È pratica comune tra i team addetti alla sicurezza nelle grandi organizzazioni valutare accuratamente i propri vendor di soluzioni software, di solito, verificando se aderiscono ai principi della sicurezza in fase di progettazione, se rispettano la conformità alle normative in materia di privacy dei dati e, persino, se includono altre operazioni, come i controlli delle referenze dei tecnici che hanno creato il codice delle applicazioni.
Proprio come nelle supply chain fisiche, spesso, non è il vendor principale che causa un problema, ma piuttosto un suo fornitore, come sembra sia successo in occasione della violazione di dati che ha interessato Salesforce durante la sua integrazione con Drift, l'agente di chat basato sull'AI di Salesloft.
Violazione della piattaforma ed estrazione dei dati
A partire dagli inizi fino alla metà di agosto 2025, alcuni criminali hanno violato la piattaforma di Salesloft per sottrarre le credenziali OAuth e aggiornare i token provenienti dall'integrazione di Drift con Salesforce. I criminali hanno poi usato questi token per accedere alle istanze dei clienti di Salesforce ed estrarre dati personali, come le informazioni sui contatti e sui ticket di assistenza.
Tra gli esempi di dati rubati, figurano i seguenti:
- Nomi
- Indirizzi e-mail aziendali
- Numeri di telefono aziendali
- Mansioni professionali
- Dettagli sull'area/posizione geografica
- Contenuti di alcuni ticket di assistenza
La violazione iniziale sta ora causando un'ondata di attacchi sferrati contro i clienti di Salesforce. Dalle prove, emerge come i criminali stiano usando i dati estratti per individuare le credenziali necessari per accedere ad altri sistemi in modo da poter penetrare ulteriormente all'interno delle organizzazioni.
Nessun coinvolgimento delle piattaforme di Akamai
Anche Akamai ha esaminato questo incidente per stabilire se i criminali fossero stati in grado di violare i token OAuth per accedere all'istanza di Salesforce. Abbiamo riscontrato che erano stati esposti solo alcuni dati presenti nei ticket di assistenza.
Il motivo di questa esposizione limitata dei dati di Akamai risiede nel fatto che tutti i dati personali e altre informazioni sensibili presenti nei ticket di assistenza vengono automaticamente eliminati 120 giorni dopo la chiusura dei ticket in conformità agli standard stabiliti da Akamai in termini di privacy e sicurezza in fase di progettazione. Inoltre, non abbiamo trovato segni di un potenziale abuso di questi dati. I clienti interessati sono stati informati dell'incidente.
L'evento è stato limitato a Salesforce e non ha in alcun modo interessato le piattaforme, i sistemi di rete o i servizi di produzione di Akamai né i dati relativi al traffico dei clienti che sono stati elaborati sulle piattaforme di Akamai. L'integrazione interessata è stata utilizzata solo all'interno di Salesforce ed è stata rimossa non appena rilevato l'incidente.
Le best practice da tenere in considerazione
Per proteggere la vostra organizzazione dai rischi alla supply chain dei software, come in questo caso, è importante adottare un approccio multilivello per mitigare i potenziali attacchi e contenere rapidamente tutti gli incidenti. È anche fondamentale capire il livello di sicurezza di un'organizzazione per individuare eventuali lacune e le possibilità di elusione dei sistemi di protezione esistenti da parte di attacchi alla supply chain.
Per aiutare a mitigare le eventuali lacune esistenti, tenete in considerazione i seguenti sistemi di protezione multilivello per le API e le app basate sull'AI/LLM (come il chatbot Drift):
- Microsegmentazione
- WAF (Web Application Firewall)
- Sicurezza delle API
- Protezione lato client
- Gestione dei bot
- Protezione dal controllo degli account
Microsegmentazione
La microsegmentazione dovrebbe rappresentare una priorità in qualsiasi modello di sicurezza multilivello perché riduce direttamente l'impatto delle violazioni basate sulle API e della supply chain. Isolando applicazioni, carichi di lavoro e integrazioni, come i chatbot basati sull'AI, in zone strettamente controllate, è possibile limitare il movimento dei criminali e ridurre la portata di un incidente.
Pertanto, anche se vengono sfruttati token rubati o API vulnerabili, la violazione viene contenuta, i sistemi critici rimangono protetti e i team addetti alla risposta agli incidenti possono disporre della visibilità necessaria per identificare la minaccia e agire tempestivamente. Questa soluzione trasforma una potenziale crisi a livello dell'intera organizzazione in un evento controllato e gestibile mediante la protezione delle operazioni, la riduzione dei problemi di downtime e il rafforzamento del modello Zero Trust nelle aree in cui risulta più importante.
WAF (Web Application Firewall)
Una soluzione WAF (Web Application Firewall) fornisce la sicurezza necessaria per difendersi dalle minacce moderne. Una solida tecnologia WAF aggiorna e adatta continuamente i sistemi di protezione per rilevare le anomalie presenti nei modelli del traffico e per aiutare ad identificare i comportamenti incoerenti con il normale uso delle applicazioni.
Una soluzione WAF in grado di valutare l'affidabilità delle origini delle richieste consente alle organizzazioni di bloccare il traffico proveniente da indirizzi IP dannosi o sospetti. Le funzionalità complete di registrazione e visibilità forniscono ai team addetti alla sicurezza il contesto necessario per esaminare gli incidenti e coordinarsi con ulteriori sistemi di protezione.
Sicurezza delle API
I sistemi di protezione delle API potevano aiutare le aziende a rilevare gli attacchi identificando il comportamento anomalo associato ai token OAuth violati. Anche se i criminali avessero usato credenziali valide, i loro modelli di attività, come l'invio massiccio di query contro le API di Salesforce, l'accesso ai dati da indirizzi IP insoliti e il tentativo di eliminare i processi eseguiti per nascondere le loro tracce, avrebbero deviato dallo standard di riferimento che indica un uso normale.
Le funzionalità di analisi dei comportamenti e monitoraggio continuo di Akamai sono progettate per segnalare questi tipi di irregolarità in tempo reale, consentendo ai team addetti alla sicurezza di esaminare e rispondere rapidamente prima che vengano esfiltrate grandi quantità di dati sensibili.
Protezione lato client
Quando le app utilizzano script o agenti per trasmettere le informazioni all'interno o all'esterno del browser, è fondamentale riuscire a rilevare le modifiche apportate agli script. Lo script richiede informazioni che normalmente non fa? Stilare un inventario di tutti gli script e stabilire un modo per segnalare le modiche apportate agli script possono prevenire questi tipi di attacchi.
Gestione dei bot
Stabilire solide funzionalità di rilevamento e gestione dei bot è importante perché i bot basati sull'AI/LLM sono semplicemente dei bot, appunto. Si tratta di operazioni particolarmente significative nel caso di bot noti, come il chatbot Drift, in cui la soluzione di gestione dei bot può utilizzare la firma e altre caratteristiche distintive per stabilire se il bot è legittimo o meno e se sta mostrando comportamenti rischiosi rispetto allo standard di riferimento.
Protezione dal controllo degli account
Anche se in questo caso parliamo di identità non umane (come nel caso del bot Drift ), le soluzioni per la protezione dal controllo degli account sono progettate per rilevare se le credenziali corrette vengono effettivamente usate da altri utenti e non dal legittimo proprietario dell'account.
Assegnare un punteggio di rischio per l'accesso di ogni utente può impedire ai criminali di ottenere l'accesso ai sistemi, mentre il monitoraggio del comportamento di una sessione può rilevare eventuali segnali di rischio e terminare la sessione nel caso in cui i criminali siano riusciti ad accedere.
Protezione delle applicazioni basate sull'AI
Le applicazioni basate sull'AI generative vengono sempre più considerate causa di vulnerabilità per le aziende. Se un criminale riesce ad accedere ad un'applicazione basata sull'AI, può riuscire a manipolarla o a cambiare i suoi sistemi di sicurezza in modo da far restituire risposte rischiose o dannose ai prompt degli utenti, oltre ad estrarre informazioni direttamente dall'app. I sistemi di sicurezza specifici per l'AI sono un importante approccio multilivello per la protezione delle applicazioni basate sull'AI.
Adozione di un approccio alla sicurezza multilivello
Le organizzazioni, probabilmente, non dispongono di risorse che si occupano di valutare accuratamente ogni vendor della propria supply chain dei software. Inoltre, anche se tali risorse riuscissero ad individuare eventuali vulnerabilità, probabilmente sarebbe poco pratico evitare di utilizzare alcuni dei principali vendor di software o chiedere a tali vendor di cambiare i propri partner tecnologici.
Di conseguenza, la soluzione più realistica è adottare un approccio alla sicurezza multilivello per garantire la protezione dalle violazioni alla supply chain.
Tag
