È l’incubo di ogni azienda… ricevere un’email da un corriere riguardo un eventuale ritardo sulla consegna. Dopo aver seguito un link, ed aver effettuato l’accesso al portale, si scopre che nessuna consegna è stata programmata. Si pensa ad un semplice errore e si prosegue la giornata lavorativa. Di media, servono 197 giorni per individuare il link responsabile dell’attacco che ha causato il furto di credenziali.
Scoprire che le difese aziendali sono state violate (con una perdita media di 3,86 milioni di dollari per incidente) è già una brutta notizia, ma sapere che l’attacco ha abusato della tua fiducia è ancora peggio. Questo è ciò che succede quando un fornitore o un partner viene usato contro di te. Sfortunatamente questo modus operandi è così comune che è una delle preoccupazioni principali dei CISO.
Poiché le aziende non operano da sole, la comunicazione fidata è un requisito fondamentale del business. Anche i CISO che gestiscono perimetri altamente sicuri sono sempre più preoccupati per l’aumento del 78% recentemente registrato nel numero di attacchi alla supply chain. E dato che questa tipologia di attacchi ormai sfiora il 50% degli attacchi complessivi, è tempo che i modelli di sicurezza statica evolvano. Indipendentemente dal livello di sicurezza della vostra azienda, la crescente complessità delle supply chain obbliga le imprese a muoversi oltre i confini prestabiliti.
Purtroppo, un numero crescente di violazioni viene attribuito alle vulnerabilità dei fornitori. A gennaio, Managed Health Services of Indiana ha annunciato che un attacco di phishing contro un fornitore ha portato al furto di 31.000 cartelle cliniche dei pazienti. Più recentemente, Wipro, un noto fornitore di servizi tecnologici, è stato usato per attaccare i suoi clienti. Anche in questo caso, il punto di ingresso era una truffa phishing rivolta ai dipendenti, le loro caselle di posta sono state utilizzate contro i clienti finali nell’ambito di uno schema di frode basato sulle carte regalo.
Il rischio legato agli attacchi business email compromise
Considerati i molteplici modelli di business che possono essere gestiti via Internet, garantire la sicurezza delle mail è un aspetto fondamentale della strategia di sicurezza. Senza considerare il phishing che è stata la tecnica d’attacco più utilizzata nel 2018, responsabile di quasi il 40% di tutti i data breach, le mail non sicure sono invece imputabili del 60% delle applicazioni web compromesse. Applicando questo schema a tutti i partner commerciali, è chiaro che la sicurezza della posta elettronica va oltre la singola azienda, dando origine alla “supply chain email security”.
Mentre la sicurezza informatica ha compiuto passi significativi nell’ostacolare le campagne di attacco e-mail generalizzate, gli attacchi di business email compromise (BEC) sono più difficili da rilevare e stanno aumentando vertiginosamente. E poiché l’email che finge di provenire da un partner di fiducia ha maggiori probabilità di ingannare l’obiettivo, è il momento di fare luce sul vettore dell’abuso della supply chain.
Purtroppo, la maggior parte delle aziende non conosce tutti i propri fornitori e partner. Solo il 35% delle imprese afferma infatti di essere in grado di identificare i fornitori usuali, figuriamoci quelli usati più raramente che spesso sono proprio le PMI, uno degli obiettivi primari dei cyber criminali.
Le 10 azioni per proteggere la Supply chain
In una qualche misura, la protezione inizia a casa e ci sono alcune azioni che le aziende possono intraprendere per proteggersi da sé stessi e da attacchi email banali della supply chain.
1. Autentificazione dell’email – Autenticare e inviare email in sicurezza per consentire ai partner di verificare la legittimità della comunicazione.
2. Verifica dell’email – Consentire la verifica dell’email in entrata per garantire che i messaggi ricevuti da fornitori e partner chiave siano legittimi.
3. Gestione dei fornitori – catalogazione di fornitori e partner noti, rafforzata dall’identificazione automatica delle relazioni più fidate (tra cui i servizi di “shadow IT”)
4. Protezione dei dipendenti più vulnerabili – Identificare i dipendenti e i dipartimenti con gli accessi privilegiati per aumentarne le difese (per esempio, protezione lookalike, limitazione web e quarantene più rigide).
5. Contratti con terze parti – Aggiornare i contratti per soddisfare i requisiti di sicurezza relativi all’email.
6. Protezione Cloud – Valutare l’utilizzo aziendale dei servizi cloud e implementare il monitoraggio e la protezione degli accessi.
7. Off-Boarding efficace – Aggiungere processi che si occupino dell’off-boarding per minimizzare i rischi delle supply chain di lungo periodo.
8. Formazione di sensibilizzazione alla sicurezza – Adottare una formazione di sensibilizzazione alla sicurezza incentrata in modo specifico sui fornitori conosciuti.
9. Protezione del gateway – Configurare il filtraggio in entrata e la prevenzione della perdita di dati per migliorare la protezione contro i “finti” fornitori e partner.
10. Piano di risposta agli incidenti – Aggiornare il piano di risposta agli incidenti per includere la supply chain di fiducia.
Qualsiasi azienda preoccupata per lo stato della supply chain email security è esortata a coinvolgere i propri team InfoSec e Risk per attuare le difese necessarie. Indipendentemente dall’efficacia delle difese attuali, la sicurezza della supply chain richiede una maggiore integrazione dei dati e dei servizi rispetto a quanto le aziende siano abituate a fare con i propri asset. La natura dinamica delle moderne supply chain significa che i tempi delle semplici whitelist, blacklist e regole di instradamento personalizzate sono contati. La prossima frontiera è prendere la difesa dal perimetro e applicarla a tutti i fornitori e partner.
di J. Trent Adams, Director of Ecosystem Security di Proofpoint
