Gli attacchi alla supply chain stanno diventando una delle minacce più insidiose nel campo della cybersecurity. Questo fenomeno colpisce in modo particolare i Managed Service Provider (MSP) e i Managed Security Service Provider (MSSP), che, per la loro posizione strategica all'interno dell'ecosistema IT, rappresentano un obiettivo di grande valore per i cybercriminali. Compromettere uno di questi fornitori significa ottenere accesso privilegiato a molteplici aziende clienti, con un effetto a catena che può estendersi su larga scala e causare danni significativi.

Introduce il tema Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis (nella foto): "Negli ultimi anni, il numero di attacchi che prendono di mira la supply chain è aumentato in modo preoccupante. Gli attaccanti hanno sviluppato tecniche sempre più sofisticate per infiltrarsi nei sistemi aziendali attraverso fornitori di servizi fidati. Il phishing e il social engineering rimangono strumenti di attacco privilegiati, poiché sfruttano l’elemento umano come punto di ingresso.Tuttavia, gli aggressori non si limitano a ingannare gli utenti: spesso sfruttano vulnerabilità nei software di gestione remota e nei sistemi di autenticazione per ottenere accessi non autorizzati. Un’altra tecnica particolarmente pericolosa consiste nella compromissione degli aggiornamenti software: inserendo codice malevolo nelle patch distribuite dagli MSP ai loro clienti, gli attaccanti riescono a diffondere malware su un’ampia rete di vittime senza destare sospetti immediati".

Secondo l'esperta, le campagne di attacco alla supply chain si basano sempre più su strategie avanzate di Living-off-the-Land (LotL), sfruttando strumenti già presenti nell’ambiente target per evitare il rilevamento: "Un esempio di questa metodologia è l'abuso degli strumenti di Remote Monitoring and Management (RMM), che gli attaccanti utilizzano per muoversi lateralmente nei sistemi compromessi e distribuire payload dannosi. Inoltre, sono stati osservati numerosi casi in cui gruppi ransomware hanno sfruttato vulnerabilità zero-day in software di accesso remoto, come ConnectWise ScreenConnect, per ottenere accesso ai sistemi degli MSP e diffondere malware su larga scala. In altri casi, gli attori delle minacce hanno compromesso account con credenziali deboli o rubate, ottenendo accesso non autorizzato a reti e infrastrutture critiche".

Serve un cambiamento

L’evoluzione di queste minacce rende essenziale un cambiamento nell’approccio alla sicurezza informatica: "Gli MSP e MSSP non possono più limitarsi a difese reattive, ma devono adottare strategie proattive per mitigare il rischio. Implementare un modello Zero Trust, ad esempio, significa ridurre al minimo i privilegi di accesso e verificare costantemente l’identità degli utenti e dei dispositivi connessi alla rete. Allo stesso tempo, il monitoraggio continuo delle attività e l’integrazione di sistemi avanzati di threat intelligence permettono di identificare segnali di compromissione prima che l’attacco possa causare danni irreparabili", afferma.

Dal punto di vista tecnico, la gestione delle vulnerabilità è un elemento chiave per ridurre la superficie di attacco: "Gli MSP devono adottare strumenti avanzati di patch management per garantire che tutti i software e i dispositivi siano aggiornati con le ultime correzioni di sicurezza. L'uso di soluzioni di Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR) consente di monitorare e analizzare il comportamento dei sistemi in tempo reale, identificando attività sospette e bloccando eventuali intrusioni prima che possano propagarsi lungo la supply chain".

Acronis, con la sua piattaforma di Cyber Protection, fornisce un supporto concreto agli MSP nell'affrontare queste minacce: "Grazie all’integrazione di intelligenza artificiale e machine learning, le soluzioni di Acronis permettono di identificare schemi di attacco e anomalie, migliorando la capacità di risposta agli incidenti. La protezione avanzata dei workload, la gestione delle vulnerabilità e l'implementazione di backup immutabili sono elementi fondamentali per garantire la continuità operativa in caso di compromissione della supply chain. I backup immutabili, in particolare, rappresentano una difesa efficace contro il ransomware e altre minacce distruttive. Una volta creato, un backup immutabile non può essere alterato, cancellato o sovrascritto, nemmeno da un amministratore con privilegi elevati. Questo assicura che i dati possano essere ripristinati in caso di attacco, garantendo alle aziende la possibilità di riprendersi rapidamente senza subire perdite irreparabili. Inoltre, la sicurezza basata su intelligenza artificiale aiuta gli MSP a bloccare tentativi di attacco prima che possano generare danni, riducendo così il tempo medio di rilevamento e risposta".

La crescente interconnessione tra aziende e fornitori di servizi rende la cybersecurity una responsabilità condivisa: "In questo scenario, la Direttiva NIS2 introduce requisiti più stringenti, imponendo agli MSP e MSSP di rafforzare la propria postura di sicurezza e di adottare misure più avanzate per proteggere i dati e i sistemi dei clienti. La conformità a queste normative non deve essere vista solo come un obbligo, ma come un’opportunità per elevare il livello di sicurezza complessivo e costruire un ecosistema digitale più resiliente".

Di fronte a minacce sempre più sofisticate, proteggere la supply chain non è solo una necessità operativa, ma un imperativo strategico: "Le aziende che investono in tecnologie avanzate, processi di sicurezza rigorosi e una cultura della consapevolezza informatica saranno meglio equipaggiate per resistere agli attacchi e garantire la continuità del business in un panorama digitale in continua evoluzione. Un approfondimento su queste tematiche è disponibile nel rapporto Clusit 2025", conclude Irina Artioli.