PMI, aziende della filiera e partner tecnologici sono sempre più frequentemente presi di mira dai cybercriminali, che li considerano obiettivi ideali per condurre attacchi informatici sfruttando le difese, spesso meno strutturate, delle organizzazioni di dimensioni ridotte. Gli attaccanti approfittano infatti delle relazioni di fiducia che legano un’organizzazione ai propri partner e fornitori, considerando che l’installazione e l’utilizzo di software o servizi erogati da soggetti esterni presuppongono un rapporto di fiducia circa la loro sicurezza. In questo contesto, piattaforme cloud, software gestionali e qualsiasi altro servizio esterno possono trasformarsi in un vettore di attacco, mettendo a rischio non solo l’organizzazione direttamente compromessa, ma anche tutte le altre aziende appartenenti alla medesima filiera. Il significativo incremento degli attacchi che negli ultimi anni hanno interessato il tessuto produttivo italiano, in particolare nei settori manifatturiero, logistico e dei servizi professionali, evidenzia la crescente diffusione di questa tipologia di minaccia.

Compromettendo un fornitore caratterizzato da una postura di cybersecurity meno solida, un attore malevolo può infatti sfruttare l’anello più debole della supply chain per risalire lungo la catena di fornitura e raggiungere reti più protette, che risulterebbero molto più difficili da attaccare direttamente. In questo modo, la relazione di fiducia tra le organizzazioni diventa essa stessa un vettore di compromissione. La compromissione di un singolo fornitore può quindi propagare rapidamente il rischio a tutti gli altri soggetti della filiera interconnessa. Tra gli obiettivi più frequenti di questa tipologia di attacco figurano i Managed Service Provider (MSP), che, disponendo spesso di un accesso privilegiato alle infrastrutture dei propri clienti, rappresentano un bersaglio particolarmente appetibile per gli aggressori. Per questo motivo, la selezione di tali fornitori dovrebbe essere accompagnata da un’attenta valutazione della solidità delle loro strategie e misure di cybersecurity.

Immagine AI illustrativa della minaccia per la supply chain delle aziende rappresentata dagli attacchi alle vulnerabilità nella catena del software.

Una volta compromessa la catena di fornitura, un attaccante può, ad esempio, introdurre una backdoor all’interno dell’aggiornamento di un software ampiamente diffuso, utilizzandola per lanciare attacchi su larga scala, come la distribuzione di malware o campagne ransomware automatizzate. In questo modo è possibile massimizzare l’impatto dell’attacco, compromettendo un elevato numero di organizzazioni che utilizzano il software interessato.
La possibilità di colpire numerose vittime sfruttando una singola vulnerabilità rende gli attacchi alla supply chain particolarmente vantaggiosi per i cybercriminali, che concentrano sempre più i propri sforzi nell’individuazione di vettori di compromissione all’interno della catena di fornitura e delle dipendenze software vulnerabili. Questo spiega il significativo incremento di questa tipologia di minaccia, osservato negli ultimi anni anche nei confronti delle PMI.

La gestione del rischio associato alle terze parti nella supply chain richiede l’adozione di una serie di best practice, in linea anche con quanto previsto dalla Direttiva NIS2, che attribuisce alla cybersecurity una dimensione sempre più strategica e di governance, estendendone la responsabilità all’intera organizzazione e non al solo reparto IT.
Tra le principali misure rientra la valutazione periodica degli standard di sicurezza dei fornitori, fondamentale per gestire il rischio derivante dall’utilizzo di software di terze parti e dalle dipendenze esterne. È pertanto necessario sottoporre i fornitori a un processo di valutazione rigoroso, volto a verificare la solidità delle loro pratiche di sviluppo e delle misure di sicurezza adottate. Tale valutazione consente di definire i requisiti di cybersecurity che i fornitori devono soddisfare e costituisce un elemento determinante nel processo di selezione e qualificazione dei partner con cui collaborare.

È inoltre opportuno classificare i fornitori in funzione del profilo di rischio associato, tenendo conto sia delle misure di sicurezza adottate al loro interno sia del livello e della profondità di accesso ai dati e ai sistemi dell’organizzazione. Tale classificazione consente di definire priorità e modalità di gestione del rischio coerenti con la criticità di ciascun fornitore. È altresì necessario implementare un monitoraggio continuo dei fornitori, comprendendo anche l’identificazione delle dipendenze open source, che possono risultare maggiormente esposte a vulnerabilità a causa delle limitate risorse disponibili per l’aggiornamento del codice e la correzione tempestiva di nuovi exploit. Occorre infine verificare che il software fornito sia mantenuto attivamente dal produttore, con il rilascio regolare di aggiornamenti e patch di sicurezza finalizzati a mitigare le minacce più recenti.

Un’adeguata gestione delle patch è un altro elemento essenziale per garantire la sicurezza della catena di fornitura del software. Mantenere le versioni software più recenti riduce infatti il periodo di esposizione legato a nuove vulnerabilità emerse. E’ inoltre necessario implementare un monitoraggio continuo delle vulnerabilità e degli asset esposti su internet. Ancora, è importante avere programmi continui di formazione contro phishing e social engineering, dal momento che le credenziali compromesse rappresentano i punti di ingresso più comuni usati dagli attaccanti, così come disporre di backup verificati e di procedure di ripristino che vengano regolarmente testate.

Tra le migliori tecniche per la mitigazione del rischio informatico legato agli attacchi alla catena di fornitura del software vi sono quindi:

  • Implementazione del privilegio minimo con pratiche Zero Trust, per cui è bene assegnare a persone – dipendenti e partner – e software solo e soltanto i permessi di accesso alle risorse aziendali necessarie a svolgere il loro lavoro. Applicazioni e utenti dovranno quindi verificare di continuo la propria identità, ottenendo peraltro l’accesso solo ai sistemi di cui hanno effettiva necessità e implementando l’autenticazione multifattore su tutti gli accessi critici.
  • Segmentazione della rete: si tratta di un’altra tecnica ZTNA (Zero Trust Network Access) che divide i sistemi in sezioni isolate, implementando rigorosi controlli di sicurezza per gli spostamenti tra di esse. Lo ZTNA riduce l’impatto delle violazioni alla catena di fornitura bloccando i movimenti laterali. Software di terze parti e organizzazioni partner non hanno infatti bisogno di godere di un accesso illimitato a ogni angolo della rete dell’azienda partner. La segmentazione della rete consente allora di suddividere il network di un’organizzazione in zone distinte e basate sulle funzioni aziendali. In caso di attacco alla catena del software, è possibile limitare i danni in quanto l’attaccante avrà accesso solo a una parte della rete compromessa, mentre il resto della rete resterà protetto e al sicuro.
  • Assicurarsi che il fornitore segua pratiche DevSecOps che integrano la sicurezza informatica nel ciclo di vita di sviluppo del software. Ciò consente ad esempio di rilevare se l’aggiornamento di un software è stato modificato in modo malevolo. E’ anche possibile migliorare la visibilità sullo sviluppo del software fornito da terzi elaborando una distinta base del software (SBOM, Software Bill of Materials) che garantisca piena tracciabilità di dettagli come origine e versione installata di ogni dipendenza.

Includere infine considerazioni sugli attacchi alla supply chain nello sviluppo dei piani di risposta agli incidenti informatici. Questo potrebbe prevedere ad esempio anche l’esecuzione di nuovo codice in ambienti sandbox, prima della sua effettiva esecuzione, mitigando così il rischio legato alla presenza di eventuali backdoor.