Wat is supply chain risk management (SCRM)?

In het huidige digitale landschap gaat het beschermen van de supply chain hand in hand met cyberbeveiliging. Nu organisaties steeds vaker een beroep doen op externe leveranciers en software van derden om aan hun behoeften te voldoen, worden we geconfronteerd met een hele reeks nieuwe risico's buiten de vier muren van de organisatie. En die risico's voor de toeleveringsketen kunnen van invloed zijn op alles in het bedrijf, van softwareontwerp tot geïmplementeerde softwareproducten.

In deze blog leren we het concept van supply chain risk management en de rol ervan in cyberbeveiliging kennen. We bespreken ook hoe veelvoorkomende risico's kunnen worden geïdentificeerd, hoe effectieve beoordelingsmethoden kunnen worden ontwikkeld en hoe robuuste beveiligingsstrategieën kunnen worden opgezet. We bespreken ook enkele van de belangrijkste kaders, branchespecifieke use cases en andere best practices die organisaties kunnen gebruiken om de veiligheid van de toeleveringsketen te waarborgen.

Wat is Supply Chain Risk Management

Risicobeheer in de toeleveringsketen (SCRM) is het geheel van acties en processen waarmee organisaties risico's met betrekking tot hun externe partners, leveranciers en dienstverleners kunnen herkennen, evalueren en minimaliseren. Het omvat digitale elementen die een product of dienst leveren.

Risicobeheer in de toeleveringsketen scant verschillende componenten op kwetsbaarheden voordat ze de organisatieomgeving binnenkomen. Het zet ook monitoring op om potentiële problemen te detecteren die later kunnen ontstaan. Deze aanpak is gericht op veiligheid op elk contactpunt tussen de buitenwereld en interne systemen.

Beveiliging, IT, inkoop, juridische en zakelijke teams moeten allemaal samenwerken om SCRM effectief te laten zijn. Deze cross-functionele aanpak zorgt ervoor dat het volledige spectrum van beveiligingsrisico's van leveranciersrelaties wordt gedekt, van selectie tot contractbeheer en periodieke beveiligingsbeoordelingen.

Waarom is supply chain risk management belangrijk?

In een tijdperk waarin organisaties steeds meer afhankelijk zijn van externe leveranciers en bibliotheken van derden, is supply chain risk management steeds belangrijker geworden. Tegenwoordig werken de meeste bedrijven samen met tientallen of honderden derde partijen die hen helpen bij het runnen van hun bedrijf. Elke relatie brengt beveiligingsrisico's met zich mee die de beveiligingsstatus van een organisatie kunnen veranderen.

Veel moderne softwaretoepassingen bestaan uit componenten van veel verschillende bronnen. De code in een bedrijfsapplicatie bevat doorgaans tientallen bibliotheken en frameworks van derden. Als een van deze componenten een beveiligingslek heeft, kan de hele applicatie in gevaar komen. Het afhankelijkheidsprobleem geldt ook voor clouddiensten, beheerde providers en hardwareleveranciers.

Veelvoorkomende soorten risico's in de toeleveringsketen

Risico's in de toeleveringsketen kunnen zich voordoen in de vorm van gecompromitteerde software, aanvallen op diensten, insiders of toegang door derden, waarbij voor elk daarvan eigen methoden voor detectie en bescherming nodig zijn. De meest voorkomende soorten zijn:

Code-injectieaanvallen

Bij code-injectieaanvallen voegt een aanvaller tijdens de ontwikkeling of distributie kwaadaardige code toe aan legitieme software. Dit kan gebeuren wanneer een aanvaller toegang krijgt tot broncoderepositories, buildsystemen of updateservers. Een bekend voorbeeld is de SolarWinds-aanval, waarbij code voor achterdeurtjes werd toegevoegd aan de software-updates en aan duizenden klanten werd geleverd.

Gecompromitteerde software

Een ander belangrijk risico komt van gecompromitteerde softwarecomponenten. Open-sourcebibliotheken kunnen de ontwikkeling versnellen en worden door veel ontwikkelaars gebruikt, maar ze kunnen ook kwetsbaarheden of kwaadaardige code bevatten. Wanneer deze defecte onderdelen in applicaties worden ingebouwd, nemen ze hun beveiligingsfouten mee.

Beveiligingsinbreuken bij leveranciers

Beveiligingsinbreuken bij leveranciers vormen een risico wanneer leveranciers die toegang hebben tot de systemen of gegevens van een organisatie te maken krijgen met beveiligingsincidenten. Als iemand met toegang tot het netwerk of gevoelige informatie gecompromitteerd raakt, kunnen aanvallers deze relatie misbruiken en zich lateraal verplaatsen naar de omgeving van de klant.

Hardware-manipulatie

Bij aanvallen op de firmware-toeleveringsketen wordt de software die in hardwarecomponenten is ingebouwd, gecompromitteerd. Dit kan onder meer gebeuren door kwaadaardige code in firmware-updates te injecteren, apparaatstuurprogramma's te compromitteren of opstartprocessen te manipuleren.

Misbruik van updatemechanismen

Misbruik van updatemechanismen richt zich op de kanalen die worden gebruikt voor de levering van echte software-updates. Aanvallers compromitteren deze vertrouwde distributiekanalen, waardoor ze malware kunnen verspreiden die is vermomd als afkomstig van vertrouwde leveranciers.

Belangrijkste componenten van risicobeheer in de toeleveringsketen

Er zijn belangrijke componenten van risicobeheer in de toeleveringsketen die, wanneer ze samen worden gebruikt, effectief kunnen zijn. Ze vormen een uitgebreid ecosysteem voor het ontdekken, monitoren en beheren van risico's die worden gevormd door externe leveranciers en hun componenten.

Risicobeoordeling en -beheer van leveranciers

Risicobeoordeling van leveranciers legt de basis voor de beveiliging van de toeleveringsketen. Dit proces beoordeelt de beveiligingspraktijken van nieuwe en bestaande leveranciers voordat zij toegang krijgen tot systemen of gegevens. Een goede beoordeling omvat technische controles en beveiligingsbeleid, een evaluatie van eerdere incidenten en de algehele beveiligingsvolwassenheid. Tijdens de evaluatie moeten organisaties beschikken over een gestandaardiseerde vragenlijst en een scoresysteem voor de leveranciers, zodat deze objectief met elkaar kunnen worden vergeleken.

SCA en software bill of materials (SBOM)

SCA-tools scannen applicatiecode om alle gebruikte componenten van derden te identificeren en zoeken naar bekende kwetsbaarheden daarin. Deze tools genereren een uitgebreide lijst van alle softwareafhankelijkheden en waarschuwen teams wanneer er kwetsbaarheden worden gedetecteerd in deze componenten. SCA genereert doorgaans een Software Bill of Materials (SBOM) met een overzicht van alle componenten in een applicatie, samen met hun versies, configuraties en eventuele kwetsbaarheden.

Incidentresponsplanning voor aanvallen op de toeleveringsketen

Aanvallen op de toeleveringsketen omvatten een aantal unieke componenten die niet in elk incidentresponsplan aan bod komen. Daarom is het noodzakelijk dat organisaties actieplannen hebben die specifiek betrekking hebben op compromittering via vertrouwde leveranciers. Dergelijke plannen moeten gericht zijn op het isoleren van apparaten, het contacteren van de betreffende leveranciers, het in kaart brengen van de omvang van de inbreuk en het beperken van de schade. Responseteams hebben duidelijke instructies nodig over wanneer en hoe ze de toegang tot gecompromitteerde leveranciers moeten afsluiten en de diensten moeten herstellen zodra een incident voorbij is.

Hoe kunnen risico's in de toeleveringsketen worden geïdentificeerd en beoordeeld?

Er bestaat een systematische aanpak voor het herkennen en analyseren van risico's in de toeleveringsketen, waarbij een combinatie van technische middelen en de analyse van een bedrijfsproces wordt gebruikt. Organisaties moeten echter duidelijke manieren hebben om potentiële problemen aan het licht te brengen voordat deze van invloed zijn op de bedrijfsvoering.

Het opstellen van een uitgebreide softwarebill of materials (SBOM) van alle externe code, afhankelijkheden, containers en clouddiensten die binnen de organisatie worden gebruikt, is waar het identificeren van risico's in de digitale toeleveringsketen begint. Dit moet de vorm aannemen van een geautomatiseerde inventaris die gedetailleerd aangeeft welke componenten in elke applicatie worden gebruikt, hun versie-informatie, bekende kwetsbaarheden en kriticiteit voor de bedrijfsvoering.

Beveiligingsteams moeten scantools integreren met CI/CD-pijplijnen en samenwerken met ontwikkelings- en IT-teams om ervoor te zorgen dat er geen afhankelijkheden, API's of microservices door de mazen van het net glippen.

Technieken voor het beperken van risico's in de toeleveringsketen

Er zijn een aantal effectieve strategieën die organisaties kunnen inzetten om de veiligheidsrisico's in de toeleveringsketen te verminderen. Samen bieden deze technieken een gelaagde verdediging tegen externe bedreigingen.

Veiligheidseisen voor leveranciers

Duidelijk omschreven veiligheidseisen in contracten met leveranciers vormen een solide basis voor de veiligheid van de toeleveringsketen. Deze vereisten moeten minimale beveiligingsmaatregelen, nalevingscertificeringen, termijnen voor het melden van inbreuken en auditrechten omvatten. In juridische overeenkomsten moet beveiliging niet-onderhandelbaar zijn en moeten organisaties normen voor leveranciers kunnen afdwingen, waarbij zij aansprakelijk worden gesteld voor eventuele beveiligingsfouten. Ze moeten specifiek en meetbaar zijn en consequenties hebben bij niet-naleving.

Controle van de integriteit van code

Door de integriteit van code te controleren, wordt gewaarborgd dat alle software die in de omgeving terechtkomt, niet is gemanipuleerd. Dit omvat het controleren van digitale handtekeningen, het bevestigen dat hash-uitvoer is wat deze zou moeten zijn en het traceren van de herkomst van alle binnenkomende code. Organisaties moeten geautomatiseerde tools inzetten die software-updates, bibliotheken van derden en app-componenten op integriteit controleren voordat ze worden geïnstalleerd. Deze tools voorkomen niet alleen dat kwaadaardige code in de toeleveringsketen wordt geïnjecteerd, maar detecteren ook ongeoorloofde wijzigingen in legitieme software.

Toegang met minimale rechten

Elk integratiepunt van derden moet worden geconfigureerd met alleen de minimale API-machtigingen en systeemtoegang die nodig zijn voor de functionaliteit ervan. Deze insluitingsaanpak beperkt de omvang van een eventuele inbreuk en voorkomt dat gecompromitteerde componenten toegang krijgen tot kritieke systemen buiten het vereiste bereik.

Redundantie van afhankelijkheden

Door redundante bronnen voor kritieke pakketten en bibliotheken te implementeren, kunnen organisaties de schade beperken die een enkele gecompromitteerde repository of containerregister kan veroorzaken. Deze strategie maakt het mogelijk om snel over te schakelen naar alternatieve afhankelijkheden als er beveiligingsproblemen worden ontdekt in een bepaald pakket. Het onderhouden van meerdere geverifieerde bronnen voor belangrijke afhankelijkheden vereist extra ontwikkelingsmiddelen, dus voor niet-kritieke componenten wegen de kosten en baten op het gebied van beveiliging mogelijk niet op tegen de inspanningen.

Beveiligingstesten

Het voortdurend testen van de beveiliging van producten en diensten van derden biedt validatie van beweringen van leveranciers met betrekking tot beveiliging, zoals penetratietests, kwetsbaarheidsscans en codebeoordelingen van geleverde software. Aangezien het grootste risico vaak voortkomt uit de verbindingspunten tussen leverancierssystemen en interne netwerken, moeten tests zich richten op die integratiepunten.

Kaders en normen voor risicobeheer in de toeleveringsketen

Verschillende gevestigde kaders en normen helpen organisaties bij het opzetten van gestructureerde benaderingen voor de beveiliging van de toeleveringsketen.

Het cybersecuritykader van het National Institute of Standards and Technology (NIST)

Het cybersecuritykader van het National Institute of Standards and Technology (NIST) bevat specifieke richtlijnen voor risicobeheer in de toeleveringsketen. NIST Special Publication 800-161 biedt gedetailleerde instructies voor het identificeren, beoordelen en reageren op risico's in de toeleveringsketen. Dit raamwerk maakt gebruik van een gelaagde aanpak die organisaties helpt hun beveiligingsinspanningen af te stemmen op hun risiconiveau en beperkte middelen.

ISO/IEC 27036

ISO/IEC 27036 richt zich specifiek op informatiebeveiliging in relaties met leveranciers. Deze internationale norm biedt richtlijnen voor beveiliging in inkoopprocessen en doorlopend leveranciersbeheer. Het helpt organisaties om beveiligingsvereisten op te nemen in de hele levenscyclus van leveranciers, van selectie tot beëindiging.

Cybersecurity Maturity Model Certification (CMMC)

Het Cybersecurity Maturity Model Certification (CMMC)-raamwerk omvat supply chain-vereisten voor defensiecontractanten. Het stelt specifieke controles vast die leveranciers moeten implementeren op basis van de gevoeligheid van de informatie die zij verwerken. Hoewel het is ontworpen voor defensie, gebruiken veel organisaties CMMC als model voor hun eigen supply chain-vereisten.

Software Assurance Forum for Excellence in Code (SAFECode)

Het Software Assurance Forum for Excellence in Code (SAFECode) biedt best practices voor veilige softwareontwikkeling in de toeleveringsketen. Deze door de industrie geleide inspanning richt zich op praktische technieken om vanaf het begin beveiliging in software in te bouwen.

Uitdagingen in verband met risicobeheer in de toeleveringsketen

Het implementeren van effectief risicobeheer in de toeleveringsketen brengt een aantal grote uitdagingen met zich mee. Om ervoor te zorgen dat externe afhankelijkheden goed worden beschermd, moeten organisaties deze uitdagingen aanpakken.

Beperkte zichtbaarheid

Het inzicht van organisaties in de toeleveringsketen is onvolledig. De meeste leveranciers kopen in via hun eigen toeleveranciers, waardoor er vele lagen van afhankelijkheden ontstaan die moeilijk te traceren zijn. Beveiligingsteams zijn zich mogelijk niet bewust van potentiële risico's die open-sourceafhankelijkheden of relaties tussen derde partijen met zich meebrengen. Dit zorgt voor weinig transparantie en maakt het moeilijk om alle dreigingspunten in kaart te brengen.

Beperkte middelen

Het kost veel middelen om de beveiliging van de toeleveringsketen effectief te implementeren. Beveiligingsteams moeten de grondigheid van hun leveranciersbeoordelingen afwegen tegen de tijd en het budget die beschikbaar zijn om deze uit te voeren. Dit zorgt er vaak voor dat organisaties hun beveiligingsinspanningen richten op belangrijke afhankelijkheden en primaire coderepositories, terwijl ze kleinere componenten en microservices verwaarlozen die toch aanzienlijke beveiligingsrisico's kunnen vormen in de softwaretoeleveringsketen.

Beveiliging versus operationele efficiëntie

Strenge controles van de toeleveringsketen kunnen het bedrijf lamleggen en belangrijke initiatieven vertragen. Beveiligingsbeoordelingen kunnen het inkoopproces vertragen, wat kan leiden tot aanzienlijke spanningen met bedrijfsonderdelen die een snelle onboarding van leveranciers vereisen. Organisaties moeten een afweging maken tussen beveiligingsbehoeften en zakelijke behoeften. Overmatige aandacht voor beveiliging kan knelpunten veroorzaken die het concurrentievermogen schaden, maar aan de andere kant kan het prioriteren van snelheid ook risico's met zich meebrengen die te groot zijn om te dragen.

Verouderde systemen

Tal van organisaties maken nog steeds gebruik van verouderde systemen die niet over moderne beveiligingsmogelijkheden beschikken. Deze verouderde applicaties kunnen gebruikmaken van verouderde componenten met bekende kwetsbaarheden, aangezien de betreffende leverancier de ondersteuning al lang geleden heeft stopgezet. Het probleem hierbij is dat het vervangen van deze systemen duur is en het bedrijf verstoort. Er moet worden gepland om verouderde componenten uiteindelijk te vervangen, maar in de tussentijd hebben beveiligingsteams strategieën nodig om de risico's te beperken.

Consistente beveiligingsnormen

Het is vrijwel onmogelijk om consistente beveiliging te creëren voor verschillende leveranciers. Het zijn verschillende sectoren, met verschillende wetgeving en verschillende niveaus van beveiligingsvolwassenheid. Een aanbieder van clouddiensten kan verschillen van een fabrikant van hardware. Het is de uitdaging voor organisaties om beoordelingstechnieken te ontwikkelen die flexibel genoeg zijn om rekening te houden met die verschillen, zonder dat dit ten koste gaat van de beveiliging.

Best practices voor risicobeheer in de toeleveringsketen

Effectieve beveiliging van de toeleveringsketen is afhankelijk van een consistente aanpak, samen met documentatie, beleid en betrokkenheid van de organisatie. De volgende best practices helpen organisaties bij het ontwikkelen van een sterke verdediging tegen bedreigingen voor de toeleveringsketen.

Protocollen voor de beoordeling van de beveiliging van leveranciers

Er worden gestandaardiseerde testprocessen opgesteld om te bevestigen dat elke leverancier op dezelfde manier wordt beoordeeld. Dit omvat protocollen zoals beveiligingsvragenlijsten, documentatiebeoordelingen en verificatiestappen die zijn afgestemd op het risiconiveau van de leverancier. Organisaties moeten een risicogebaseerde aanpak ontwikkelen en bepalen welke controles op welk niveau moeten worden uitgevoerd, d.w.z. basiscontroles voor leveranciers met een laag en gemiddeld risico en grondige beoordelingen voor kritieke leveranciers.

Regelmatige beveiligingsaudits

Willekeurige audits controleren of de leveranciers doen wat ze beloven. Voorbeelden van deze beoordelingen zijn geautomatiseerde codescans, dynamische API-tests en audits van de toegang tot repositories voor kritieke afhankelijkheden. Audits moeten de integriteit van CI/CD-pijplijnen, containerregisters en pakketrepositories verifiëren om te bevestigen dat de juiste beveiligingsmaatregelen zijn geïmplementeerd.

Beveiligingsvereisten in contracten

Door gedetailleerde beveiligingsvereisten voor leveranciers contractueel vast te leggen, ontstaan er verplichtingen die kunnen worden afgedwongen. Dergelijke clausules moeten gedetailleerde informatie bevatten over minimumniveaus van beveiligingsmaatregelen, termijnen voor het melden van inbreuken, rechten op audits en gevolgen van niet-naleving. De juridische afdeling moet samenwerken met de beveiligingsafdeling om bepalingen te onderhandelen die technisch correct zijn. De vereisten moeten betrekking hebben op gegevensbescherming, toegangscontroles, kwetsbaarheidsbeheer en incidentrespons. Contracten moeten ook beëindigingsrechten bevatten voor inbreuken op de cyberbeveiliging.

Codeondertekening en -verificatie

Door codeondertekening te gebruiken voor alle componenten van de software wordt ervoor gezorgd dat de code na het maken niet wordt gewijzigd. Ondernemingen moeten eisen dat code van leveranciers digitaal wordt ondertekend, met verificatiemethoden. Handtekeningen moeten door interne systemen worden gecontroleerd voordat updates of nieuwe componenten worden geïnstalleerd. Deze stap moet de integriteit en authenticiteit van de code waarborgen. Alle niet-ondertekende of onjuist ondertekende code moet een waarschuwing geven en mag niet worden geïnstalleerd.

Bewustzijnscultuur op het gebied van beveiliging

Het creëren van bewustzijn bij medewerkers in alle teams en de interactie met leveranciers versterkt het menselijke aspect van de beveiliging van de toeleveringsketen. Dit omvat het trainen van personeel in beveiligingsnormen, het instrueren van ontwikkelaars om de herkomst van componenten te controleren en het waarschuwen van zakelijke teams voor de risico's van leveranciersbeveiliging. Medewerkers moeten regelmatig worden geïnformeerd over nieuwe bedreigingen voor de toeleveringsketen en nieuwe aanvalstechnieken.

Opmerkelijke aanvallen op de toeleveringsketen

De onderstaande beveiligingsincidenten speelden een prominente rol in twee grote aanvallen op de toeleveringsketen.

SolarWinds-aanval

Minder dan een maand na de inbreuk concludeerden verschillende leveranciers van computerbeveiliging en overheidsinstanties voor cyberbeveiliging dat de SolarWinds-aanval (ontdekt in december 2020) een van de meest geavanceerde aanvallen op de toeleveringsketen was die ooit zijn geïdentificeerd of geprobeerd.

Hackers drongen door tot in de ontwikkelomgeving van het bedrijf en plaatsten wapens in het Orion-netwerkmonitorprogramma. Deze update van de gecompromitteerde software werd digitaal ondertekend en verspreid onder naar schatting 18.000 klanten. Nadat de malware (met de naam SUNBURST) was geïnstalleerd, creëerde deze een achterdeur, waardoor de aanvaller toegang kreeg tot het getroffen netwerk. De aanval bleef maandenlang onopgemerkt en trof waardevolle doelwitten, waaronder verschillende Amerikaanse overheidsinstanties, Microsoft, FireEye en talrijke Fortune 500-bedrijven.

NotPetya-aanval

De NotPetya-aanval in juni 2017 begon met updates voor M.E.Doc, een Oekraïense boekhoudsoftware die wordt gebruikt voor belastingaangiften. Hackers vonden een manier om toegang te krijgen tot de updateserver van de software en uploadden malware die terminals vernietigde, vermomd als een echte update.

Hoewel de zelfreplicerende malware alleen bedoeld was om Oekraïense organisaties aan te vallen, verspreidde deze zich via netwerkverbindingen snel over de hele wereld. Scheepvaartgigant Maersk, farmaceutisch bedrijf Merck en koeriersdienst FedEx ondervonden aanzienlijke operationele verstoringen. Maersk moest bijvoorbeeld 45.000 computers en 4.000 servers vervangen, wat het bedrijf meer dan 300 miljoen dollar kostte.

Conclusie

Nu organisaties steeds vaker worden aangevallen via hun externe leveranciers en softwareafhankelijkheden, wordt de beveiliging van de toeleveringsketen steeds belangrijker. De complexiteit van moderne toeleveringsketens leidt vaak tot beveiligingslekken die aanvallers graag uitbuiten. Organisaties kunnen zich tot op zekere hoogte tegen dergelijke cyberdreigingen beschermen, maar alleen als er gestructureerde risicobeheerprocessen zijn geïmplementeerd.

De beveiliging van de toeleveringsketen komt neer op een combinatie van technische controles, beoordelingsprocessen voor leveranciers en bewustwording binnen de organisatie. Organisaties moeten inzicht hebben in hun externe afhankelijkheden zonder concessies te doen aan beveiligingsvereisten en zakelijke behoeften. Aanvallen op de toeleveringsketen worden met de dag geavanceerder en beveiligingsteams hebben tools van de volgende generatie nodig om ze effectief te kunnen opsporen.