Zpedia 

/ Was sind Supply-Chain-Angriffe?

Was sind Supply-Chain-Angriffe?

Ein Supply-Chain-Angriff ist eine Art von Cyberangriff, der sich gegen die Lieferkette eines Unternehmens richtet. So wollen sich die Angreifer Zugang zu den Systemen und Daten dieses Unternehmens verschaffen. Diese auch als Value-Chain- und Third-Party-Software-Angriffe bezeichneten Angriffe erfordern aufseiten der Hacker, die mithilfe von Schadcode in das Firmensystem eindringen, ein hohes Maß an Planung. Die Folgen für das betroffene Unternehmen können auch jenseits der eigentlichen Kompromittierung verheerend sein, wie sich etwa an den SolarWinds-Angriffen aus dem Jahr 2020 ablesen lässt.

Lernen Sie die branchenweit erste integrierte SaaS-Lösung für Lieferkettensicherheit kennen
Schutz vor CyberbedrohungenData Protection
  1. Beispiele für Angriffe
  2. Die Folgen
  3. Die Softwareentwicklung
  4. Best Practices der Cybersicherheit
  5. Warum Zscaler?
  6. Ähnliche Themen

Beispiele

Es gibt zwei Arten von Supply-Chain-Angriffen, die sich gegen die Liefer- und Wertschöpfungsketten von Unternehmen richten.

Island-Hopping-Angriffe

Bei Island-Hopping-Angriffen dringen Cyberkriminelle in große Unternehmen ein, indem sie kleinere Akteure entlang der Wertschöpfungskette oder solche mit wahrscheinlich weniger ausgefeilten Sicherheitskontrollen ins Visier nehmen. Wie der Name schon sagt, springen die Angreifer dabei von Organisation zu Organisation, um sich ihrem eigentlichen Ziel anzunähern.

Island-Hopping-Angriffe zielen meist auf namhafte Unternehmen mit einem weit verzweigten Lieferantennetzwerk ab. Das sind unter anderem Anbieter für Managed Services, Hardware und Software sowie Technologie- und Geschäftspartner, die über anfällige Endgeräte mit diversen Anwendungen und Datenbanken verbunden sind.

Vorsicht vor Lieferkettenangriffen

Supply-Chain-Angriffe wie auf SolarWindslaufen etwas anders ab. Anstatt Schwachstellen eines Partners als Einfallstor in das Netzwerk eines anderen Unternehmens auszunutzen, geht es hier darum, sich das Vertrauen zwischen legitimen Organisationen im normalen Geschäftsbetrieb zunutze zu machen.

So laufen Supply-Chain-Angriffe ab

Bei Supply-Chain-Angriffen versuchen Hacker, sich über Hintertüren in Produkten (in der Regel Software), die von ihren Opfern verwendet werden, Zugang zu verschaffen. So können sie automatische Patches oder „trojanisierte“ Software-Updates einschleusen, die dann Malware und anderen AngriffsmethodenTürund Tor öffnen.

Island-Hopping- und Supply-Chain-Angriffe haben bereits zu aufsehenerregenden und kostspieligen Datenlecks geführt. Doch auch für kleinere Unternehmen, die ihnen als sprichwörtliche „Inseln“ dienen, können gravierende Ruf- und Geschäftsschäden die Folge sein, obwohl sie gar nicht das eigentliche Angriffsziel sind.

Die Folgen von Supply-Chain-Angriffen

Beim SolarWinds-Orion-Angriff im Jahr 2020 konnte sich ein Hacker über eine Hintertür Zugang zu SolarWinds-Systemen verschaffen und mit Trojanern verseuchte Updates für SolarWinds Orion erstellen. So konnte heimlich Malware in die Netzwerke von 18.000 SolarWinds-Kunden eingesetzt werden, unter denen auch viele US-Regierungsbehörden und Einrichtungen wie das Pentagon, das US-Heimatschutzministerium, das FBI, die US-Streitkräfte und viele weitere waren.

Die Hintertür wurde dabei über ein legitimes Software-Update für ein bekanntes (also vermeintlich vertrauenswürdiges) Überwachungs- und Verwaltungstool eingeschleust. Nach dessen Installation unternahmen die Hacker dann etliche Anstrengungen, um eine Erkennung durch die Sandbox zu verhindern. So wurde unter anderem mehrere Tage abgewartet, bevor der erste Callback an das Command-and-Control-System (C2) erfolgte.

Warum sind sie so gefährlich?

Sicherheitsexperten zählen Angriffe auf Lieferketten zu den heimtückischsten Bedrohungen, da sie sich das inhärente Vertrauen zwischen Geschäftspartnern zunutze machen. Zudem sind sie schwer zu erkennen und können länger andauernde Folgen haben. Angriffe auf die Lieferkette lassen sich nicht einfach durch Installation eines Antivirenprogramms oder Zurücksetzen Ihres Betriebssystems beheben. Je solider Ihre Prozesse sind, desto besser stehen Ihre Chancen, sie erfolgreich abzuwehren.

Zitat

[Lieferkettenangriffe] gehören zu den Bedrohungsarten, die sich am schwierigsten verhindern lassen, da sie Vertrauensbeziehungen zwischen Anbietern und Kunden sowie Kommunikationskanäle zwischen Maschinen – wie z. B. Software-Update-Mechanismen – ausnutzen, denen User inhärent vertrauen.

Lucian Constantin, CSO Online

Der SolarWinds-Angriff – und warum er so schwer zu erkennen war

Die Bedeutung der Softwareentwicklung

Schwachstellen in der Software-Lieferkette finden sich bereits in deren Aufbau. Potenzielle Sicherheitsrisiken im Entwicklungsprozess sollten also beseitigt werden, damit Sie Sicherheitsvorfälle in Ihrer Lieferkette auf das absolute Minimum beschränken können.

Im Folgenden soll der Frage nachgegangen werden, wie eine unzureichend gesicherte Softwareentwicklung Angriffsflächen schaffen kann.

Was versteht man unter Geheimnissen?

Im Zusammenhang mit der Softwareentwicklung dienen Geheimnisse wie Token, Kodierungsschlüssel, Passwörter oder APIs zur Authentifizierung und ermöglichen den Zugriff auf vertrauliche Informationen von User zu App und von App zu App. Denn häufig durchsuchen Hacker und Ransomware- Gruppen wie NotPetya den Quellcode von Unternehmen auf Schwachstellen, die sie später ausnutzen können.

Risiken bei Open Source

Trotz ihrer Allgegenwärtigkeit macht Open-Source-Software (OSS) ein Unternehmen häufig anfällig für Angriffe. OSS ist zwar für die Softwareentwicklung effektiv, vergrößert jedoch die Angriffsfläche und öffnet die Tür für Datenschutzverletzungen und Malware – und damit den zwei häufigsten Angriffsmethoden auf die Software-Lieferkette.

Zitat

Es wird auch in Zukunft Angriffe auf Lieferketten geben. Es ist äußerst schwierig, sich vor ihnen zu schützen. Das zeigt, wie wichtig das Thema Sicherheit bei der Anbieterwahl ist.

Jake Williams, SANS Institute

Das sollten Sie über den Supply-Chain-Angriff auf SolarWinds wissen

Unterstreicht der SolarWinds-Angriff das Lieferkettenrisiko?

Der SolarWinds-Angriff zeigt Organisationen, dass Vorsicht oberstes Gebot sein sollte. Es zeigt die besonderen Schwachstellen bei der Herstellung einer Software-Lieferkette und welche Gefahr diese für bekannte und stark geschützte Unternehmen wie Cisco, Intel und Microsoft darstellen können. Darüber hinaus wird den Verantwortlichen für IT-Sicherheit klar, dass ein böswilliger Akteur nur einen Teil der Kette infiltrieren muss, um die gesamte Kette zu infiltrieren.

Um Ihnen zu helfen, Ihr Unternehmen vor diesen gefährlichen Bedrohungen zu schützen, werden im nächsten Abschnitt entsprechende Best Practices vorgestellt.

 

Best-Practice-Empfehlungen zum Schutz Ihrer Organisation

Angriffe auf die Lieferkette entwickeln sich immer noch weiter und es besteht kein Zweifel, dass Angreifer neue Wege finden werden, um die Betriebsabläufe und vertraulichen Daten sowohl öffentlicher Behörden als auch privater Unternehmen zu kompromittieren. Um das Lieferkettenrisiko zu verringern und die Lieferkettensicherheit zu erhöhen, empfiehlt Zscaler folgende Schritte:

  • Minimieren Sie Ihre sichtbare Angriffsfläche, verhindern Sie laterale Bewegungen in Ihrem Netzwerk und blockieren Sie Command-and-Control-Aktivitäten (C2) mit einer Zero-Trust-Architektur.
  • Implementieren Sie lückenlose TLS/SSL-Überprüfung und Advanced Threat Prevention für den Traffic von Workloads zum Internet.
  • Erkennen und stoppen Sie unbekannte Bedrohungen mit einer -Inline Cloud Sandbox.
  • Setzen Sie durch regelmäßige Updates für neu entdeckte Verbindungsziele effektive Schutzmaßnahmen zur Blockierung des gesamten bekannten C2-Traffics durch.
  • Implementieren Sie eine mehrstufige Authentifizierung für alle Zugriffsanforderungen auf geschäftskritische Ressourcen bzw. vertrauliche Daten und Informationen.
  • Begrenzen Sie Folgen lateraler Bewegung mithilfe von identitätsbasierter Mikrosegmentierung für Cloud-Workloads.
  • Investieren Sie in Lösungen von Anbietern, die ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten können.
  • Führen Sie fortlaufende Risikobewertungen durch und priorisieren Sie Ihr Risikomanagement, damit Ihr Unternehmen bestmöglich geschützt ist.
  • Führen Sie regelmäßig Schulungen zur Cybersicherheit mit Best Practices durch, damit Ihre Beschäftigten genau wissen , worauf sie achten müssen (Phishing-Mails usw.).
  • Stellen Sie ein geeignetes Incident-Response-Framework für den Fall auf, dass in Ihrem Netzwerk ein Angriff festgestellt wird.

Um diese Best Practices der Lieferkettensicherheit umzusetzen, benötigen Sie einen vertrauenswürdigen Partner für Cybersicherheit. Und eine Plattform, die den Datenverkehr inline prüft und so gefährliche Malware und Ransomwarebeseitigt, bevor diese in Ihr Unternehmen eindringen kann. Und genau dieser Partner ist Zscaler.  

Zscaler als Schutz vor Supply-Chain-Angriffen

Supply-Chain-Angriffe sind raffiniert und schwer zu erkennen. Neben der genauen Kenntnis der Sicherheitslage aller beteiligten Organisationen erfordert ihre Abwehr mehrere Schutzebenen und Einblick in den gesamten Traffic Ihrer Organisation. Im Folgenden sind einige der in der Zscaler Zero Trust Exchange™ enthaltenen Funktionen aufgeführt, die Organisationen im Kampf gegen Lieferkettenangriffe unterstützen:

  1. Erkennen und stoppen Sie schädliche Aktivitäten kompromittierter Server, indem Sie den gesamten Serververkehr über Zscaler Internet Access leiten.
  2. Beschränken Sie den Datenverkehr aus kritischen Infrastrukturen mit einer Positivliste.
  3. Prüfen Sie den gesamten SSL/TLS-Traffic, auch wenn er aus vertrauenswürdigen Quellen stammt.
  4. Durch Aktivieren von Advanced Threat Protection blockieren Sie alle bekannten C2-Domains.
  5. Mit der Advanced Cloud Firewall (Cloud-IPS-Modul) erweitern Sie den Schutz vor Command-and-Control-Angriffen auf alle Ports und Protokolle, einschließlich neuer C2-Ziele.
  6. Mit Advanced Cloud Sandbox verhindern Sie die Auslieferung unbekannter Malware als Second-Stage Payload.
  7. Mit identitätsbasierter Mikrosegmentierung (Zscaler Workload Segmentation) und einer Zero-Trust-Architektur verhindern Sie die laterale Ausbreitung von Bedrohungen und dämmen potenzielle Kompromittierungen ein.
  8. Mit Zscaler Private Access schützen Sie zentrale Anwendungen und begrenzen die laterale Bewegungsfreiheit.