Als de recente inbraak bij FireEye/SolarWinds iets goeds heeft gebracht, dan is het de aandacht die het heeft opgeleverd voor de risico’s van supply chain-aanvallen. De reeks aan nieuwe malware-aanvallen na de SolarWinds-inbraak zouden voor elk bedrijf in de keten genoeg reden moeten zijn om supply chain-aanvallen serieus te nemen. In dit blog meer over supply chain-aanvallen, welke bedreiging ze vormen en hoe jouw onderneming zichzelf tegen deze aanvallen kan beschermen.
Wat zijn supply chain-aanvallen?
Het MITRE ATT&CK raamwerk definieert een supply chain-aanval als een methode voor kwaadwillenden om producten of mechanismen te manipuleren voordat ze door een eindgebruiker worden ontvangen, om zo gegevens of systemen te beschadigen.
Supply chain-aanvallen kunnen in elk stadium van de keten plaatsvinden. Een aantal voorbeelden zijn:
● Manipulatie van ontwikkeltools
● Manipulatie van een ontwikkelomgeving
● Manipulatie van de software update of distributie-mechanismen
● Vervanging van legitieme software door aangepaste versies
● Verkoop van aangepaste producten aan legitieme distributeurs
Financiële redenen voor supply chain-aanvallen
Gezien de complexiteit van een supply chain-aanval, denk je wellicht dat dit type aanval alleen wordt uitgevoerd door buitenlandse overheden. Maar supply chain-aanvallen worden ook gepleegd door geraffineerde cybercriminelen. Hun motief is meestal financieel gewin. Cybercriminelen zoeken altijd naar de zwakste schakel binnen de keten, omdat dit de minste weerstand oplevert. Soms betekent dit dat ze eerst toegang moeten krijgen tot zwaarbeveiligde organisaties. Eenmaal binnen kunnen ze de minder goed verdedigde entiteiten identificeren en deze gebruiken om toegang te krijgen tot het door hen gekozen doelwit.
Een van de beruchtste datadiefstallen via de supply chain is de aanval op de Amerikaanse retailgigant Target in 2013. Bij deze supply chain-aanval werden de creditcardgegevens van 41 miljoen klanten en de persoonsgegevens van 70 miljoen klanten gestolen. Hoe kon dit gebeuren? De aanvallers drongen de systemen van Target binnen na het stelen van de inloggegevens van een verwarmingsbedrijf dat toegang had tot het netwerk van de winkelgigant. Zo simpel kan het dus zijn.
Opzoeken van de zwakste schakel
Wanneer men de ‘traditionele’ aanvallen op de supply chain vergelijkt met de recente hacks van SolarWinds en Microsoft, wordt duidelijk dat aanvallers hun tactiek verfijnd hebben. ‘Traditionele’ supply chain-aanvallen waren voorheen mogelijk via de zwakste schakel. Dat gebeurde over het algemeen op een vrij directe manier. Eerst werden referenties verkregen, om ze vervolgens te gebruiken om verbinding te maken met de onderneming. Of door geïnfecteerde apparatuur fysiek van de leverancier naar het einddoel te brengen. Dit was ook het geval bij de cyberaanval op Stuxnet, waarbij gebruik werd gemaakt van geïnfecteerde USB-sticks.
De investeringen in de nieuwere aanvallen zijn hoger. Microsoft schat dat er 1.000 software-engineers hebben gewerkt aan het maken van de malware die bij de SolarWinds-inbraak is gebruikt. De hogere investeringen zorgen meestal ook voor meer schade, vaak met duizenden slachtoffers in één keer. Bovendien kan een bedreiger meestal maanden of zelfs jarenlang vrij opereren door ‘betrouwbare’ leveranciers als dekmantel te gebruiken.
Wat te doen tegen supply chain-aanvallen?
We kunnen natuurlijk niet van organisaties verwachten dat ze de broncode van leveranciers controleren en zelf kwetsbaarheden opsporen. Het is echter wel mogelijk om een andere NIST (National Institute of Standards and Technology)-richtlijn met betrekking tot Cyber Supply Chain Best Practices te volgen. Die luidt: “ontwikkel je verdediging op basis van het principe dat systemen hoe dan ook zullen worden aangevallen”. Het is essentieel dat beveiligingssoftware niet vertrouwt op de reputatie van een programma, aangezien de aanvaller juist dat vertrouwen in reputatie misbruikt. Vervang of vermijd daarom security-oplossingen die zwaar leunen op whitelisting. Dit kan met een moderne, gedragsgerichte AI-oplossing die nieuwe dreigingen herkent, of de bron nu als ‘vertrouwd’ aangemerkt staat of niet.
Conclusie
Recente supply chain-aanvallen hebben een gevoelige snaar geraakt in de security-community. Organisaties bevinden zich niet in de positie om een afwachtende houding aan te nemen. Het is tijd dat er nu actie ondernomen wordt. Elke onderneming moet daarom zijn cybersecurity-beleid opnieuw beoordelen, inzicht krijgen in de afhankelijkheden van de supply chain en een modern XDR-platform opzetten dat toekomstige aanvallen kan opsporen en indammen, zelfs als deze diep in de eigen supply chain is ontstaan.
Auteur: Andre Noordam, Director of Sales Engineering EMEA-North, SentinelOne
