Data breach a Verkada e attacco alla supply chain: quale lezione per tutte le aziende
Un gruppo hacker ha violato 150mila telecamere di videosorveglianza Verkada ottenendo filmati da ospedali, scuole, stazioni di polizia e aziende come Tesla e Cloudflare: ennesimo esempio di attacco alla supply chain in cui una vulnerabilità nella rete del fornitore ha pesanti ripercussioni sui suoi clienti
Non è ben chiaro se sia trattato di un attacco “frontale” vero e proprio conclusosi con un data breach o di un’azione di hacktivismo; quello che sappiamo è che un gruppo di criminal hacker ha violato i database della startup Verkada Inc., acquisendo in questo modo i live feed di oltre 150mila telecamere di sorveglianza.
Le aziende i cui filmati sono stati esposti includono Tesla e il fornitore di software Cloudflare. Come se non bastasse, gli hacker sono stati in grado di visualizzare i video all’interno di cliniche, ospedali psichiatrici e degli uffici della stessa Verkada.
Inoltre, il gruppo sostiene di avere anche accesso all’intero archivio video di tutti i clienti di Verkada.
Questo data breach a Verkada, apparentemente, è stato messo a segno da un collettivo internazionale di criminal hacker che intendeva mostrare la pervasività della videosorveglianza e la facilità con cui i sistemi possono essere violati. Anche se non possiamo essere sicuri di quanto sia veritiera questa versione dei fatti, considerato che al momento non si hanno notizie di richieste di riscatto.
Ma oltre ai dettagli della vicenda, l’episodio deve far riflette su un aspetto della cyber security sempre più importante e ancora non appieno considerato: il rischio, per la nostra azienda, arriva sempre più spesso dalle “terze parti” a causa di attacchi alla supply chain.
L’attacco a SolarWinds è stata la svolta (forse)
Certo, se ad essere colpita è un’azienda che si occupa di videosorveglianza – che tra i clienti vanta nomi come Tesla – la notizia logicamente diventa “da prima pagina”. Ma per lungo tempo quando sentivamo parlare di data breach e data leak o cyber attacchi come ransomware e DDoS, a prendere la prima pagina dei quotidiani di solito erano unicamente gli attacchi mirati direttamente contro le organizzazioni.
Gli attacchi “indiretti” che avvengono tramite terze parti (come partner, fornitori, ma anche API che vengono acquistate e integrate all’interno di un prodotto) fanno sicuramente meno rumore.
Ma non sono sicuramente un aspetto da sottovalutare, anche se forse spesso è proprio quello che accade.
Tutto questo, grazie soprattutto al caso SolarWinds, oggi sta cambiando, ma ancora c’è una certa tendenza a sottovalutare questo tipo di cyber risk.
Ecosistemi interconnessi, non esiste più l’azienda sistema
Nessun’azienda si può ormai dire monolitica. Adottare policy e soluzioni di sicurezza all’avanguardia e mettere in sicurezza “unicamente” il proprio perimetro aziendale, senza tenere conto del proprio ecosistema di business potrebbe rendere questi sforzi inutili.
Quando parliamo di cyber security non dobbiamo mai dimenticare che la guerra si combatte su due fronti interno ed esterno.
Il primo ovviamente sono gli attacchi diretti contro l’organizzazione ed è quello che di solito cattura la maggior parte delle attenzioni.
Il secondo fronte, invece, quello degli attacchi indiretti attraverso terze parti – compresa tutta la nostra supply chain – cade spesso nel dimenticatoio.
Un errore troppo comune che purtroppo può costare caro. Basti vedere cosa è successo pochi mesi fa negli Stati Uniti, ancora una volta in occasione del caso SolarWinds.
Non c’è alcuna differenza in termini di danni economici, di brand reputation e di business continuity quando l’attacco avviene “frontalmente” o “dai lati”.
I “nuovi” rischi derivanti dalla digital transformation
D’altronde i rischi derivanti dall’ecosistema in cui tutte le aziende operano sono incrementati enormemente con la digital transformation.
In parte perché nessuna tecnologia esiste “da sola”. Prendiamo per esempio in considerazione una linea di assemblaggio. La macchina di produzione IoT manderà regolarmente aggiornamenti di diagnostica al produttore; questo indubbiamente aiuta con aspetti come la manutenzione predittiva, ma apre anche una possibile porta per i criminal hacker per entrare nella nostra rete.
Quasi tutte le organizzazioni, come accennato, operano in un ecosistema connesso che include, per esempio, i fornitori.
Se una qualsiasi di queste aziende viene attaccata, automaticamente tutte le altre parti lungo la catena di fornitura (la supply chain, appunto) sono a rischio.
Prendiamo uno degli esempi che hanno fatto scuola, senza focalizzarci sul passato più recente. Nel 2013 il gigante della grande distribuzione Target ha subito un data breach molto sostanziale. Il colpevole? I criminal hacker erano riusciti ad intrufolarsi all’interno dei sistemi dei sub contractor che avevano in carico gli impianti di riscaldamento e aria condizionata negli store di Target.
Partendo da lì erano poi riusciti ad arrivare al brand di grande distribuzione e a sottrarre milioni di record di clienti o altri fornitori.
Il costo di questa operazione? Al tempo 18 milioni di dollari (e ricordiamo che al tempo i regolamenti in materia di data breach, anche dall’altra parte dell’Atlantico erano sostanzialmente meno rigidi).
I rischi che corrono le terze parti sono, intuitivamente, pressoché identici a quelli che corriamo noi direttamente:
-phishing
-malware
-man in the middle (MitM)
-banking trojan
-ransomware
-Denial of Service (DoS)
-Distributed Denial of Service (DDoS)
-attacchi ai dispositivi IoT
Ogni volta che la nostra organizzazione si connette a una terza parte – comunicazioni e-mail comprese – siamo potenzialmente a rischio.
Cosa ci insegna il data breach a Verkada
Volendo contestualizzare ancora di più il rischio, prendiamo in considerazione uno studio realizzato da Ponemon nel 2018. In media, era stato riscontrato, le aziende interpellate condividevano i propri dati con oltre 400 altre terze parti. E questo dato era comunque influenzato dal fatto che solo il 35% degli intervistati era a conoscenza di quanto condividevano.
Questa carenza di informazioni suggerisce una diffusa mancanza di consapevolezza e di preparazione che ha lasciato molte organizzazioni vulnerabili agli attacchi.
Anche il Wall Street Journal ha indagato sul fenomeno, rilevando che solo il 62% delle imprese più grandi sono in grado di quantificare e qualificare il rischio da o verso i loro fornitori, e solo il 42% delle imprese più piccole sono in grado di farlo.
Anche se il 70% delle organizzazioni considera tali attacchi da parte di terzi come una minaccia, meno del 60% si sente preparato ad affrontarle.
Dato il numero di potenziali aggressori e di punti di ingresso e il fatto che le strategie di difesa spesso non sono robuste né tantomeno omogenee, forse non dovrebbe sorprendere che i cyber criminali se ne stiano approfittando.
Un altro sondaggio ha rilevato che il 41% degli intervistati ha subito attacchi tramite terzi negli ultimi 24 mesi.
Dobbiamo mettere in conto, per alcuni settori più che per altri, l’ingresso massivo di API all’interno dei propri sistemi.
Ma queste sono tutt’altro che inattaccabili.
Da problemi con le librerie che queste utilizzano, ai flussi di dati e parametri che queste gestiscono in maniera non efficiente.
Se poi consideriamo che la parte di Application design si concentra quasi esclusivamente sulla la funzionalità e l’usabilità e solo in seconda battuta sulla sicurezza dell’applicazione, è facile intuire come questa possa essere una fonte di problemi.
Troppo spesso la sicurezza delle API viene lasciata completamente fuori dal processo di progettazione. È un aspetto troppo fondamentale per non essere parte del progetto sin dall’inizio.
Mettere in sicurezza il perimetro
Fortunatamente, esistono strategie che possono aiutare a migliorare la nostra cyber resilience riducendo il rischio derivante da parte di terzi.
Mappare il flusso di dati è un buon inizio.
Ovviamente proteggere i nostri dati è particolarmente impegnativo se non sappiamo dove vanno a finire. Quindi è importante mappare il flusso di ogni singolo dato dalla sua creazione fino al suo smaltimento. L’obiettivo è quello di identificare dove e come i nostri dati possono essere vulnerabili.
Questo include i dati in arrivo e verso terzi.
Gli aspetti da considerare includono:
-chi possiede e controlla i dati;
-quali sono le procedure per il trattamento dei dati;
-quali sono i controlli del sistema;
-come vengono applicate le politiche di sicurezza;
-Fatto questo, sarà necessaria una review delle procedure di sicurezza interne ed esterne. Una volta capito dove vanno (o vengono) i nostri dati, dovremo calibrare le nostre attuali procedure per la loro protezione.
Cosa funziona bene e cosa no? Quali sono le nostre opportunità di miglioramento? Qual è la nostra maggiore esposizione?
La cyber security è forte solo quanto il suo anello più debole.
Capire cosa fanno i nostri fornitori e sapere da dove provengono e dove vanno i nostri dati è un inizio.
Ma cosa succede quando sono nelle mani di terzi?
Ci sono diversi approcci possibili per valutare la sicurezza dei dati:
-valutare metriche come il volume delle transazioni e la sensibilità dei dati;
-considerare l’impatto delle leggi sulla privacy nei luoghi in cui i dati vengono elaborati;
-valutare le misure di sicurezza utilizzate da terzi;
-Un metodo consiste nel chiedere a terzi di compilare un questionario sulle loro pratiche e sistemi di sicurezza. La soluzione migliore rimane comunque quella di definire linee guida e processi standard di Cyber Security da integrare nel nostro rapporto con terzi.
Tali procedure potrebbero includere frequenti backup di dati critici o la notifica tempestiva di Data Breach.
Idealmente i vostri fornitori/partner dovrebbero attenersi agli stessi standard rigorosi dettati dalle best practice, implementando regolari attività di risk assessment dal punto di vista tecnologico e dal punto di vista umano.
Nel primo caso stiamo parlando di attività come Domain Threat intelligence e di Cyber Threat Intelligence, così da ottenere una actionable intelligence che garantisce alle terze parti visibilità su minacce in essere o potenziali e permette di mettere rapidamente in campo un’attività di remediation.
Le attività di Threat Intelligence forniscono informazioni cruciali in grado di farci comprendere se ci sono stati compromessi a livello di IP/dominio ed e-mail oltre a poter rilevare l’eventuale presenza di botnet o di attività sospetta legata a quel particolare brand a livello di Deep e Dark Web.
Dal punto di vista del rischio prettamente umano, avere la sicurezza che vengano effettuate regolari attività di test dello “human factor”, come Phishing Attack simulation risulta fondamentale onde evitare violazioni provenienti da campagne di phishing, smishing o attacchi di BEC (Business Email Compromise).
Data breach a Verkada e il futuro più prossimo
Sicuramente il caso Verkada è d’impatto, ma non dobbiamo dimenticarci che per ogni telecamera di sorveglianza nelle nostre aziende ci saranno altri dieci device IoT che potenzialmente potrebbero rappresentare un livello di cyber risk elevato.
Ogni azione, ogni decisione in ambito IT che riguarda il nostro perimetro cyber non può essere lasciata al caso e va vagliata attentamente.
Anche la più piccola vulnerabilità potrebbe tradursi in danni ingenti. Gli strumenti e le best practice ci sono, ora dobbiamo semplicemente impegnarci affinché tutta la nostra supply chain sia ugualmente protetta.
Non abbassiamo la guardia.
News ripresa da CYBERSECURITY360