In un mondo in cui gli ecosistemi aziendali sono sempre più connessi, le catene di approvvigionamento sono diventate un punto focale per i cyber attacchi.
Le minacce via email rappresentano un fattore di rischio significativo, perché gli attori delle minacce sono pronti a sfruttare a proprio vantaggio gli account di posta compromessi. Ogni mese, l’80% dei clienti di Proofpoint subisce attacchi che hanno origine da account email compromessi di vendor, terze parti o fornitori.
Conosciuti come “supplier account compromise” o “vendor email compromise”, questi attacchi comportano l’infiltrazione da parte degli attori delle minacce nelle comunicazioni aziendali tra partner fidati, in modo da poter lanciare attacchi interni ed esterni, con l’obiettivo finale di sottrarre denaro, dati, distribuire malware o semplicemente creare caos.
Indice degli argomenti
La posta in gioco
Gli attacchi che compromettono la supply chain possono essere costosi per le aziende. IBM, nel suo ultimo Cost of a Data Breach Report, afferma che il costo totale medio di un attacco informatico che coinvolge la catena di approvvigionamento è di 4,76 milioni di dollari. Si tratta di una cifra superiore di quasi il 12% rispetto al costo di un incidente che non la coinvolge.
Oltre alle implicazioni finanziarie, gli account compromessi possono condurre a:
- truffe di phishing che portano a un numero ancora maggiore di account compromessi;
- danni alla reputazione e al marchio;
- complesse responsabilità legali tra partner commerciali.
Come avviene la compromissione delle email dei fornitori
Gli attacchi di compromissione della supply chain sono altamente mirati, possono estendersi per diversi mesi, e di solito sono strutturati come un processo a più fasi.
Il malintenzionato avvia l’attacco prendendo di mira l’account di posta elettronica di un vendor o fornitore attraverso mezzi diversi, ad esempio sfruttando tecniche di phishing.
Una volta ottenuto l’accesso, si nasconde per un lungo periodo per osservare le comunicazioni email del fornitore. Durante questo periodo, l’avversario studierà il linguaggio e il contesto dei messaggi in modo da potersi mimetizzare al meglio ed evitare di essere scoperto.
Gli aggressori potrebbero anche utilizzare questo periodo di osservazione per stabilire una persistenza. Creeranno regole e infrastrutture di posta in modo da poter continuare a ricevere e inviare messaggi anche dopo che l’azienda avrà ripreso il controllo dell’account.
Una volta stabiliti accesso e persistenza, inizieranno a inserirsi nelle conversazioni interne del fornitore e in quelle con partner e clienti esterni. Fingendosi il mittente, l’attaccante sfrutta la fiducia consolidata tra le parti per aumentare le proprie possibilità di successo.
Panoramica di un attacco di vendor email compromise.
Proofpoint ha osservato una crescente tendenza da parte dei cybercriminali a prendere di mira gli account di realtà più piccole, sfruttandoli per accedere in aziende più grandi, partendo spesso dal presupposto che le piccole imprese siano meno protette.
Come fermare la compromissione delle email dei fornitori
Per difendersi da questi attacchi, è fondamentale comprendere come vengono condotti.
Un problema così grave richiede una soluzione strategica e multilivello e le quattro fasi generali descritte di seguito possono essere d’aiuto.
Conoscere i fornitori
La prima linea di difesa contro questi attacchi via email sembra semplice, ma è impegnativa. Si tratta della capacità di conoscere a fondo il fornitore e di comprendere la sua strategia di sicurezza. Questo richiede più di una valutazione una tantum e i team di sicurezza dovranno dare la giusta priorità al monitoraggio continuo delle partnership commerciali dell’azienda.
Inoltre, è necessario conoscere a fondo gli accessi e i privilegi che l’azienda concede a ciascun fornitore. Gli account compromessi che hanno un accesso incontrollato possono essere in grado di esfiltrare dati sensibili o caricare malware come il ransomware.
Quindi, avendo più chiaro a cosa possono (e non possono) accedere i fornitori, sarà possibile identificare più velocemente una violazione dei dati.
Altre misure, come richiedere l’autenticazione multi-fattore (MFA) per gli account dei fornitori, possono contribuire a mitigare il rischio di compromissione della catena di approvvigionamento, con la costante avvertenza che non esiste una soluzione unica per ogni scenario.
Inoltre, anche se si intende sviluppare una conoscenza approfondita delle pratiche di sicurezza di tutti i partner commerciali, può essere estremamente difficile raggiungere questo obiettivo. Molte aziende lavorano con centinaia o migliaia di vendor e fornitori terzi. Sapere chi sono, monitorare e dare priorità a quelli più rischiosi è un processo dinamico e continuo. Una condizione necessaria perché i team possano stare al passo è l’adozione di strumenti automatizzati.
Sapere quando i fornitori vengono compromessi
Non è sufficiente avere chiaro chi sono i fornitori, bisogna anche sapere quando i loro account sono compromessi. E lo si deve scoprire il prima possibile.
I fornitori più piccoli spesso non si rendono conto che i loro account ospitano i malintenzionati, che tendono quindi a fermarvisi. Per quanto tempo? Secondo dati IBM, il tempo medio che trascorre prima del rilevamento è di 233 giorni, ovvero circa sette mesi e mezzo.
Purtroppo, anche i team di cybersecurity più preparati possono affidarsi esclusivamente alle notifiche dei fornitori per venire a conoscenza di potenziali violazioni. Questo li lascia in una posizione di protezione reattiva – dovranno reagire dopo un incidente avvenuto, invece di poterlo prevenire.
Per spostare l’equilibrio verso una difesa proattiva, i team di sicurezza dovrebbero avere accesso a meccanismi che forniscano visibilità e insight tempestivi sullo stato di sicurezza dei fornitori. Promuovere una cultura della prevenzione, non della reazione, è il modo migliore per proteggere gli utenti.
Creare una protezione avanzata su più livelli
I truffatori affinano continuamente le loro tattiche, ecco perché i metodi di sicurezza tradizionali faticano a identificare gli attacchi di vendor email compromise. Queste minacce sono progettate per eludere il rilevamento convenzionale, presentano un linguaggio “normale” e non urgente e si basano sulla manipolazione delle persone, invece che del codice.
L’impiego del DMARC per prevenire lo spoofing delle email fraudolente è un passo nella giusta direzione, ma non può prevenire gli attacchi provenienti da account compromessi. Anche una maggiore consapevolezza dei dipendenti in materia di sicurezza è fondamentale, tuttavia, queste minacce possono ingannare anche gli utenti più attenti a causa della fiducia insita nella comunicazione con i fornitori.
Proprio per questo, si tratta di attacchi particolarmente subdoli, che richiedono di misure di protezione avanzate come:
- Rilevamento guidato dall’intelligenza artificiale (AI).
- Analisi comportamentale avanzata.
- Controlli adattivi che offrano la protezione adeguata al momento giusto, limitando la comunicazione con gli account compromessi o bloccandola del tutto.
Qualsiasi metodo di protezione deve avere elevati livelli di sensibilità, per non correre il rischio di bloccare comunicazioni commerciali legittime, necessarie per il funzionamento dell’azienda.
Ottimizzare il processo di investigazione
Le minacce via email che derivano dalla compromissione della supply chain richiedono un processo di indagine efficiente e snello. Questi attacchi spesso portano a perdite di dati e finanziarie, pertanto, le analisi del team di sicurezza richiederanno un esame meticoloso della portata delle comunicazioni.
Il vettore scelto dall’attore della minaccia è il punto di partenza dell’esame – email, rete, cloud e applicazioni di terze parti. Gli analisti dovranno anche sviluppare una conoscenza approfondita dei privilegi di accesso associati all’account compromesso. (Purtroppo, molti analisti scoprono che questo compito manuale richiede molto tempo ed è soggetto a errori).
Anche quando un attacco viene bloccato, è fondamentale effettuare una revisione retrospettiva dei messaggi precedenti.
La maggior parte dei controlli di protezione si concentra sulla sicurezza a “livello di messaggio”, ovvero sulla probabilità che un singolo messaggio contenga una minaccia. Ma gli analisti devono condurre un esame più approfondito per conoscere il livello di sicurezza del mittente e se un intero account può essere compromesso. Solo allora saranno in grado di capire quali fornitori rappresentano un rischio o sono soggetti a modelli di comportamento scorretto.
Investire in strumenti che automatizzano e velocizzano il processo investigativo aiuterà ogni azienda ad affrontare queste sfide.
Consolidando queste attività, sarà possibile aiutare i team di sicurezza a rispondere in modo più efficace, utilizzando inoltre le informazioni acquisite per rafforzare le difese e prevenire futuri attacchi di vendor email compromise.
