Uw organisatie beschermen tegen aanvallen op de toeleveringsketen van software

Aanvallers vinden het moeilijk om de verleiding van te weerstaan softwaretoeleveringsketens: Ze hebben maar al te snel en gemakkelijk toegang tot een breed scala aan gevoelige informatie – en krijgen zo sappigere uitbetalingen.

Alleen al in één jaar tijd – tussen 2000 en 2021 – is het aantal aanvallen op de toeleveringsketen van software met meer dan toegenomen 300%. En 62% van de organisaties geef toe dat ze zijn getroffen door dergelijke aanvallen.

Experts waarschuwen dat de aanval niet zal vertragen. Sterker nog, volgens gegevens van Gartnerzal 45% van de organisaties over de hele wereld een ransomware aanval op hun digitale toeleveringsketens tegen 2025.

“Niemand is veilig”, zegt Zack Moore, productmanager beveiliging bij Intervisie. “Van kleine bedrijven tot Fortune 100-bedrijven tot de hoogste niveaus van de Amerikaanse overheid – iedereen is de afgelopen twee jaar getroffen door aanvallen op de toeleveringsketen.”

Voorbeelden genoeg

De SolarWinds aanval en Log4j-kwetsbaarheid zijn twee van de meest beruchte voorbeelden van aanvallen op de toeleveringsketen van software in de recente geschiedenis. Beide lieten zien hoe alomtegenwoordig software supply chain-aanvallen kunnen zijn, en in beide gevallen moet de volledige reikwijdte van de gevolgen nog worden overzien.

“SolarWinds werd het uithangbord voor digitale supply chain-risico’s”, zegt Michael Isbitski, directeur cyberbeveiligingsstrategie bij Sysdig.

Toch, zei hij, is Microsoft Exchange een ander voorbeeld dat net zo veel impact heeft gehad, “maar snel werd vergeten.” Hij wees erop dat de FBI en Microsoft ransomware-campagnes blijven volgen die gericht zijn op kwetsbare Exchange-implementaties.

Een ander voorbeeld is Kassa, dat medio 2021 werd geschonden door ransomware-agenten. Als gevolg hiervan ontvingen meer dan 2.000 klanten van de IT-beheersoftwareleverancier een gecompromitteerde versie van het product en kregen uiteindelijk tussen de 1.000 en 1.500 klanten hun systemen versleuteld.

“De directe schade van een aanval als deze is immens”, zei Moore. “Nog gevaarlijker zijn echter de gevolgen op de lange termijn. De totale kosten voor herstel kunnen enorm zijn en jaren duren.”

Dus waarom blijven software supply chain-aanvallen plaatsvinden?

De reden voor het voortdurende bombardement, zei Moore, is de toenemende afhankelijkheid van code van derden (inclusief Log4j).

Dit maakt distributeurs en leveranciers steeds kwetsbaarder, en kwetsbaarheid wordt vaak gelijkgesteld met een hogere uitbetaling, legde hij uit.

Ook “gaan ransomware-actoren steeds grondiger te werk en gebruiken ze niet-conventionele methoden om hun doelen te bereiken”, aldus Moore.

Met behulp van de juiste segmentatieprotocollen richten ransomware-agenten zich bijvoorbeeld op IT-beheersoftwaresystemen en moederbedrijven. Vervolgens gebruiken ze deze relatie na een inbreuk om de infrastructuur van de dochterondernemingen en vertrouwde partners van die organisatie te infiltreren.

“Aanvallen op de toeleveringsketen komen op dit moment helaas veel voor, deels omdat er meer op het spel staat”, zegt Moore. “Langdurige verstoringen in de toeleveringsketen hebben de industrie op een kwetsbaar kruispunt geplaatst.”

Lage kosten, hoge beloning

Aanvallen op de toeleveringsketen zijn goedkoop, kunnen minimale inspanning kosten en kunnen een hoge beloning opleveren, zegt Crystal Morin, Threat Research Engineer bij Sysdig. En tools en technieken worden vaak gemakkelijk online gedeeld, en ook vrijgegeven door beveiligingsbedrijven, die regelmatig gedetailleerde bevindingen publiceren.

“De beschikbaarheid van tools en informatie kan minder ervaren aanvallers de mogelijkheid bieden om geavanceerde dreigingsactoren te kopiëren of snel geavanceerde technieken te leren”, aldus Morin.

Ransomware-aanvallen op de toeleveringsketen stellen slechte actoren ook in staat een breed net uit te werpen, zegt Zack Newman, senior software-engineer en onderzoeker bij Kettingkast. In plaats van middelen te besteden aan het aanvallen van één organisatie, kan een inbreuk op een deel van een toeleveringsketen honderden of duizenden downstream-organisaties treffen. Aan de andere kant, als een aanvaller zich richt op een specifieke organisatie of overheidsinstantie, verandert het aanvalsoppervlak.

“In plaats van te wachten tot die ene organisatie een beveiligingsprobleem heeft, hoeft de aanvaller slechts één beveiligingsprobleem te vinden in een van hun afhankelijkheden in de softwaretoeleveringsketen”, aldus Newman.

Geen enkele offensieve/defensieve tactiek kan alle softwaretoeleveringsketens beschermen

Recente aanvallen op de toeleveringsketen benadrukken het feit dat geen enkele tool volledige verdediging biedt, zei Moore. Als slechts één tool in de stapel van een organisatie wordt gecompromitteerd, kunnen de gevolgen ernstig zijn.

“Ieder beschermingskader dat door intelligente mensen is gebouwd, kan immers worden geschonden door andere intelligente mensen”, zei hij.

Diepgaande verdediging is nodig, zei hij; dit zou een gelaagd beveiligingsbeleid, edge-beveiliging, endpoint-beveiliging, multifactor-authenticatie (MFA) en gebruikerstraining moeten hebben. Robuuste herstelmogelijkheden, inclusief correct opgeslagen back-ups – en idealiter uptime-experts die klaar staan ​​om te mobiliseren na een aanval – zijn ook een must-have.

Zonder goed geïnformeerde mensen die ze correct beheren en uitvoeren, verliezen gelaagde technologieën hun waarde, zei Moore. Of, als leiders niet het juiste raamwerk implementeren voor de manier waarop die mensen en technologieën met elkaar omgaan, laten ze gaten achter waar aanvallers misbruik van kunnen maken.

“Het vinden van de juiste combinatie van mensen, processen en technologie kan een uitdaging zijn vanuit het oogpunt van beschikbaarheid en kosten, maar het is niettemin cruciaal”, zei hij.

Holistische, uitgebreide zichtbaarheid

Commerciële software staat meestal op de radar van beveiligingsteams, maar open-source wordt vaak over het hoofd gezien, merkte Morin op. Organisaties moeten op de hoogte blijven van alle software die ze gebruiken en hergebruiken, inclusief open-sourcesoftware en software van derden.

Soms zijn engineeringteams te snel, zei ze, of is beveiliging losgekoppeld van het ontwerp en de levering van applicaties met behulp van open-source software.

Maar zoals bleek met problemen in afhankelijkheden zoals OpenSSL, Apache Struts en Apache Log4j, verspreiden kwetsbaarheden zich snel door omgevingen, applicaties, infrastructuur en apparaten.

“Traditionele benaderingen van kwetsbaarheidsbeheer werken niet”, zegt Morin. “Organisaties hebben buiten contractuele verplichtingen weinig tot geen controle over de beveiliging van hun leveranciers, maar dit zijn geen proactieve controles.”

Er bestaan ​​beveiligingstools om applicaties en infrastructuur voor deze kwetsbare pakketten vóór en na levering te analyseren, zei ze, maar organisaties moeten ervoor zorgen dat je het hebt geïmplementeerd.

Maar “de andere best practices op het gebied van beveiliging blijven van toepassing”, zei ze.

Uitgebreide beveiligingsfocus

Morin adviseerde: detecties regelmatig bijwerken en verbeteren. Patch altijd waar en zo snel mogelijk. Vraag leveranciers, partners en leveranciers wat ze doen om zichzelf, hun klanten en gevoelige gegevens te beschermen.

‘Blijf er ook bovenop,’ zei ze. “Als u problemen ziet die van invloed kunnen zijn op uw reguliere beveiligingsinspanningen, val ze er dan mee lastig. Als jij je due diligence hebt gedaan, maar een van je leveranciers niet, dan zal het des te erger zijn als ze gecompromitteerd raken of je gegevens lekken.”

Ook zorgen risico’s verder dan alleen traditionele binaire bestanden van applicaties, zei Isbitski. Containerimages en infrastructuur-als-code zijn het doelwit van vele soorten kwaadaardige code, niet alleen ransomware.

“We moeten onze beveiligingsfocus uitbreiden naar kwetsbare afhankelijkheden waarop applicaties en infrastructuur zijn gebouwd”, zegt Isbitski, “niet alleen de software die we op desktops en servers installeren.”

Uiteindelijk, zei RKVST chief product and technology officer Jon Geater, beginnen bedrijven meer waardering te krijgen voor wat mogelijk wordt “wanneer ze integriteit, transparantie en vertrouwen op een standaard, geautomatiseerde manier implementeren.”

Toch, benadrukte hij, gaat het niet altijd alleen om supply chain aanvallen.

“Eigenlijk komen de meeste problemen voort uit fouten of vergissingen in de toeleveringsketen, die vervolgens het doelwit openen voor traditionele cyberaanvallen”, zegt Geater.

Het is een subtiel verschil, maar een belangrijk verschil, merkte hij op. “Ik geloof dat het grootste deel van de ontdekkingen die volgend jaar voortkomen uit verbeteringen in de zichtbaarheid van de toeleveringsketen, zal benadrukken dat de meeste bedreigingen voortkomen uit fouten, niet uit boosaardigheid.”

Raak niet alleen verstrikt in ransomware

En hoewel de bezorgdheid over ransomware voorop staat als onderdeel van de aanpak van eindpuntbeveiliging, is het slechts één mogelijke aanvalstechniek, zei Isbitski.

Er zijn veel andere bedreigingen waarop organisaties zich moeten voorbereiden, zei hij, waaronder nieuwere technieken zoals cryptojacking, op identiteit gebaseerde aanvallen en geheimen oogsten.

“Aanvallers gebruiken wat het meest effectief is en draaien binnen gedistribueerde omgevingen om gegevens te stelen, systemen te compromitteren en accounts over te nemen”, aldus Isbitski. “Als aanvallers een middel hebben om kwaadaardige code of ransomware in te zetten, zullen ze die gebruiken.”

Gemeenschappelijke technieken nodig

Newman erkende inderdaad dat er zoveel variatie is in termen van wat een supply chain-aanval inhoudt, dat het voor organisaties moeilijk is om te begrijpen wat het aanvalsoppervlak kan zijn en hoe ze zich tegen aanvallen kunnen beschermen.

Op het hoogste niveau is een traditionele kwetsbaarheid in de OpenSSL-bibliotheek bijvoorbeeld een supply chain-kwetsbaarheid. Een OSS-onderhouder die wordt gecompromitteerd of om politieke redenen schurkenstaten wordt, vormt een kwetsbaarheid in de toeleveringsketen. En een hack van een OSS-pakketrepository of een hack van het buildsysteem van een organisatie zijn aanvallen op de toeleveringsketen.

“We moeten gemeenschappelijke technieken toepassen om elk type aanval in de toeleveringsketen te beschermen en te beperken”, aldus Newman. “Ze moeten allemaal worden gerepareerd, maar beginnen waar de aanvallen handelbaar zijn, kan enig succes opleveren om weg te werken.”

Bij het proactief aannemen van sterk beleid en best practices voor hun beveiligingshouding, kunnen organisaties kijken naar de checklist met standaarden onder het Supply Chain Levels for Software Artifacts Framework (SLSA), opperde Newman. Organisaties moeten ook een sterk beveiligingsbeleid afdwingen gedurende de levenscyclus van de softwareontwikkeling van hun ontwikkelaars.

Stimuleren van onderzoek naar beveiliging van de toeleveringsketen van software

Toch, benadrukte Newman, is er veel om optimistisch over te zijn; de industrie boekt vooruitgang.

“Onderzoekers hebben lang nagedacht over het oplossen van de beveiliging van de software-supply chain”, zegt Newman. Dit gaat terug tot de jaren 80.

Hij wees bijvoorbeeld op opkomende technologieën uit de gemeenschap zoals Het updateframework (TUF) of de in-to-framework.

De nadruk van de industrie op software stuklijsten (SBOM’s) is ook een positief teken, zei hij, maar er moet meer worden gedaan om ze effectief en bruikbaar te maken. SBOM’s moeten bijvoorbeeld tijdens het bouwen worden gemaakt in plaats van achteraf, omdat “dit type gegevens enorm waardevol zal zijn om de verspreiding en impact van aanvallen te helpen voorkomen.”

Hij wees er ook op dat Chainguard er samen een heeft gemaakt en er nu een onderhoudt gegevensset van kwaadaardige compromissen in de softwaretoeleveringsketen. Deze inspanning bracht negen hoofdcategorieën van aanvallen en honderden of duizenden bekende compromissen aan het licht.

Uiteindelijk zoeken zowel onderzoekers als organisaties “naar manieren om deze problemen voor eens en voor altijd op te lossen”, zei Newman, “in plaats van de gebruikelijke pleisterbenaderingen te gebruiken die we tegenwoordig in beveiliging zien.”