Il problema delle violazioni di terze parti: i tuoi partner sono a rischio? (parte prima)

Che cos'è un Brand Discovery ?

Fornitori di servizi esterni, agenzie e consulenti con cui lavori possono essere la causa di attacchi upstream alla tua azienda. Per fortuna esistono dei metodi per minimizzare i rischi

La maggior parte delle aziende lavora con fornitori, partner, contractor che sono esterni all’azienda. Poiché queste partnership evolvono, non è inconsueto che da entrambe le parti sistemi e processi finiscano con l’integrarsi. In molti casi, quando questa integrazione avviene, le pratiche di sicurezza delle terze parti vengono trascurate.  

Ci sono molte motivazioni alla base di tutto ciò. Richiedere ai partner di restringere le loro pratiche di sicurezza, quando possibile, rallenta il business. I team e gli individui che vengono incaricati di mettere in atto queste partnership spesso non sono preparati sugli aspetti di sicurezza. E quando i dipartimenti IT iniziano a integrare i sistemi, sono spesso messi sotto pressione affinché “si faccia e basta”, e quindi finiscono col prendere delle scorciatoie.

Ciascuna terza parte con cui si lavora può potenzialmente accrescere la tua superficie di attacco.  Ciò può portare ad attacchi opportunistici (il tuo partner viene attaccato e l’attaccante trova una via per entrare nei tuoi sistemi) o attacchi mirati (l’attaccante ricerca aziende con cui hai una partnership e trova il modo per entrare nella tua rete attraverso uno dei loro sistemi). Qualsiasi violazione che vede un attaccante entrare nella tua rete sfruttando una terza parte può essere definita un “attacco upstream”.

I punti di esposizione sulla tua superficie di attacco possono ampiamente variare in base al tipo di terza parte con cui stai facendo business. C’è molto spazio per la creatività quando si parla di attacchi upstream, ed è estremamente difficile coprire ogni possibile scenario. Di seguito vengono presentati alcuni esempi di vettori di attacchi upstream che F-Secure ha visto sul campo nel 2016.

Servizi di Facility

Le imprese che forniscono servizi di facility presso l’azienda, come la raccolta dei rifiuti, la pulizia, la sicurezza fisica, e la manutenzione, hanno accesso fisico alle sedi dei loro clienti perché fa parte del loro lavoro. Questo accesso include il possesso di badge identificativi, tessere magnetiche, codici di apertura porte, e le mappe degli edifici.

Sappiamo tutti che, sempre più spesso, gli attacchi informatici vengono originati da luoghi geografici differenti rispetto al bersaglio che si vuole andare a colpire. Tuttavia, quando pensiamo ad attacchi mirati pianificati metodicamente, gli avversari che cercano di infiltrarsi in un’organizzazione possono essere disposti anche ad entrare fisicamente nell’edificio dell’organizzazione che hanno preso di mira. In questi casi, l’attaccante può sfruttare i fornitori di servizi di facility per ottenere l’accesso. Il fatto di ottenere accesso fisico a un ufficio come parte di un attacco mirato è qualcosa che gli esperti di F-Secure del team di risposta agli incidenti hanno visto accadere in Europa nel 2016.

img-1

Le aziende di servizi di facility sono generalmente poco tecnologiche. Per esempio, non è raro per queste aziende conservare documenti importanti su un sistema di condivisione file a libero accesso, a cui i lavoratori possono accedere per scaricare e stampare istruzioni prima di andare a svolgere il loro incarico. Le metodologie insicure impiegate nell’insieme dai fornitori di servizi di facility potrebbero essere adottate da un avvesario che voglia attuare una violazione fisica come parte del suo attacco.

I consulenti dei servizi CSS (Cyber Security Services) di F-Secure ne vedono tanti di attacchi upstream, che prendono di mira target primari attraverso una terza parte, e sanno dalla loro esperienza come ‘red team’ che tattiche quali fingersi un’azienda di pulizia dei tappeti potrebbe consentire di ottenere l’accesso fisico agli edifici.

Informazioni rilevanti come ottenere accesso fisico a uffici e case possono essere altrettanto di valore per i criminali. La prossimità geografica dell’attaccante potrebbe portare a credere che quell’attacco non sia rilevante. Ma considera quest’esempio. Un hacker a New York riesce ad aprire in remoto le serrature intelligenti connesse a Internet. E le serrature a cui ha accesso sono installate su porte in Europa. Non serve che l’hacker si sposti in Europa  per ottenere accesso a quei locali, ma gli può interessare vendere queste informazioni su Internet (diciamo a 50 euro per serratura). Criminali locali possono acquistare quei codici e usarli per mettere in atto furti.

Vettori di attacco network-borne si creano quando ai fornitori di facility viene dato il permesso e la possibilità di gestire in remoto l’infrastruttura del cliente. Il software per gestire e controllare i sistemi di allarme, le telecamere, i sistemi di riscaldamento, e i controlli di accesso fisico è spesso molto vecchio e scritto senza pensare alla sicurezza. Non è raro per questi sistemi accedervi tramite Telnet o VNC, e qualche volta senza alcuna autenticazione. Si può trovare moltissimo su Shodan.

img-2

Target è stata violata nel 2013 attraverso un sistema progettato per monitorare e controllare l’hardware dell’aria condizionata. La macchina in questione è stata raggiunta via Internet e aveva connessione con le operazioni di vendita al dettaglio di Target. Gli attaccanti si sono impossessati facilmente del monitor dell’aria condizionata. Da là sono stati in grado di entrare nella rete di Target e da lì di accedere ai sistemi POS di Target.

continua la lettura della seconda parte...

Articolo estratto dal report di F-Secure, “The State of Cyber Security 2017.” Per maggiori informazioni, dati e prospettive scarica il report qui.