Hackers zijn notoir lui, ondanks wat u misschien denkt. Ze streven graag naar grote winsten met minimale inspanning. Het geheim zit hem in de doelwitten die ze kiezen. Het ransomware as a service (RaaS)-model is een klassiek voorbeeld van hoe ze maximale efficiëntie in cybercriminaliteit bereiken. Aanvallen op de toeleveringsketen werden kort daarna uitgevonden en werden zo wijdverbreid dat ze wereldwijd infrastructuren lamlegden. Zelfs de voormalige Amerikaanse president Joe Biden was verrast en vaardigde uiteindelijk een uitvoerend besluit uit aan overheidsinstanties, waarin hij een hervorming van de cyberbeveiligingsnormen voor de toeleveringsketen in het hele land gelastte.
Maar genoeg daarover. Wat is er zo uniek aan aanvallen op de toeleveringsketen? Waarom zijn ze zo gevaarlijk? Waarom moet u zich zorgen maken? Hoe kunt u aanvallen op de toeleveringsketen voorkomen? Als u deze vragen nog niet kunt beantwoorden, lees dan verder. We zullen het u snel vertellen.
Wat is een supply chain-aanval?
Een aanval op de toeleveringsketen is een cyberaanval waarbij wordt gezocht naar zwakke plekken in uw toeleveringsketen. Een supply chain is een mix van technologieën, mensen, middelen, producten, gebruikers en organisatorische activiteiten. Het houdt uw organisatie bij elkaar en deze componenten houden uw bedrijf draaiende.
Wanneer er plotselinge verstoringen in bestaande workflows optreden of iets uw bedrijf schade toebrengt, kan dit een bedreiging voor de supply chain zijn. Supply chain-aanvallen zoeken naar kwetsbaarheden in uw supply chain en zoeken naar mogelijkheden bij leveranciers om zwakke beveiligingsmaatregelen te misbruiken. Leveranciers werken met gedeelde gegevens, dus als zij worden gehackt, worden ook de gebruikers en iedereen die met hen te maken heeft, getroffen.
Wanneer uw toeleveringsketen groter wordt, breidt uw netwerk zich uit. Als er dan een aanval plaatsvindt, ontstaan er meerdere doelwitten die worden gecompromitteerd.
Hoe werken aanvallen op de toeleveringsketen?
Aanvallen op de toeleveringsketen werken door vertrouwensrelaties te verbreken. In plaats van zich rechtstreeks op het bedrijf zelf te richten, richten ze zich op leveranciers en verkopers waarmee een organisatie samenwerkt. Softwaregebaseerde aanvallen op de toeleveringsketen kunnen kwaadaardige code injecteren in de nieuwste bibliotheken, updates en componenten om beveiligingscertificaten en bouwtools te compromitteren.
Hardwaregebaseerde aanvallen op de toeleveringsketen kunnen productie- en distributieprocessen verstoren door malware of spionagecomponenten te injecteren. Sommige supply chain-aanvallen maken mogelijk gebruik van kwetsbaarheden zoals zwakke plekken in build-pijplijnen, toegangstokens en hardgecodeerde geheimen. Ze kunnen privileges escaleren en pogingen doen om laterale bewegingen binnen netwerken te veroorzaken.
De SolarWinds supply chain-aanval is een klassiek voorbeeld van hoe deze bedreigingen werken. Aanvallers hadden toegang gekregen tot de build-servers van een bedrijf en een achterdeur in de updates geïnjecteerd. Een ander geval was hoe aanvallers een managed service provider hadden gecompromitteerd en meerdere organisaties met ransomware hadden geïnfecteerd.
Hoe detecteer je aanvallen op de toeleveringsketen?
Je kunt aanvallen op de toeleveringsketen niet detecteren met slechts één methode of technologie. Organisaties zullen verschillende benaderingen moeten combineren en de nieuwste AI-technieken voor dreigingsdetectie moeten gebruiken om hun vermogen om dit soort dreigingen te detecteren en te beperken succesvol te verbeteren.
Ze moeten gebruikmaken van continue monitoring, wereldwijde dreigingsinformatie en een proactieve beveiligingshouding, allemaal cruciale elementen bij de verdediging tegen aanvallen op de toeleveringsketen.
Het is van cruciaal belang om realtime inzicht te krijgen in netwerken, continu het netwerkverkeer te monitoren en beveiligingsteams de middelen te geven om snel te kunnen reageren op deze incidenten en andere verdachte activiteiten.
Hier volgen enkele manieren om aanvallen op de toeleveringsketen te detecteren:
Sommige aanvallen maken misbruik van tekortkomingen in het beheer van afhankelijkheden. Aanvallers kunnen pakketten registreren met namen die identiek zijn aan of lijken op interne modules, maar met hogere versienummers. Wanneer ontwikkelaars deze externe pakketten onbewust downloaden, wordt de kwaadaardige code in de software geïntroduceerd. Zelfs routinematig pakketbeheer kan een zwakke schakel zijn als externe repositories niet zorgvuldig worden gecontroleerd en gemonitord.
Aanvallers kunnen privésleutels verkrijgen die worden gebruikt voor het ondertekenen van code. Ze kunnen met deze sleutels kwaadaardige software digitaal ondertekenen, waardoor deze betrouwbaar lijkt. Dit ondermijnt de zekerheid die traditionele ondertekeningscertificaten bieden. Vertrouwensmechanismen, zoals codesigningscertificaten, zijn slechts zo veilig als de processen die hun privésleutels beschermen.
Moderne netwerkdetectie- en responssystemen (NDR) kunnen afwijkingen van normaal gedrag monitoren. Machine learning-modellen kunnen typische gegevensstromen in uw netwerk leren. Plotselinge veranderingen, zelfs als het verkeer versleuteld is, moeten waarschuwingen activeren. U kunt hardwarebeveiligingsmodules (HSM's) of soortgelijke oplossingen gebruiken om privésleutels te beveiligen. Daarnaast kunt u regelmatig beveiligingsbeoordelingen en -audits uitvoeren. Voer oefeningen uit waarin aanvallen op de toeleveringsketen worden gesimuleerd en zorg ervoor dat uw team snel kan reageren op en dergelijke incidenten kan detecteren.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenBest practices om aanvallen op de toeleveringsketen te voorkomen
U kunt leren hoe u aanvallen op de toeleveringsketen kunt voorkomen door de volgende tactieken toe te passen:
Begin met het gebruik van honingtokens
Deze werken als struikelsnoeren en waarschuwen organisaties voor verdachte activiteiten op netwerken. Honey Tokens zijn nepbronnen die gevoelige gegevens bevatten. Aanvallers kunnen denken dat het om echte doelen gaat en ermee communiceren. Wanneer er iets gebeurt, activeert de Honey Token waarschuwingen over een vermoedelijke aanvalspoging. Het waarschuwt organisaties voor datalekken en onthult de details van deze aanvallers en hun inbreukmethoden.
Veilig beheer van geprivilegieerde toegang
Cyberaanvallers hebben de neiging om zich lateraal over netwerken te verplaatsen nadat ze geprivilegieerde toegang tot hun accounts hebben verkregen. Ze zullen proberen hun privileges te escaleren en toegang te krijgen tot meer gevoelige bronnen. Deze aanvalsroute wordt ook wel een geprivilegieerde route genoemd. Het is een typisch aanvalsverloop. U kunt een framework voor geprivilegieerd toegangsbeheer gebruiken om dit aanvalspatroon te verstoren en de kans op een nieuwe dreiging te verkleinen. Dit kan helpen om zowel uw interne als externe verdediging te beveiligen. Pas gedetailleerde toegangsbeleidsregels toe en test de leverancier waarmee u werkt. Werk de inventaris, het activabeheer en het beleid van uw bedrijf bij en voer beveiligingsupdates en -upgrades uit.
Leid uw personeel op
De werknemers en medewerkers van uw organisatie zijn het belangrijkste doelwit als het gaat om bedreigingen in de toeleveringsketen. Zij moeten weten hoe kwaadaardige code-injecties werken en op hun hoede zijn voor de nieuwste scam-e-mails en phishing-pogingen. Kwaadwillenden sturen hen e-mails die afkomstig lijken te zijn van vertrouwde collega's en vragen hen om kwaadaardige code te activeren of proberen interne inloggegevens te stelen. Als medewerkers zijn voorgelicht over standaardaanvalstechnieken, waaronder social engineering, kunnen ze deze inbreuken succesvol identificeren en melden. Ze trappen er niet in en weten precies hoe ze moeten handelen of omgaan met deze bedreigingen.
Gebruik een oplossing voor identiteits- en toegangsbeheer (IAM)
U moet alle interne gegevens versleutelen en standaarden zoals het Advanced Encryption Standard-algoritme gebruiken om het voor criminelen moeilijk te maken om achterdeurtjes te creëren om gegevens te exfiltreren tijdens aanvallen op de toeleveringsketen. De Amerikaanse overheid gebruikt ook de AES-versleutelingstechniek om zichzelf te beschermen. U moet zich ook richten op het implementeren van een zero-trust-architectuur en ervan uitgaan dat alle netwerkactiviteiten standaard kwaadaardig zijn. Vertrouw niemand, controleer iedereen. Elk verbindingsverzoek moet aan een reeks strikte beleidsregels voldoen. Uw beleidsengine moet beslissen of netwerkverkeer wordt toegestaan. Het moet alle regels doorlopen die het vertrouwensalgoritme stelt. De beleidsbeheerder is verantwoordelijk voor het communiceren van zijn beslissingen en wijzigingen.
Het is natuurlijk ook belangrijk om uit te gaan van een inbreuk. In dit geval gaat u ervan uit dat er een inbreuk heeft plaatsgevonden en handelt u daarnaar. Dit helpt u bij het implementeren van actieve cyberdefensiestrategieën voor alle kwetsbare aanvalsvectoren. De drie aanvalsoppervlakken met het hoogste risico op compromittering zijn processen, mensen en technologieën. Een goede cyberbewustzijnstraining is een van de fundamentele pijlers voor het beschermen tegen en bestrijden van aanvallen op de toeleveringsketen.
Praktijkvoorbeelden van aanvallen op de toeleveringsketen
Hier volgen enkele praktijkvoorbeelden van aanvallen op de toeleveringsketen waaruit u lering kunt trekken:
1. Het datalek bij Target
Herinnert u zich de Amerikaanse supermarktketen Target nog? Tijdens een datalek rond 2013 werden de creditcardgegevens van klanten gestolen. Hoewel dit alweer een tijdje geleden is, werd Target een van 's werelds meest beruchte voorbeelden van supply chain-aanvallen.
Wat is er gebeurd? Er werd malware geïmplanteerd in de systemen van Target.
Hoe kwam die binnen? Via hun HVAC-leverancier, Fazio Mechanical Services.
Het resultaat? 18,5 miljoen dollar aan schadeclaims, diefstal van 40 miljoen creditcard- en debetkaartgegevens en aanzienlijke reputatieschade.
2. De CCleaner 2017-hack
Hackers richtten zich rechtstreeks op hun servers en vervingen de originele software door kwaadaardige kopieën. De code werd vrijgegeven aan 2,3 miljoen gebruikers die bestandsupdates hadden gedownload en geïnstalleerd. Zij waren hiervan niet op de hoogte en raakten ernstig geïnfecteerd.
Wat had er gedaan kunnen worden? CCleaner had kunnen voorkomen dat het probleem escaleerde door simpelweg een patch uit te brengen voordat dit gebeurde. Een soortgelijk incident deed zich voor met de WannaCry-ransomware, waarbij vóór de aanval een patch werd uitgebracht, maar deze niet op tijd bij alle eindgebruikers werd geïnstalleerd.
Conclusie
Aanvallen op de toeleveringsketen behoren tot de belangrijkste veiligheidsrisico's die organisaties niet mogen negeren. Door de stappen in dit artikel te volgen – van het inzetten van honey tokens en het versterken van geprivilegieerde toegang tot het trainen van medewerkers en een zero-trust-architectuur – kunt u uw blootstelling aan deze geavanceerde aanvallen minimaliseren.
De beveiliging van de toeleveringsketen moet proactief zijn, omdat aanvallers voortdurend nieuwe methoden bedenken. Door uw hele supply chain regelmatig te scannen op kwetsbaarheden, met up-to-date beveiligingsmaatregelen en nieuwe beveiligingsoplossingen zoals SentinelOne, voorkomt u dat uw bedrijf het volgende slachtoffer wordt van een grootschalige inbreuk.
FAQs
Er zijn oneindig veel verschillende soorten aanvallen op de toeleveringsketen. Bij softwaregebaseerde aanvallen wordt kwaadaardige code in legitieme updates of software geïntroduceerd. Bij hardwaregebaseerde aanvallen wordt misbruik gemaakt van hardware tijdens de productie. Aanvallen door derden zijn gericht op leveranciers die toegang hebben tot uw systemen. Bij codeondertekeningsaanvallen worden vervalste digitale handtekeningen gebruikt om malware legitiem te laten lijken. Elk type aanval maakt gebruik van verschillende kwetsbaarheden in uw toeleveringsketen en vereist verschillende beveiligingsmaatregelen om deze te verhelpen.
Aanvallers zoeken de zwakste schakel in uw toeleveringsketen, vaak kleinere leveranciers die minder goed beveiligd zijn. Ze vallen deze leveranciers aan en maken vervolgens gebruik van hun legitieme toegang om toegang te krijgen tot hun primaire doelwitten. Ze kunnen software-updates verstoren, achterdeurtjes in ontwikkelomgevingen plaatsen of inloggegevens van externe dienstverleners stelen. Eenmaal binnen beginnen ze zich lateraal te verplaatsen, hun privileges te verhogen tot het niveau van waardevolle activa of ransomware in te zetten.
Volg het netwerkverkeer op verdachte patronen. Implementeer gedragsanalyses om verdachte patronen te detecteren die afwijken van de normale bedrijfsvoering. Controleer regelmatig de beveiligingsprocessen van leveranciers en neem expliciete beveiligingsvereisten op. Implementeer geavanceerde endpointdetectiesoftware op uw netwerk. Gebruik kunstmatige-intelligentiesystemen om in realtime te scannen op potentiële bedreigingen. Controleer de integriteit van software-updates voordat u ze installeert. Implementeer een beveiligingscentrum met 24/7 monitoring.
Isoleer gecompromitteerde systemen onmiddellijk om laterale bewegingen te voorkomen. Activeer uw incidentresponsteam om de omvang van de inbreuk vast te stellen. Identificeer de aanvalsvector en de getroffen component van de toeleveringsketen. Breng de getroffen leveranciers en klanten op de hoogte, zoals vereist door de regelgeving. Bewaar forensisch bewijsmateriaal voor analyse. Pas tegenmaatregelen toe om soortgelijke aanvallen te stoppen. Herstel systemen vanaf bekende schone back-ups. Werk het beveiligingsbeleid bij en pas het aan op basis van de geleerde lessen.
Breng eerst de inbreuk in quarantaine door de getroffen systemen te isoleren. Lokaliseer het punt van compromittering binnen uw toeleveringsketen. Werk samen met beveiligingsexperts om kwaadaardige code te verwijderen. Breng belanghebbenden op de hoogte volgens de nalevingsvereisten. Herstel systemen online vanuit schone back-ups. Documenteer het incident in detail. Implementeer meer substantiële verificatieprocedures voor leveranciers. Overweeg om beveiligingsbeoordelingen voor leveranciers te implementeren. Herzie contracten om meer substantiële beveiligingsvereisten toe te voegen.
Aanvallen op de toeleveringsketen maken misbruik van vertrouwensrelaties tussen partijen en zijn moeilijk op te sporen. Ze kunnen duizenden bedrijven treffen vanuit één inbreuk. Ze omzeilen normale beveiligingsmaatregelen door binnen te komen via vertrouwde kanalen. Ze hebben een lange verblijftijd voordat ze worden gedetecteerd. De complexiteit van de huidige supply chains biedt aanvallers veel potentiële toegangspunten. Aanvallers krijgen via één succesvolle inbraak toegang tot meerdere slachtoffers, met maximale schade en minimale inspanning.
