Supply Chain Attacks winnen in populariteit

Begin dit jaar alleen vonden er al drie grote supply chain attacks plaats, en dit aantal lijkt alleen maar te groeien. Dus hoe verdedig je nu het beste tegen dit soort aanvallen?

Een supply chain netwerk is een veelvoorkomend doelwit voor cybercriminelen, aangezien een zwakke schakel in de toeleveringsketen hen toegang kan verschaffen tot een grotere organisatie die de gezochte gegevens in handen heeft.

Wat is een Supply Chain Attack?

Een supply chain attack, of third-party attack, is een aanvalsstrategie die gericht is tegen een organisatie via kwetsbare plekken in haar toeleveringsketen. Deze kwetsbare plekken zijn meestal gekoppeld aan verkopers (met slechte of zwakkere beveiligingspraktijken).

Een datalek via een externe leverancier is mogelijk omdat leveranciers toegang tot gevoelige gegevens nodig hebben om met interne systemen te kunnen integreren. Wanneer een leverancier wordt gecompromitteerd, wordt deze gedeelde gegevenspool geschonden.

Omdat leveranciers potentieel gevoelige gegevens opslaan voor meerdere verschillende klanten, kan één enkele aanval op de toeleveringsketen resulteren in een inbreuk bij meerdere bedrijven.

Meer technische details

Supply chain attacks werken door gebruik te maken van legitieme processen om toegang te krijgen tot de systemen van een bedrijf. Het begint met het verslaan van de beveiliging van een leverancier. Door de zwakkere cyberbeveiligingspraktijken van veel leveranciers is dit proces meestal veel eenvoudiger dan een rechtstreekse aanval.

Eenmaal geïnjecteerd in het ecosysteem van een leverancier, moet de kwaadaardige code zichzelf inbedden in een digitally signed proces van zijn host. Dit is de sleutel tot het verkrijgen van toegang tot het klant netwerk van een leverancier. Een digital signature verifieert dat een stuk software authentiek is voor de fabrikant, waardoor de software naar alle netwerkpartijen kan worden verzonden.

Door zich achter deze digital signature te verbergen, wordt kwaadaardige code overgebracht via het software update verkeer tussen een gecompromitteerde leverancier en de netwerken van zijn klanten. Wanneer een slachtoffer de gecompromitteerde software-update van een leverancier installeert, wordt de kwaadaardige code ook geïnstalleerd met dezelfde machtigingen als de digitally signed software. Eenmaal geïnstalleerd, wordt meestal een trojan voor toegang op afstand (RAT) geactiveerd om toegang te verlenen tot elke geïnfecteerde host.

Voorbeelden van (recente) Supply Chain Attacks

April 2021, Password manager PASSWORDSTATE van het bedrijf ClickStudios werd gekraakt en het bedrijf bracht zijn 29K gebruikers op de hoogte van een besmette update;
April 2021, Potential supply chain attack gevonden in GitHub release functionaliteit. GitHub zegt dat dit bedoeld gedrag is;
Maart 2020, Cyber Security bedrijf FireEye en een behoorlijk stuk van de Amerikaanse overheid werden slachtoffer van de SolarWinds aanval;
Juni-oktober 2018, ASUS-apparaten kregen malware binnen via een automatische update van ASUS zelf;
September 2017, Equifax werd geschonden en gevoelige gegevens waren gestolen van 147 miljoen van hun klanten.

Hoe nu verder

Er is geen absolute, waterdichte manier om supply chain attacks te voorkomen. Niettemin is het mogelijk om het risico om door een aanval te worden getroffen, alsmede de impact ervan, tot een minimum te beperken.

Wat het minimaliseren van het risico betreft, is zorgvuldigheid bij het selecteren van (IT-)componenten en diensten op zijn plaats. Het aankoopproces wordt gewoonlijk gestuurd door overwegingen in verband met time-to-market, kostenanalyse vooraf, en minder tastbare maar niettemin zeer substantiële factoren van wat ‘modieus’ is — het gevoel gedwongen te worden een bepaalde weg in te slaan uit de, vaak gehypete, perceptie dat dit “modern” is, “de toekomst”, en angst om “de boot te missen”. De perceptie dat iedereen ‘X’ doet, dus jij zou dat ook moeten doen. ‘X’ kan wel of niet een goede zaak zijn, maar het feit dat ‘X’ hip is mag geen intrinsieke reden zijn om met ‘X’ mee te gaan.

Er wordt veel minder rekening gehouden met de verborgen kosten en risico’s van zowel fouten in de overgenomen component, als afhankelijkheden (b.v. fatale lock-in) die door een component worden geïntroduceerd. Deep vendor lock-in, vaak te wijten aan een gebrek aan openheid in gegevensformaten, communicatieprotocollen en API’s, is een zeer reëel iets. Als je met een vrachtwagen een eenrichtingsweg inrijdt, kun je hem later niet meer omdraaien.

Om deze risico’s te beperken (en de daarmee samenhangende kosten in de hand te houden) zou een exit-strategy een integraal onderdeel moeten zijn van de selectie van componenten/leveranciers.

Wat de impact van een incident via de toeleveringsketen betreft, moet veerkracht deel uitmaken van het weefsel van de geïmplementeerde bedrijfsprocessen. Zero Trust beoogt juist de mogelijkheid te bieden om incidenten vroegtijdig op te sporen en problemen vroegtijdig aan te pakken, en ze in ieder geval binnen de perken te houden. In het bijzonder helpt beperking van incidenten door logische segmentatie toe te passen en ‘chirurgisch’ veiligheidscontroles toe te voegen, te voorkomen dat kleine incidenten uitgroeien tot een volledige catastrofe.

Alex van Eersel en Jeroen Scheerder
Pentester en Research Lead

Supply Chain Attacks winnen in populariteit

Wat is een Supply Chain Attack?

Meer technische details

Voorbeelden van (recente) Supply Chain Attacks

Hoe nu verder

Deel dit artikel:

Andere artikelen

Je lost je cybersecurity-uitdaging niet op door meer producten toe te voegen

De zin en onzin van cybersecurity voor onderwijsinstellingen

COVID dwingt organisaties tot een radicaal nieuwe en cloud-first aanpak van hun cybersecurity