Schützen Sie Ihr Unternehmen vor zunehmenden Angriffen auf die Softwarelieferkette

Angreifer können der Verlockung von Software-Lieferketten nur schwer widerstehen: Sie können allzu schnell und einfach auf eine Vielzahl sensibler Informationen zugreifen – und so saftigere Gewinne erzielen.

Allein in nur einem Jahr – zwischen 2000 und 2021 – nahmen die Angriffe auf die Softwarelieferkette um mehr als zu 300%. Und 62 % der Organisationen zugeben dass sie von solchen Angriffen betroffen sind.

Experten warnen davor, dass der Ansturm nicht nachlassen wird. Tatsächlich gem Daten von Gartnerwerden 45 % der Unternehmen auf der ganzen Welt bis 2025 einen Ransomware-Angriff auf ihre digitalen Lieferketten erlebt haben.

„Niemand ist sicher“, sagte Zack Moore, Security Product Manager bei Intervision. „Von kleinen Unternehmen über Fortune-100-Unternehmen bis hin zu den höchsten Ebenen der US-Regierung – jeder war in den letzten zwei Jahren von Angriffen auf die Lieferkette betroffen.“

Beispiele in Hülle und Fülle

Der SolarWinds-Angriff und die Log4j-Schwachstelle sind zwei der berüchtigtsten Beispiele für Angriffe auf die Softwarelieferkette in jüngster Zeit. Beide zeigten, wie allgegenwärtig Angriffe auf die Softwarelieferkette sein können, und in beiden Fällen ist das volle Ausmaß der Auswirkungen noch abzuwarten.

„SolarWinds wurde zum Aushängeschild für digitale Lieferkettenrisiken“, sagte Michael Isbitski, Director of Cybersecurity Strategy bei Sysdig.

Dennoch, sagte er, sei Microsoft Exchange ein weiteres Beispiel, das ebenso beeindruckend sei, „aber schnell vergessen wurde“. Er wies darauf hin, dass das FBI und Microsoft weiterhin Ransomware-Kampagnen verfolgen, die auf gefährdete Exchange-Bereitstellungen abzielen.

Ein weiteres Beispiel ist Kaseya, das Mitte 2021 von Ransomware-Agenten angegriffen wurde. Infolgedessen erhielten mehr als 2.000 Kunden des Anbieters von IT-Verwaltungssoftware eine kompromittierte Version des Produkts, und zwischen 1.000 und 1.500 Kunden ließen ihre Systeme schließlich verschlüsseln.

„Der unmittelbare Schaden eines Angriffs wie diesem ist immens“, sagte Moore. „Noch gefährlicher sind jedoch die langfristigen Folgen. Die Gesamtkosten für die Wiederherstellung können enorm sein und Jahre dauern.“

Warum kommt es also immer wieder zu Angriffen auf die Softwarelieferkette?

Der Grund für das anhaltende Bombardement, sagte Moore, ist die zunehmende Abhängigkeit von Code von Drittanbietern (einschließlich Log4j).

Dies mache Distributoren und Lieferanten immer anfälliger, und Anfälligkeit werde oft mit einer höheren Auszahlung gleichgesetzt, erklärte er.

Außerdem „gehen Ransomware-Akteure immer gründlicher vor und verwenden unkonventionelle Methoden, um ihre Ziele zu erreichen“, sagte Moore.

Durch die Verwendung geeigneter Segmentierungsprotokolle zielen Ransomware-Agenten beispielsweise auf IT-Verwaltungssoftwaresysteme und Mutterunternehmen ab. Nach einem Verstoß nutzen sie diese Beziehung, um die Infrastruktur der Tochtergesellschaften und vertrauenswürdigen Partner dieser Organisation zu infiltrieren.

„Supply-Chain-Angriffe sind derzeit leider üblich, teilweise weil es um mehr geht“, sagte Moore. „Ausgedehnte Unterbrechungen der Lieferkette haben die Branche an einen fragilen Scheideweg gebracht.“

Niedrige Kosten, hohe Belohnung

Supply-Chain-Angriffe sind kostengünstig und können mit minimalem Aufwand verbunden sein und haben das Potenzial für hohe Belohnungen, sagte Crystal Morin, Threat Research Engineer bei Sysdig. Und Tools und Techniken werden häufig online geteilt und von Sicherheitsunternehmen offengelegt, die häufig detaillierte Ergebnisse veröffentlichen.

„Die Verfügbarkeit von Tools und Informationen kann weniger erfahrenen Angreifern die Möglichkeit bieten, fortgeschrittene Bedrohungsakteure zu kopieren oder schnell etwas über fortschrittliche Techniken zu lernen“, sagte Morin.

Außerdem ermöglichen Ransomware-Angriffe auf die Lieferkette Angreifern, ein weites Netz auszuwerfen, sagte Zack Newman, Senior Software Engineer und Researcher bei Kettenschutz. Anstatt Ressourcen für den Angriff auf eine Organisation aufzuwenden, kann eine Verletzung eines Teils einer Lieferkette Hunderte oder Tausende von nachgelagerten Organisationen betreffen. Auf der anderen Seite ändert sich die Angriffsfläche, wenn ein Angreifer auf eine bestimmte Organisation oder Regierungsbehörde abzielt.

„Anstatt darauf zu warten, dass diese eine Organisation ein Sicherheitsproblem hat, muss der Angreifer nur ein Sicherheitsproblem in einer ihrer Abhängigkeiten in der Softwarelieferkette finden“, sagte Newman.

Keine einzelne offensive/defensive Taktik kann alle Softwarelieferketten schützen

Die jüngsten Angriffe auf die Lieferkette unterstreichen die Tatsache, dass kein einzelnes Tool einen vollständigen Schutz bietet, sagte Moore. Wenn nur ein Tool im Stack eines Unternehmens kompromittiert wird, können die Folgen schwerwiegend sein.

„Schließlich kann jeder Schutzrahmen, der von intelligenten Menschen aufgebaut wurde, von anderen intelligenten Menschen durchbrochen werden“, sagte er.

Eine gründliche Verteidigung sei notwendig, sagte er; Diese sollte über eine mehrschichtige Sicherheitsrichtlinie, Edge-Schutz, Endpunktschutz, Multifaktor-Authentifizierung (MFA) und Benutzerschulung verfügen. Robuste Wiederherstellungsfunktionen, einschließlich ordnungsgemäß gespeicherter Backups – und idealerweise Verfügbarkeitsexperten, die nach einem Angriff einsatzbereit sind – sind ebenfalls ein Muss.

Ohne sachkundige Leute, die sie richtig verwalten und betreiben, verlieren mehrschichtige Technologien ihren Wert, sagte Moore. Oder wenn Führungskräfte nicht das richtige Framework für die Interaktion dieser Menschen und Technologien implementieren, hinterlassen sie Lücken, die Angreifer ausnutzen können.

„Die richtige Kombination aus Mitarbeitern, Prozessen und Technologie zu finden, kann im Hinblick auf Verfügbarkeit und Kosten eine Herausforderung darstellen, ist aber dennoch entscheidend“, sagte er.

Ganzheitliche, umfassende Sichtbarkeit

Kommerzielle Software ist normalerweise auf dem Radar von Sicherheitsteams, aber Open Source wird oft übersehen, betonte Morin. Unternehmen müssen den Überblick über alle Software behalten, die sie verwenden und wiederverwenden, einschließlich Open-Source- und Drittanbieter-Software.

Manchmal arbeiten Entwicklungsteams zu schnell, sagte sie, oder die Sicherheit wird mit Open-Source-Software vom Design und der Bereitstellung von Anwendungen getrennt.

Aber wie sich bei Problemen in Abhängigkeiten wie OpenSSL, Apache Struts und Apache Log4j gezeigt hat, verbreiteten sich ausnutzbare Schwachstellen schnell in Umgebungen, Anwendungen, Infrastrukturen und Geräten.

„Herkömmliche Ansätze zur Schwachstellenverwaltung funktionieren nicht“, sagte Morin. „Organisationen haben außerhalb der vertraglichen Verpflichtungen wenig bis gar keine Kontrolle über die Sicherheit ihrer Lieferanten, aber das sind keine proaktiven Kontrollen.“

Es gibt Sicherheitstools, um Anwendungen und Infrastruktur vor und nach der Auslieferung auf diese anfälligen Pakete zu analysieren, sagte sie, aber Organisationen müssen sicherstellen, dass Sie sie bereitgestellt haben.

Aber „die anderen Best Practices für die Sicherheit gelten weiterhin“, sagte sie.

Erweiterter Sicherheitsfokus

Morin rät: Aktualisieren und verbessern Sie Erkennungen regelmäßig. Patchen Sie immer wo – und so schnell – wie möglich. Fragen Sie Anbieter, Partner und Lieferanten, was sie tun, um sich selbst, ihre Kunden und sensible Daten zu schützen.

„Bleib auch oben drauf“, sagte sie. „Wenn Sie Probleme sehen, die sie bei Ihren regelmäßigen Sicherheitsbemühungen beeinträchtigen könnten, benachrichtigen Sie sie darüber. Wenn Sie Ihrer Sorgfaltspflicht nachgekommen sind, aber einer Ihrer Lieferanten nicht, wird es umso mehr schmerzen, wenn sie kompromittiert werden oder Ihre Daten preisgeben.“

Außerdem gehen die Risikobedenken über herkömmliche Anwendungsbinärdateien hinaus, sagte Isbitski. Container-Images und Infrastructure-as-Code werden mit vielen Arten von bösartigem Code angegriffen, nicht nur mit Ransomware.

„Wir müssen unseren Sicherheitsfokus erweitern, um anfällige Abhängigkeiten einzubeziehen, auf denen Anwendungen und Infrastrukturen aufbauen“, sagte Isbitski, „nicht nur die Software, die wir auf Desktops und Servern installieren.“

Letztendlich, sagte er RKVST-Erweiterung Chief Product and Technology Officer Jon Geater, beginnen Unternehmen, mehr Wertschätzung dafür zu entwickeln, was möglich wird, „wenn sie Integrität, Transparenz und Vertrauen auf standardmäßige, automatisierte Weise implementieren“.

Dennoch, betonte er, gehe es nicht immer nur um die Lieferkette Anschläge.

„Tatsächlich stammen die meisten Probleme aus Fehlern oder Versäumnissen in der Lieferkette, die dann das Ziel für traditionelle Cyberangriffe öffnen“, sagte Geater.

Es ist ein subtiler Unterschied, aber ein wichtiger, bemerkte er. „Ich glaube, dass der Großteil der Entdeckungen, die sich aus der Verbesserung der Transparenz der Lieferkette im nächsten Jahr ergeben, zeigen wird, dass die meisten Bedrohungen aus Fehlern und nicht aus Bosheit resultieren.“

Lassen Sie sich nicht nur von Ransomware einfangen

Und obwohl Ransomware-Bedenken im Mittelpunkt von Endpunktsicherheitsansätzen stehen, ist dies nur eine mögliche Angriffstechnik, sagte Isbitski.

Es gibt viele andere Bedrohungen, auf die sich Unternehmen vorbereiten müssen, sagte er – einschließlich neuerer Techniken wie Kryptojacking, identitätsbasierte Angriffe und Secret Harvesting.

„Angreifer nutzen das, was am effektivsten ist, und schwenken innerhalb verteilter Umgebungen, um Daten zu stehlen, Systeme zu kompromittieren und Konten zu übernehmen“, sagte Isbitski. „Wenn Angreifer ein Mittel haben, um bösartigen Code oder Ransomware einzusetzen, werden sie es verwenden.“

Gemeinsame Techniken erforderlich

In der Tat, so Newman, gibt es so viele Unterschiede in Bezug darauf, was einen Angriff auf die Lieferkette ausmacht, dass es für Unternehmen schwierig ist, zu verstehen, was die Angriffsfläche sein kann und wie sie sich vor Angriffen schützen können.

Auf der höchsten Ebene ist beispielsweise eine herkömmliche Schwachstelle in der OpenSSL-Bibliothek eine Schwachstelle in der Lieferkette. Ein OSS-Maintainer, der kompromittiert wird oder aus politischen Gründen abtrünnig wird, ist eine Schwachstelle in der Lieferkette. Und ein OSS-Paket-Repository-Hack oder der Build-System-Hack einer Organisation sind Angriffe auf die Lieferkette.

„Wir müssen gemeinsame Techniken einsetzen, um uns vor jeder Art von Angriff entlang der Lieferkette zu schützen und abzuwehren“, sagte Newman. „Sie müssen alle behoben werden, aber dort anzufangen, wo die Angriffe handhabbar sind, kann einen gewissen Erfolg bringen, um sie abzuwehren.“

Bei der proaktiven Einführung starker Richtlinien und Best Practices für ihre Sicherheitslage können Organisationen auf die Checkliste der Standards im Supply Chain Levels for Software Artifacts Framework (SLSA), schlug Newman vor. Unternehmen sollten außerdem während des gesamten Softwareentwicklungszyklus ihrer Entwickler strenge Sicherheitsrichtlinien durchsetzen.

Förderung der Sicherheitsforschung in der Softwarelieferkette

Dennoch, betonte Newman, gebe es viel Grund zum Optimismus; Die Branche macht Fortschritte.

„Forscher haben lange darüber nachgedacht, die Sicherheit von Softwarelieferketten zu lösen“, sagte Newman. Das geht bis in die 1980er Jahre zurück.

Zum Beispiel wies er auf neue Technologien aus der Community hin, wie z Das Update-Framework (TUF) oder die In-Toto-Framework.

Die Betonung der Industrie auf Softwarestücklisten (SBOMs) sei ebenfalls ein positives Zeichen, sagte er, aber es müsse noch mehr getan werden, um sie effektiv und nützlich zu machen. Zum Beispiel müssen SBOMS zur Erstellungszeit und nicht nachträglich erstellt werden, da „diese Art von Daten immens wertvoll sein wird, um die Ausbreitung und Auswirkung von Angriffen zu verhindern“.

Er wies auch darauf hin, dass Chainguard eines mitgestaltet hat und jetzt unterhält Datensätze von böswilligen Kompromittierungen der Softwarelieferkette. Diese Bemühungen deckten neun Hauptkategorien von Angriffen und Hunderte oder Tausende bekannter Kompromittierungen auf.

Letztendlich suchen Forscher und Organisationen gleichermaßen „nach Wegen, diese Probleme ein für alle Mal zu lösen“, sagte Newman, „anstatt die üblichen Pflaster-Ansätze zu verwenden, die wir heute in der Sicherheit sehen.“