In 2021 zal Codecov, een softwaretestplatform dat rapporten en statistieken over codedekking genereert, was het doelwit van een supply chain-aanval die Docker-uploadscripts manipuleerde. De omgeving van Codecov werd gecompromitteerd zonder dat er waarschuwingssignalen uitgingen. De schade was enorm omdat Codecov meer dan 29,000 zakelijke klanten bedient, waaronder IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble en de Royal Bank of Canada. De enorme inbreuk bleef maandenlang onopgemerkt. Ondanks dat het op 31 januari 2021 begon, werd het pas op 1 april 2021 ontdekt.
Een ander berucht incident is het alomtegenwoordige hulpmiddel voor het opschonen van computers CCleaner was gecompromitteerd gedurende meer dan een maand door hackers. Avast, eigenaar van CCleaner, heeft de software-updates die gebruikers downloaden besmet met een achterdeur van malware. Miljoenen computers werden blootgesteld en dit incident versterkte de dreiging van zogenaamde digitale supply chain-aanvallen, waarin vertrouwde, wijdverspreide software daadwerkelijk wordt geïnfecteerd.
Een supply chain-aanval, ook wel bekend als een aanval van derden of een backdoor-inbreuk, vindt plaats wanneer een hacker het systeem van een bedrijf infiltreert via een externe partner of leverancier die softwarediensten aan die organisatie levert. Het wordt een supply chain-aanval genoemd omdat het kwetsbaarheidspunt waardoor de aanval plaatsvindt de software supply chain is. Dit soort aanvallen zijn vaak behoorlijk omvangrijk en lastig te detecteren. Cybercriminelen richten zich vaak op dit soort softwaretoeleveringsketens, omdat ze met één enkele inbreuk duizenden slachtoffers tegelijk kunnen compromitteren.
Nu meer softwareleveranciers en leveranciers toegang krijgen tot gevoelige gegevens dan vroeger, is het risico op deze aanvallen de afgelopen jaren toegenomen. Er zijn zelfs talloze bronnen die beweren dat het aantal software-supply chain-aanvallen in 2021 is verdrievoudigd in vergelijking met de cijfers van het jaar daarvoor. In mei 2021 de regering-Biden noemde aanvallen op de toeleveringsketen van software als een punt van zorg, wat bevestigt hoe belangrijk deze kwestie is.
Wat zijn de verschillende soorten software supply chain-aanvallen?
Elk softwarebedrijf dat zijn diensten aan andere organisaties levert, is een potentieel doelwit voor een softwareaanval in de supply chain. Voor een aanval is slechts één aangetaste software nodig om malware over de hele toeleveringsketen te verspreiden. De hackers jagen doorgaans op slecht beveiligde software of onbeschermde netwerkprotocollen waarin ze kunnen inbreken en malware kunnen verbergen tijdens het bouw- of updateproces van de software. Bedreigingsactoren kunnen een breed scala aan technieken gebruiken om een supply chain-aanval uit te voeren.
In de meeste gevallen verschuilen supply chain-aanvallen zich achter legitieme processen om onbeperkte toegang te krijgen tot het software-ecosysteem van een organisatie. Aanvallers beginnen doorgaans met het infiltreren van de beveiligingssystemen van een leverancier of softwareleverancier. Dit is meestal gemakkelijker dan een slachtoffer rechtstreeks aanvallen vanwege de slechte cyberbeveiligingspraktijken van veel van deze leveranciers.
Zodra de supply chain-malware in het software-ecosysteem van de leverancier is geïnjecteerd, moet deze zich hechten aan een legitiem digitaal ondertekend proces. Aanvallers maken vaak gebruik van software-updates als toegangspunt om de malware door de softwaretoeleveringsketen te verspreiden. Enkele veelgebruikte technieken bij supply chain-aanvallen zijn:
Gecompromitteerde tools voor het bouwen van software
Het proces van het bouwen van moderne softwareapplicaties lijkt sterk op de fysieke toeleveringsketen: in de meeste gevallen worden applicaties gebouwd met behulp van verschillende kant-en-klare componenten van verschillende leveranciers. Dit omvat eigen code, API's van derden, open-sourcecomponenten, enzovoort. Het is onmogelijk om een moderne applicatie helemaal opnieuw te bouwen, en daarom hergebruiken de meeste softwareontwikkelaars deze verschillende componenten eenvoudigweg als standaardpraktijk.
Hoewel deze plug-and-play-praktijk het ontwikkelingsproces versnelt, introduceert het het risico van beveiligingsproblemen, waarvan aanvallen in de toeleveringsketen de belangrijkste zijn. Als een softwarecomponent op de een of andere manier wordt gecompromitteerd, worden talloze organisaties waarvan de applicatie met deze component is gebouwd kwetsbaar voor een aanval.
Gestolen code-sign-certificaten of ondertekende kwaadaardige apps met behulp van gestolen identiteit
Bij dit type aanval steelt de hacker een certificaat dat bevestigt dat het product van een bedrijf legitiem en veilig is. Dit gestolen certificaat maakt het voor hen mogelijk om kwaadaardige code te verspreiden, vermomd als het product van een legitiem bedrijf.
ATP41, een hackergroep gesteund door de Chinese overheid, gebruikt deze aanvalsmethode om supply chain-aanvallen uit te voeren. Door kwaadaardige code legitiem te laten lijken (met behulp van gestolen code-sign-certificaten), kunnen ze de code voorbij de beveiligingscontroles krijgen in de systemen die ze aanvallen. Dit type aanval is bijzonder moeilijk te detecteren.
Een ondertekende aanval op een kwaadaardige app is vergelijkbaar met een aanval met gestolen code; in dit geval vermomt de aanvaller de gecompromitteerde software als een legitieme app met behulp van de gestolen ondertekende identiteit van de app. Hierdoor kan het verschillende beveiligingsmaatregelen omzeilen, zodat een aanval kan plaatsvinden.
Gecompromitteerde code in hardware- of firmwarecomponenten
Elk digitaal apparaat is afhankelijk van firmware om soepel te kunnen werken. In de meeste gevallen is deze firmware een product van derden dat door een ander bedrijf wordt onderhouden. Hackers kunnen kwaadaardige code in de firmware injecteren, waardoor ze toegang kunnen krijgen tot het netwerk of de systemen van digitale apparaten die gebruik maken van deze firmwarecomponenten. Dit type aanval creëert een achterdeur naar de digitale apparaten die door deze firmware worden aangedreven, waardoor hackers informatie kunnen stelen en nog meer malware kunnen installeren.
Vooraf geïnstalleerde malware
Hackers plaatsen soms kwaadaardige supply chain-malware op hardwareapparaten zoals telefoons, Universal Serial Bus (USB)-camera's, schijven en andere apparaten. Hierdoor kunnen ze zich richten op systemen of netwerken die zijn verbonden met de apparaten waarvoor de geïnfecteerde hardware wordt gebruikt.
Een USB-stick kan bijvoorbeeld worden gebruikt om een keylogger mee te nemen, die vervolgens zijn weg vindt naar de systemen van een groot detailhandelsbedrijf. Deze keylogger kan worden gebruikt om de toetsaanslagen van de klanten van het bedrijf te loggen, waardoor hackers toegang krijgen tot informatie zoals betalingsgegevens, klantgegevens, enz.
Hoe kunt u zich beschermen tegen supply chain-aanvallen?
De aard van aanvallen in de toeleveringsketen maakt het moeilijk om ertegen te optreden. Dit soort aanvallen maken misbruik van het vertrouwen dat bedrijven in hun leveranciers hebben om een tegenaanval uit te voeren. Hoewel het moeilijk is om deze aanvallen te voorkomen, zijn hier enkele dingen die u kunt doen om de impact ervan te beperken of de risico's ervan te verkleinen:
Controleer uw infrastructuur
Het gebruik van software die niet is goedgekeurd of gecontroleerd door IT (schaduw-IT) is een van de factoren die uw bedrijf vatbaar kunnen maken voor aanvallen op de toeleveringsketen. Een van de manieren om deze aanvallen te beperken is het uitvoeren van een uitgebreide audit van alle software die binnen uw organisatie wordt gebruikt. Dit kan kwetsbaarheden aan het licht brengen die supply chain-hackers kunnen gebruiken om een aanval uit te voeren.
Houd een bijgewerkte inventaris bij van al uw softwaremiddelen
Elke software van derden die u gebruikt (ongeacht hoe veilig deze ook lijkt) is een potentieel kwetsbaar punt. Door een bijgewerkte inventaris bij te houden van al uw software van derden, kunt u hun updates, upgrades en beveiligingsproblemen beter bijhouden. Dit helpt ook om potentiële aanvalspunten te beperken en noodzakelijke oplossingen in te zetten.
Beoordeel leveranciers rigoureus en pas een zero-trust-aanpak toe
Voordat u een tool van derden gebruikt of samenwerkt met een nieuwe leverancier, moet u zorgvuldig controleren hoe veilig deze zijn. Meestal vinden supply chain-aanvallen plaats omdat leveranciers de standaard beveiligingspraktijken niet volgen. Als onderdeel van uw risicobeoordelingsinspanningen kunt u elke potentiële leverancier vragen om details te verstrekken over hun standaard beveiligingspraktijken om te bepalen of zij voorbereid zijn op aanvallen op de toeleveringsketen. U kunt beginnen met het aanvragen van een SOC 2 Type-rapport en ISO 27001-certificering bij elke leverancier waarmee u wilt samenwerken. U moet ook hun beveiligingsrapporten controleren en certificaten voor elk product verifiëren voordat u het koopt.
Vertrouw nooit standaard nieuwe software of gebruikers. Zelfs nadat u hun beveiligingskader heeft bevestigd en ermee heeft ingestemd hun diensten te gebruiken, waarbij de activiteiten of machtigingen worden beperkt, zal elk nieuw hulpmiddel op uw netwerk uw kwetsbaarheid verminderen.
Gebruik beveiligingshulpmiddelen
Hoewel antivirusprogramma's, firewalls en andere beveiligingstools vaak niet effectief zijn tegen aanvallen op de toeleveringsketen, kunnen ze nog steeds helpen de code-integriteit te verifiëren en het risico op een aanval te verminderen. Zelfs als ze de aanval niet kunnen voorkomen, kunnen deze tools u nog steeds waarschuwen voor aanhoudende aanvallen. Een firewall kan u bijvoorbeeld laten weten wanneer er grote hoeveelheden gegevens over uw netwerk worden verzonden, wat vaak het geval is bij een malware- of ransomware-aanval.
Beveilig uw eindpunten
Aanvallers in de toeleveringsketen maken vaak gebruik van softwarekwetsbaarheden op slecht beveiligde eindpunten om een aanval uit te voeren. Door een eindpuntdetectie- en responssysteem te implementeren, kunt u uw eindpunten beschermen tegen malware en ransomware. Op deze manier kunnen ze deze eindpunten niet langer gebruiken om een aanval naar andere delen van uw netwerk te verspreiden, waardoor de aanval wordt gestopt voordat deze zich verder verspreidt.
Implementeer een krachtig code-integriteitsbeleid
Supply chain-aanvallen die gebruikmaken van app- of code-integriteit kunnen worden gestopt door een krachtig code-integriteitsbeleid te implementeren dat alleen apps autoriseert op basis van strenge regels. Dit codeafhankelijkheidsbeleid blokkeert elke app die er verdacht uitziet of een waarschuwingssignaal geeft. Ook al kunnen er enkele verkeerde telefoontjes en valse alarmen plaatsvinden, het beperken van de risico's in de toeleveringsketen op deze manier is nog steeds beter dan een aanval ondergaan. Elke app die wordt gemarkeerd, kan verder worden onderzocht en geautoriseerd als deze legitiem wordt bevonden.
Zorg voor een incidentresponsplan
Gezien de toenemende frequentie van supply chain-aanvallen, kunt u het beste van tevoren voorbereid zijn door een incidentresponsplan op te stellen. Elke organisatie moet plannen hebben om bedrijfskritische componenten te beschermen in geval van inbreuken, om de activiteiten intact te houden. U moet ook over duidelijke reactie- en communicatiestrategieën beschikken om partners, leveranciers en klanten te informeren wanneer zich een inbreuk voordoet. Uw IT-team moet altijd voorbereid zijn op mogelijke aanvallen. Een passende risicobeheerplanning houdt onder meer in dat u regelmatig incidentresponsoefeningen met uw team uitvoert om de gereedheid voor mogelijke aanvallen te beoordelen.
Voorbeelden van recente aanvallen op de toeleveringsketen
De efficiëntie van supply chain-aanvallen is de belangrijkste factor die verantwoordelijk is voor de prevalentie ervan. Dit soort aanvallen heeft gevolgen voor verschillende organisaties, van grotere bedrijven zoals Target tot overheidsinstanties. De afgelopen tien jaar zijn er enkele spraakmakende gevallen van supply chain-aanvallen geweest. Enkele van de meest opvallende voorbeelden van supply chain-aanvallen zijn:
-
SITA, 2021
Begin 2021 kreeg het luchtvervoergegevensbedrijf SITA te maken met een datalek waarvan wordt aangenomen dat het de vluchtgegevens van meer dan 580,000 passagiers van Malaysia Airlines heeft blootgelegd.
Frequent flyer-programma. Hetzelfde datalek trof ook Finnair Air in Nieuw-Zeeland en verschillende anderen. Experts denken dat de aanval plaatsvond via een bedrijf dat bekend staat als Star Alliance, waarmee Singapore Airlines gegevens deelt. De aanval verspreidde zich vervolgens naar de hele toeleveringsketen.
-
Wachtwoordstatus, 2021
ClickStudios, een in Australië gevestigd bedrijf en de makers van Passwordstate (een oplossing voor wachtwoordbeheer), rapporteerde in 2021 een supply chain-aanval. De aanval vond plaats via de software-updateservice die werd gehost op een CDN van derden. De malware werd automatisch gedownload naar de apparaten van de klanten die tijdens de aanval hun software hadden bijgewerkt. De kwaadaardige software is ontworpen om alle gegevens die zijn opgeslagen in de database van de klant te decoderen en deze als platte tekst naar de externe server van de aanvaller te sturen.
-
Afhankelijkheidsverwarring 2021
Dit was een doelbewuste aanval om de verspreiding van supply chain-aanvallen te testen. Alex Birsan, een beveiligingsonderzoeker, heeft inbreuk gemaakt op systemen van bedrijven als Microsoft, Uber, Tesla en Apple door gebruik te maken van afhankelijkheidsprotocollen die hun applicaties gebruikten om diensten aan eindgebruikers te leveren. Deze afhankelijkheden maakten het mogelijk om valse datapakketten naar verschillende spraakmakende gebruikers op het netwerk te verzenden.
-
Mimecast, 2021
Een gecompromitteerd digitaal certificaat van Mimecast leidde tot een van de meest spraakmakende datalekken in de toeleveringsketen van 2021. Het digitale certificaat dat werd gebruikt voor het authenticeren van een aantal services van Mimecast op Microsoft 365 Exchange-webservices, was gecompromitteerd. Uit onderzoek bleek dat de groep achter deze hack ook verantwoordelijk was voor de SolarWinds-aanval van 2020. De aanval trof tot 10% van de klanten van Mimecast.
-
SolarWinds-aanval, 2020
Dit is misschien wel het meest spraakmakende geval van supply chain-aanvallen in het afgelopen decennium. Hackers waarvan wordt aangenomen dat ze buitenlandse kwaadwillende spelers zijn, hebben verschillende Amerikaanse overheidsinstanties aangevallen via een externe leverancier die bekend staat als SolarWinds, een IT-serviceprovider. Onder de 18,000 klanten van SolarWinds die door de aanvallen zijn getroffen, behoren zes Amerikaanse overheidsdepartementen, waaronder het ministerie van Energie en de National Nuclear Security Administration, het Amerikaanse ministerie van Buitenlandse Zaken, het ministerie van Handel, het ministerie van Financiën en het ministerie van Binnenlandse Zaken. Beveiliging.
-
Asus, 2018
In 2018 werd bij een kwaadaardige aanval gebruik gemaakt van de live updatesoftware van ASUS om backdoor-malware op meer dan een miljoen computers te installeren. Bij deze supply chain-aanval maakten de hackers gebruik van de automatische updatefunctie om malware op de pc's van gebruikers te introduceren. De malware was ondertekend met legitieme ASUS-beveiligingscertificaten, waardoor deze moeilijk te detecteren was. Gelukkig hadden de hackers een beperkte lijst van slechts 600 gebruikers, en de duizenden andere gebruikers die niet op die lijst stonden, werden niet significant beïnvloed.
-
Evenementstream, 2018
Bij de event-stream-aanval van 2018 injecteerden hackers malware in een opslagplaats binnen het GitHub-systeem. Omdat GitHub een back-upservice was voor miljoenen ontwikkelaars, stelde de aanval verschillende gebruikers bloot aan een potentiële malware-aanval. De kwaadaardige code was echter specifiek geprogrammeerd om de Bitcoin-portemonnee van Copay te targeten. Als de door de malware getroffen Copay-ontwikkelaars tijdens de aanval een release build-script zouden uitvoeren, zou de kwaadaardige code in de applicatie zijn gebundeld en zou dit de privésleutels en accountinformatie van Copway-gebruikers met minstens 1000 Bitcoin in hun bezit hebben verzameld. rekening.
-
Equifax supply chain-aanval
Equifax, een van de grootste creditcardinformatiebureaus ter wereld, werd in 2018 getroffen door een supply chain-aanval. De kwaadaardige code werd geleverd via een app-kwetsbaarheid op de website van het bedrijf. Meer dan 147 miljoen Equifax-klanten werden getroffen door de aanval waarbij gevoelige persoonlijke gegevens openbaar werden gemaakt, waaronder adressen, burgerservicenummers, geboortedata, enzovoort.
Conclusie
Als er maar één ding is dat u uit dit artikel moet leren, dan zou dit het moeten zijn: aanvallen op de softwaretoevoerketen vormen een onmiddellijke bedreiging. Daar is geen twijfel over.
Daarom kunt u de ondertekende producten en updates van leveranciers niet vertrouwen; Het kan zijn dat er al wijzigingen of toevoegingen aan uw code zijn aangebracht. Dus wat kunt u doen om ervoor te zorgen dat uw systeem niet wordt geïnfecteerd met kwaadaardige bestanden? Zorg ervoor dat elke bibliotheekeigenaar of programmaleverancier u een volledige SBOM verstrekt. Lees meer over SBOM's hier– en zorg ervoor dat u krijgt wat u van de leverancier of bibliotheekeigenaar verwacht door een betrouwbaar attest aan te vragen.