Prevenzione degli attacchi alla catena di approvvigionamento

La sicurezza della catena di approvvigionamento è una preoccupazione crescente in un panorama geopolitico sempre più complicato. La maggior parte delle organizzazioni collabora con terze parti, spesso in paesi diversi, per gestire i propri sistemi e creare, produrre e distribuire i prodotti. Tuttavia, ciò significa che la vulnerabilità della catena di approvvigionamento è una minaccia reale che potrebbe influire sulle operazioni di un'azienda. Il problema è particolarmente pertinente ora che le aziende si affidano sempre più ai servizi cloud come quelli di Open AI e Meta, che possono tutti creare minacce significative.

Molti paesi stanno ora inserendo all'ordine del giorno nazionale la gestione sicura della catena di approvvigionamento, approvando raccomandazioni e leggi per garantire l'integrità di queste reti globali cruciali. Tuttavia, resta alle aziende l'onere di gestire in modo efficace le reti di fornitura, soprattutto quando molte funzioni aziendali sono gestite online e nel cloud.

Esaminiamo quali sono le vulnerabilità della catena di approvvigionamento più critiche nell'ambiente aziendale odierno e come mitigare questi rischi.

Che cos'è un attacco alla catena di approvvigionamento?

Gli attacchi alla catena di approvvigionamento sono minacce informatiche specifiche che vedono gli utenti malintenzionati violare la rete di un'organizzazione sfruttando le vulnerabilità nella relativa catena di approvvigionamento. Sebbene la maggior parte delle aziende debba collaborare con fornitori di terze parti, questi fornitori esterni spesso richiedono dati sensibili all'azienda per integrarli nei propri sistemi. Se il fornitore viene compromesso, anche tutti i suoi clienti, le aziende con cui lavorano, potrebbero subire violazioni dei dati .

Tipi di attacchi informatici alla catena di approvvigionamento

Un attacco alla catena di approvvigionamento può presentarsi in molte forme, a seconda del punto esatto della catena e di come un utente malintenzionato decide di prendere di mira un'azienda. Alcuni esempi di attacchi alla catena di approvvigionamento sono:

• Malware : molti attacchi alla catena di approvvigionamento vengono eseguiti tramite virus, ransomware e altri software dannosi.
• Attacchi di phishing : possono comportare l'utilizzo di tecniche di ingegneria sociale per manipolare i dipendenti di un'azienda e fargli rivelare dati sensibili o credenziali utente.
• Distributed Denial of Service (DDoS) : gli attacchi DDoS bloccano la rete di un'organizzazione con traffico intenso, causando gravi interruzioni che bloccano le catene di approvvigionamento.
• Fornitori compromettenti : in questo caso, la sicurezza della catena di approvvigionamento viene compromessa prendendo di mira i punti deboli nelle reti di fornitori di un'azienda.
• Frode con i fornitori : i fornitori inaffidabili possono offrire prodotti e servizi con la sicurezza della catena di approvvigionamento compromessa.
• Manomissione del software : gli utenti malintenzionati possono manipolare il software autentico, introducendo vulnerabilità che possono essere successivamente sfruttate per eseguire attacchi.
• Manipolazione dei dati : utenti malintenzionati falsificano di proposito i dati all'interno della catena di approvvigionamento di un'azienda.
• Violazioni di rete : compromettono le reti, o i dispositivi interconnessi, tra fornitori e client; questo potrebbe includere dispositivi IoT e hardware di rete.

Vulnerabilità della catena di approvvigionamento

Man mano che le catene di approvvigionamento diventano sempre più complicate, c'è un corrispondente aumento delle sfide della sicurezza informatica nelle catene di approvvigionamento. Ecco alcuni dei problemi più urgenti nella gestione sicura della catena di approvvigionamento odierna:

1. Prestazioni del fornitore scadenti, a causa della dipendenza politica o finanziaria o dell'esposizione a calamità naturali.
2. Pianificazione della domanda complessa, derivante dall'incapacità di prevedere con precisione la domanda.
3. Carenza di manodopera qualificata a livello globale, aspetto critico per la comprensione del monitoraggio e delle migliori pratiche della sicurezza della catena di approvvigionamento.
4. Un'economia volatile con aumento dell'inflazione e prezzi prevedibili rende difficile negoziare con i fornitori e gestire efficacemente le scorte.
5. Rete di sanzioni e normative globali e locali difficile da navigare.
6. Le tensioni geopolitiche possono interrompere o complicare le catene di approvvigionamento.
7. Potenziale danno reputazionale dovuto a pratiche ESG (ambientali, sociali e di governance) inferiori alla media tra i fornitori.
8. Potenziali catastrofi naturali dovute ai cambiamenti climatici.
9. Aumento dei rischi informatici derivanti da un eccessivo affidamento al cloud e ad altre tecnologie digitali tra fornitori e organizzazioni.

Employees e la vulnerabilità della catena di approvvigionamento

I dipendenti dovrebbero rappresentare una linea di difesa critica nella prevenzione degli attacchi alla catena di approvvigionamento per le aziende. Possono avere accesso ai dati sensibili di un'azienda o alle credenziali di accesso che concedono l'accesso a questi dati. Per questo motivo, alcuni attacchi alla catena di approvvigionamento prendono di mira i dipendenti e li trasformano in vettori di attacco inconsapevoli. Questi attacchi utilizzano spesso e-mail di phishing e social engineering per accedere alla rete di un fornitore di terze parti e infiltrarsi nella rete dell'azienda di destinazione.

Per questo motivo, è essenziale che le aziende e i fornitori che lavorano all'interno della catena di approvvigionamento garantiscano che i dipendenti comprendano le best practice per la sicurezza della catena di approvvigionamento. Questo protegge l'azienda e i suoi clienti.

Molte aziende implementano rigorosi programmi di sensibilizzazione dei dipendenti nell'ambito delle strategie di resilienza della catena di approvvigionamento. Questi possono includere:

• Esempi reali per illustrare come funzionano gli attacchi alla catena di approvvigionamento.
• Truffe di phishing e tecniche di ingegneria sociale comuni.
• Formazione interattiva per migliorare l'apprendimento.
• Minacce specifiche, come il malware .
• Implementazione del controllo degli accessi in modo che i dipendenti sappiano chi dovrebbe avere accesso a quali dati.
• Imparare a lavorare in sicurezza con i fornitori di terze parti, ad esempio stabilendo i requisiti di sicurezza e conducendo controlli periodici.
• Come gestire e condividere in modo appropriato i dati sensibili, inclusa la verifica delle identità.
• L'importanza di metodi di comunicazione protetti.

Kaspersky offre diversi programmi di formazione e strumenti che i fornitori possono trovare utili per aumentare la consapevolezza dei dipendenti in merito alla sicurezza informatica nelle catene di approvvigionamento. Ad esempio, Kaspersky Security Awareness Tool valuta le capacità di sicurezza informatica dei dipendenti, mentre la Kaspersky Automated Security Awareness Platform offre preziose conoscenze sulla mitigazione delle minacce informatiche come il phishing e sulla prevenzione dei danni reputazionali.

Passaggi chiave per la sicurezza della catena di approvvigionamento

Le aziende possono eseguire diverse operazioni per potenziare la sicurezza della catena di approvvigionamento all'interno delle proprie attività. Di seguito sono riportate alcune delle azioni da intraprendere più consigliate:

1. Implementare gli honeytoken, che agiscono come esche in caso di attacchi e avvisano le organizzazioni dei tentativi di violazione.
2. Utilizzare una solida soluzione di protezione cloud.
3. Utilizzare un framework di gestione degli accessi privilegiati efficace per impedire che la sequenza di attacchi comune si sposti lateralmente attraverso una rete alla ricerca di account con privilegi per accedere ai dati sensibili; questo può includere il rilevamento di fughe di notizie di terze parti, l'implementazione di Identity Access Management e la crittografia di tutti i dati interni .
4. Istruire il personale sulle minacce comuni alla sicurezza della catena di approvvigionamento, inclusi phishing, ingegneria sociale, attacchi DDoS e ransomware.
5. Implementare un'architettura Zero Trust, che consente l'accesso alla proprietà intellettuale solo dopo che le richieste di connessione hanno superato rigorose valutazioni: questo è utile anche per il lavoro a distanza.
6. Identificare e mitigare le potenziali minacce interne: sebbene il coinvolgimento regolare e impegnativo dei dipendenti e una cultura del lavoro aperta possano essere utili per identificare i problemi a livello aziendale prima che i dipendenti diventino ostili e potenzialmente dannosi.
7. Identificare le risorse vulnerabili parlando con i fornitori e mappando i potenziali vettori di attacco.
8. Limitare l'accesso ai dati sensibili riducendo al minimo gli accessi privilegiati e registrare tutti i dipendenti e i fornitori che hanno accesso ai dati sensibili.
9. Assicurarsi che i fornitori dispongano di misure di sicurezza interne delineando standard e requisiti per l'accesso e l'utilizzo dei dati nei contratti: specificare esplicitamente che l'organizzazione deve essere informata se il fornitore subisce una violazione dei dati.
10. Diversificare i fornitori per mitigare la potenziale vulnerabilità della catena di approvvigionamento.
11. Presupporre che le violazioni dei dati siano inevitabili e proteggere dipendenti, processi e dispositivi da manomissioni, ad esempio l'utilizzo di software antivirus, autenticazione a più fattori e soluzioni di monitoraggio della superficie di attacco.
12. Comprendere in che modo la carenza di manodopera a livello globale può influire sulle catene di approvvigionamento e trovare strategie di resilienza della catena di approvvigionamento a tale scopo.

Legalizzazione e sicurezza della catena di approvvigionamento

Sebbene la maggior parte delle considerazioni sulla catena di approvvigionamento si concentri sulle aziende, molti governi stanno prendendo atto e implementando misure di sicurezza a livello nazionale. Questo perché i problemi della catena di approvvigionamento possono avere importanti implicazioni a livello nazionale.

Di seguito è riportata una panoramica di come alcuni paesi si stanno muovendo per migliorare la sicurezza della catena di approvvigionamento:

L'UE

L'UE si sta adoperando per potenziare la gestione sicura della catena di approvvigionamento con la nuova direttiva NIS2 . Il documento delinea tre meccanismi per rafforzare la sicurezza della catena di approvvigionamento: valutazione coordinata dei rischi a livello di UE; valutazione del rischio nazionale a livello nazionale per gli Stati membri; e valutazioni interne dei rischi per le aziende.

La conformità con la direttiva NIS2 può richiedere alle aziende di:

• Considerare le vulnerabilità per ciascun fornitore, comprese le pratiche di sicurezza informatica.
• condurre le valutazioni dei rischi delle catene di approvvigionamento critiche come illustrato all'articolo 22, paragrafo 1, e – cosa più importante – tenere conto dei risultati; sanzioni pecuniarie possono derivare se gli Stati membri/le imprese non rispettano questa indicazione.
• Stabilire e aggiornare un elenco di operatori essenziali e assicurarsi che siano conformi ai requisiti della direttiva.
• Comprendere le strategie nazionali di sicurezza informatica.
• Comprendere l'ambito della rete CSIRT dell'UE, in grado di monitorare le risorse abilitate a Internet.
• Prestare attenzione all'accento posto dalla direttiva sui fornitori di software per l'archiviazione e l'elaborazione dei dati, la gestione della sicurezza informatica e gli editori di software.
• Identificare i rischi e attuare misure di mitigazione appropriate.
• Avere un processo chiaro per segnalare gli incidenti e farlo in modo tempestivo
• Collaborare con i fornitori per identificare e mitigare i rischi per la sicurezza informatica.
• Stabilire le aspettative per la sicurezza della catena di approvvigionamento con i fornitori ed eseguire audit periodici per verificarne la conformità.

Il Regno Unito

Il Regno Unito attribuisce grande importanza alla sicurezza informatica, in particolare nelle catene di approvvigionamento. Il National Cyber Security Center ha creato un Cyber Assessment Framework che delinea le strategie di mitigazione delle minacce informatiche. Il principio 8 delle Linee guida sulla sicurezza nel cloud del framework si riferisce specificamente alle best practice per la sicurezza della catena di approvvigionamento e ai servizi cloud, che sono particolarmente vulnerabili agli attacchi.

I seguenti suggerimenti suggeriscono alle aziende di comprendere:

• Come i dati vengono condivisi e utilizzati dai fornitori
• Se i dati dei clienti ne fanno parte
• Come hardware e software del fornitore dispongono di misure di sicurezza appropriate
• Come valutare il rischio di un fornitore
• Come rafforzare la conformità della sicurezza con i fornitori

Per garantire Quanto sopra, le linee guida del governo suggeriscono diversi approcci di implementazione durante l'utilizzo dei servizi cloud, tra cui:

• Informazioni sulla separazione nei servizi cloud, che possono essere basati su prodotti IaaS o PaaS di terze parti.
• È necessario considerare la sensibilità dei dati quando si effettuano le valutazioni dei rischi, in particolare quando si utilizzano servizi di terze parti.
• Osservare il modo in cui i servizi di terze parti descrivono la relazione di condivisione dei dati e garantire che sia conforme al GDPR.

Suggerimenti per le best practice per prevenire gli attacchi alla catena di approvvigionamento

Sebbene non sia possibile eliminare le minacce alla sicurezza della catena di approvvigionamento, esistono modi per mitigare i rischi, in particolare prestando attenzione ai fornitori. Può essere utile per le organizzazioni:

1. Condurre e monitorare periodicamente le valutazioni dei rischi della catena di approvvigionamento per i fornitori di terze parti.
2. Identificare e mitigare eventuali violazioni o fughe di dati di terze parti che potrebbero causare attacchi alla catena di approvvigionamento.
3. Descrivere un profilo di rischio per ciascun fornitore, quindi raggruppare i fornitori in base al livello/tipo di minaccia.
4. Classificare i fornitori in base alla vulnerabilità, all'accesso ai dati e all'impatto sull'azienda.
5. Valutare la gestione della catena di approvvigionamento con sondaggi e visite in loco.
6. Identificare le vulnerabilità all'interno dei sistemi di un fornitore e richiedere miglioramenti.
7. Valutare la sicurezza dei prodotti e dei servizi forniti dai fornitori.

Anche l'utilizzo di programmi antivirus e di protezione affidabili, come Kaspersky Hybrid Cloud Security , dovrebbe far parte della prima linea di difesa per le catene di approvvigionamento.

Articoli correlati:

• Che cos'è il furto di dati e come prevenirlo
• Come prevenire gli attacchi informatici
• Come proteggere la privacy online personale

Prodotti correlati:

• Kaspersky Hybrid Cloud Security
• Kaspersky Next
• Kaspersky Managed Detection and Response