Ihr Netzwerk zu sichern bedeutet, die Sicherheit Ihrer Lieferanten zu gewährleisten.
Schutz vor RansomwareEin Lieferketten-Angriff ist ein Angriff, bei dem eine Organisation Opfer eines Bedrohungsakteurs wird, der sich über einen der Lieferkettenpartner der Organisation Zugang zum Zielnetzwerk verschafft hat. Auf diese Weise hat der Bedrohungsakteur nicht nur Zugriff auf die Organisation, deren Netzwerksicherheit er durchdrungen hat, sondern auch auf alle Dritten, die an das kompromittierte Netzwerk angeschlossen sind.
Laut der Cybersecurity Infrastructure and Security Agency (CISA) kann ein solcher Angriff auch auf die Software-Lieferkette betreffen: „Neu erworbene Software kann von Anfang an kompromittiert sein, oder eine Kompromittierung kann durch andere Mittel wie einen Patch oder Hotfix erfolgen.“
Supply-Chain-Angriffe funktionieren, indem ein Angreifer strategisch bösartigen Code in Updates einfügt, die fast sofort außerhalb des Netzwerks eingesetzt werden sollen. Dies liegt daran, dass der Bedrohungsakteur eine Organisation ins Visier genommen hat, die als Anbieter für eine andere Organisation fungiert, der sie möglicherweise regelmäßig Updates in Form von Patches für Schwachstellen liefert. Die CISA identifiziert drei gängige Angriffstechniken, die von Angreifern bevorzugt werden:
Angriffe auf die Lieferkette nehmen aufgrund einer Reihe von Faktoren zu, beispielsweise der Digitalisierung eines Großteils der weltweiten Kommunikation und des Informationsaustauschs in Unternehmen. Auch Angreifer vertrauen immer mehr darauf, dass sie über einen ihrer Lieferkettenpartner, beispielsweise einen vertrauenswürdigen Lieferanten oder Auftragnehmer, in eine Zielorganisation eindringen können.
Ein weiterer wesentlicher Faktor für den jüngsten Anstieg der Lieferketten-Angriffe ist die zunehmende Verbreitung von Open-Source-Software. Einige Cybersecurity-Teams erfahren nicht einmal regelmäßig und kurzfristig von neuen Open-Source-Schwachstellen – selbst nachdem sie offengelegt wurden.
Vielleicht wird ein Projekt pünktlich ausgeliefert, aber in die Open-Source-Komponenten, auf denen das Projekt aufgebaut ist, wurde schon vor langer Zeit bösartiger Code eingeschleust. Falls der bösartige Code vor der Auslieferung des Projekts entdeckt wird, ist das hervorragend. Doch statt weitere Fortschritte zu machen, geht es jetzt nur noch um Schadensbegrenzung.
Open-Source-Code kann innerhalb einer Organisation erstaunliche Effizienzsteigerungen bewirken, aber wenn Schwachstellen oder Angreifersignaturen nicht erkannt werden, könnte dies für die Organisation und das Unternehmen insgesamt katastrophale Folgen haben. Die Sicherheit in Open-Source-Software bringt aufgrund der offenen Umgebung auch einige einzigartige Herausforderungen mit sich. Ein Projekt, das Open-Source-Softwarebibliotheken nutzt, neigt dazu, aufgrund der Natur von Open Source eine Vielzahl von Beiträgen zu akzeptieren.
In einem Projekt dieser Art könnte eine neue Funktion möglicherweise nicht hoch genug priorisiert werden, damit die Hauptentwickler, die am Software Development Lifecycle (SDLC) beteiligt sind, Zeit dafür aufwenden. Aber jeder in der Open-Source-Community, der sich die Zeit nimmt, eine Funktion zu entwickeln und dabei die Ziele und Best Practices des Projekts einhält, hat gute Chancen, dass sein Beitrag akzeptiert und in das Projekt integriert wird.
So kann das Projekt plötzlich ein ungewolltes Ziel bösartiger Beiträge durch "verdeckte Fehlereinführung" werden.
Zusätzlich zu den oben genannten sollten wir uns einige weitere Angriffsarten ansehen, die Bedrohungsakteure gerne nutzen, wenn sie über einen Zwischenhändler ein Primärziel erreichen wollen.
Laut dem National Cyber Security Center der britischen Regierung gibt es einige gängige Vektoren, über die Angreifer regelmäßig zu einem bevorzugten Ziel gelangen:
Wir haben bereits über viele Arten von Angriffen auf die Lieferkette berichtet, die Bedrohungsakteure auf ahnungslose Lieferanten/Kunden anwenden. Lassen Sie uns nun einen Blick auf einige bekannte aktuelle Beispiele solcher Angriffe werfen.
Es gibt viele Taktiken, die ein Security Operations Center (SOC) einsetzen könnte, um die Risiken und/oder Auswirkungen eines Lieferkettenangriffs zu mindern. Aber lassen Sie uns einen Blick auf einige der gängigsten Best Practices zur Absicherung Ihrer Lieferkette werfen.
Jede Organisation verfügt über Eingangs- und Ausgangspunkte zu verschiedenen externen Anwendungen und Dienstanbietern. Wenn neue Dienste oder Anbieter beschafft werden, werden die Zugriffskontrolllisten (Access Control Lists, ACLs) aktualisiert, um die neuen Datenströme zu berücksichtigen.
Die frühen Phasen eines Incidents sind oft entmutigend, frustrierend und verwirrend für alle Beteiligten, und eines der wichtigsten Elemente der Incident Response ist die Quarantäne. Viele Anbieter deaktivieren externe Verbindungen sofort, wenn ein Angriff entdeckt wird, aber sich darauf zu verlassen, dass eine externe Partei im besten Interesse Ihrer Organisation handelt, ist für jeden Sicherheitsexperten eine Herausforderung.
Wenn Ihre Organisation eine Liste externer Verbindungen zum betroffenen Anbieter hat, ist das Erstellen von Vorlagen oder Dateien zum einfachen Kopieren und Einfügen von Befehlen zum Trennen der Verbindung ein einfacher Schritt in der Planungsphase der Incident Response. Dies stellt sicher, dass jegliches böswilliges Verhalten, das im Netzwerk des Anbieters auftritt, nicht in Ihre Umgebung eindringen kann.
Das Verzeichnis ermöglicht eine schnelle Kommunikation mit den zuständigen Parteien beim Anbieter, um eine klare Kommunikationslinie zu eröffnen und aufrechtzuerhalten, sodass Updates geteilt und kritische Fragen zeitnah beantwortet werden können.
Erstellen Sie Vorlagen für Mitteilungen darüber, was Ihr Team zum Schutz der IT-Umgebung unternimmt, und beantworten Sie im Falle eines Sicherheitsvorfalls alle High-Level-Fragen. Bei diesen Dokumenten arbeiten Sie am besten mit den Rechtsabteilungen und der Geschäftsleitung zusammen, um sicherzustellen, dass die Art und Weise, in der diese Informationen offengelegt werden, angemessen ist.