltro, come si è visto, accaduta anche col software closed source, ma d’altro canto ha l’enorme vantaggio di permetterci ispezionare i qualsiasi momento ciò che utilizziamo attraverso tool automatici di Static Code Analysis o Software Composition Analysis.
Formazione e Consapevolezza: fornire formazione e aumentare la consapevolezza sulla sicurezza della supply chain tra i dipendenti e i partner per garantire che comprendano le politiche e le procedure.
Risposta agli Incidenti: Preparare e testare piani di risposta agli incidenti per affrontare eventuali violazioni o altri problemi di sicurezza che colpiscono la supply chain.
Best Practices e Standard del Settore
- ISO 28000 - Specifiche per sistemi di gestione della sicurezza nella supply chain
- ISO 27001
- Framework di Cybersecurity del NIST
- NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
Conclusione
In questi anni, in particolare con l’avvento del cloud, abbiamo assistito allo sgretolarsi dei contorni del perimetro da difendere, facendo diventare quest’ultimo un concetto sempre più labile e di difficile identificazione. La supply chain contribuisce in maniera importante a questo sgretolamento, percorrendo un ponte che arriva direttamente al cuore dei nostri sistemi. La sua sicurezza è vitale per ogni azienda che voglia avere una postura di sicurezza avanzata ed una reale gestione del rischio.