VENDOR POINT OF VIEW

Dati aziendali: mettiamoli in sicurezza per mitigare i rischi di attacchi alla supply chain

Il rapporto di fiducia fra l'organizzazione e la sua supply chain, che abilita l’accesso a software e dati aziendali, può essere uno stimolo per il cyber crime. Luca Bonora di Cyberoo spiega come evitare di essere vittima di un attacco [...]
convegno ANRA AI
  1. Home
  2. Vendor Point of View
  3. Dati aziendali: mettiamoli in sicurezza per mitigare i rischi di attacchi alla supply chain

Spesso non ci si pensa, ma quelle tra un’organizzazione e la sua supply chain possono essere relazioni davvero molto pericolose per i dati aziendali: questo perché sono spesso basate sulla fiducia ed è proprio questo l’elemento che il cyber crime sfrutta per sferrare gli attacchi. Una supply chain è composta da numerose realtà che, fornendo prodotti o servizi, contribuiscono a completare la filiera produttiva, dalla ricezione delle materie prime alla consegna del prodotto finito. Ciascuna di queste rappresenta una potenziale testa di ponte da cui sferrare un attacco all’organizzazione. Ma allora, come fare per mitigare i rischi di possibili attacchi alla supply chain e mettere in sicurezza i dati aziendali?

La sicurezza arriva dalla certificazione

Anzitutto sarebbe bene lavorare con aziende certificate, che possano dimostrare che fanno tutto il possibile per raggiungere il massimo livello di sicurezza che gli è consentito”, afferma Luca Bonora Head of Business Developer Manager di Cyberoo. “Questo, purtroppo, non assicura che non possano essere fonte di rischio, ma limita molto le possibilità che ciò accada. Per altro, una grande enterprise deve essere comunque in grado di potersi accorgere se è in atto un attacco e da dove è partito. Deve usare soluzioni che le permettano una visione globale, di capire che c’è una minaccia e di bloccarla prima che diventi un problema”.

In pratica, la supply chain rappresenta una rilevante potenziale fonte di attacco, ma le precauzioni da prendere dovrebbero rientrare all’interno di una più ampia strategia di cybersecurity: un piano che operi in modo più generalizzato per mettere al sicuro i dati aziendali e che si basi su chiari processi e su una gestione degli accessi che stabilisca chiaramente chi può fare cosa. Soprattutto, deve offrire la possibilità di verificare in tempo reale se sono in atto minacce o attacchi.

Un’attività di questo tipo si chiama detection – puntualizza Luca Bonora – e assieme alla response è uno dei due pillar su cui poggiano tutti i framework di sicurezza. Bisogna capire prima possibile se c’è problema, il quale andrà analizzato per trovare un rimedio nel più breve tempo possibile. In altre parole, abbiamo creato il più classico modello di un servizio MDR, che si basa appunto su detection, analysis e response, e che sempre più spesso rappresenta la base di un sistema di protezione dell’azienda”.

CLICCA QUI per scaricare il White Paper: "Security As A Service"

 

Attenzione alle anomalie

La security all’interno di un’organizzazione è assicurata anzitutto da pratiche e politiche di comportamento che possono variare da impresa a impresa ma che, attraverso l’uso di framework standard, fanno capo a basi comuni. Perché tali politiche abbiano successo è necessario che le persone siano adeguatamente formate: “La formazione del personale nei confronti della cybersecurity è essenziale – sottolinea Luca Bonora – e questo sia per la grande organizzazione, sia per tutte le realtà che costituiscono la supply chain. In questo modo, nell’uso dei propri dispositivi IT, le persone seguono una sorta di standard comportamentale. Da questa “norma” è possibile dedurre dei modelli grazie all’impiego di tecnologie basate su intelligenza artificiale (AI) e machine learning. Nel momento in cui si nota un comportamento che si distanzia in modo evidente dallo standard, tale anomalia viene segnalata in tempo reale in modo da prendere al più preso le giuste contromisure. La velocità è fondamentale per evitare danni importanti”.

Eliminare tutte le vulnerabilità

Solitamente, un attacco alla supply chain inizia con un’azione di advanced persistent threat (ATP) che viene lanciata per determinare il punto più debole della catena. Spesso, accade che questa debolezza sia rappresentata da una vulnerabilità di cui non si era a conoscenza.

Uno dei consigli che viene dato con sempre maggiore frequenza alle aziende è di effettuare un vulnerability assessment. “Molte lo fanno – sostiene Luca Bonora – ma si limitano a eseguirlo una volta l’anno. Però, il vulnerability assessment è una sorta di fotografia e, quindi, riporta la situazione in un dato momento. Così se si scopre di avere una vulnerabilità la si risolve e si pensa di essere protetti. Tuttavia, la situazione può cambiare il giorno successivo. In pratica, per essere davvero sicuri di non avere punti vulnerabili dovrebbe essere effettuato un vulnerability assessment praticamente tutti i giorni, perché la superficie di attacco cambia di ora in ora, di minuto in minuto. Siccome questa non è una via praticabile, si può sfruttare l’opportunità offerta da alcuni MDR, che permettono di eseguire un continuous scanning dell’infrastruttura. Così si ha sempre la certezza di poter agire in modo tempestivo nel caso di comportamenti anomali”.

Scandagliare il dark web

Un aspetto che enfatizza Luca Bonora per cercare di ridurre gli attacchi che possono arrivare dalla supply chain è di alzare il livello di attenzione all’interno di Internet. In altre parole, sarebbe bene verificare la presenza nel dark web di informazioni che riguardano l’organizzazione. Di primo acchito si può pensare che se sono in vendita dei dati esfiltrati vuol dire che si è già stati attaccati e quindi poco si può fare. “Non è del tutto vero – dice Luca Bonora – perché sapere della presenza di kit con l’elenco dei server e gli indirizzi IP pronti per essere venduti allo scopo di attaccare una determinata azienda consente di agire e prendere le adeguate contromisure. Scoprire attraverso la threat intelligence che sono disponibili login e password per entrare in VPN permette di modificare la configurazione e impedire l’accesso. Tali dati sono solitamente ottenuti tramite un bot o un APT che esegue una scansione in automatico, cercando di guardare com’è fatta una rete. Ciò significa che i dati non sono stati carpiti per essere usati in un attacco, ma per essere venduti. Quindi, tutto sommato, il danno è relativo, l’importante è fare in modo che nessuno li utilizzi per entrare nell’azienda con scopi illeciti”.

Una protezione che arriva sia dall’interno sia dall’esterno

Dalle parole di Luca Bonora risulta evidente come per innalzare il livello di protezione sia necessario porre molta attenzione sia all’interno sia all’esterno dell’azienda. “Così facendo – conclude il manager di Cyberoo – si mitigano i rischi e si riducono le opportunità di accesso ai dati aziendali che possono arrivare un po’ dappertutto, supply chain compresa.

in collaborazione con Cyberoo

FacebookTwitterLinkedIn
FacebookTwitterLinkedIn