Van RSA tot SolarWinds: lessen die zijn getrokken uit een decennium aan schendingen van de toeleveringsketen

Van RSA tot SolarWinds: lessen die zijn getrokken uit een decennium van inbreuken op de toeleveringsketen

Door Dan Raywood • 1 augustus 2024

De afgelopen tien jaar zijn aanvallen op de toeleveringsketen een van de belangrijkste oorzaken van inbreuken geworden. Verbindingen met een netwerk brengen exploiteerbare kwetsbaarheden en een verhoogd risico op beveiligingsincidenten met zich mee. Dan Raywood onderzoekt waarom de supply chain zo'n uitdagend probleem blijft voor organisaties en biedt enkele oplossingen.

De uitdaging begrijpen

De realiteit van supply chain-aanvallen is duidelijk zichtbaar: vanaf de aanval op RSA in 2011, waar het de bedoeling was om bij Lockheed Martin binnen te dringen, bij het incident tien jaar later, waar bedreigingsactoren software of inloggegevens van ten minste drie bedrijven – met name de Orion-software van Solarwinds – misbruikten om de Amerikaanse overheid te treffen.

Wat we weten over aanvallen op de toeleveringsketen is waarschijnlijk een platgetreden pad: aanvallers misbruiken een kwetsbaarheid in de ene entiteit om een route naar een andere en vaak grotere onderneming te vinden om een inbreuk te plegen, in een omgeving te verblijven of iets schandelijks.

Een supply chain-aanval lijkt ongelooflijk moeilijk te voorkomen, omdat het om een reeks gebeurtenissen gaat en een verdediger serieuze voorzorgsmaatregelen moet nemen om te weten wie met hem verbonden is en welke incidenten hij heeft meegemaakt.

Het risico herkennen

Recent onderzoek van BlackBerry gevonden dat 74% van de aanvallen was afkomstig van leden van de softwaretoeleveringsketen waarvan bedrijven zich vóór de inbreuk niet bewust waren of die zij niet controleerden.

Hoe kunt u er zeker van zijn dat de entiteiten die met uw bedrijf verbonden zijn, veilig zijn en aan hetzelfde nalevingsniveau voldoen als uw bedrijf? Richard Starnes, CISO van Six Degrees Group, zegt dat dit mogelijk is als je een flow-down-contract gebruikt, waarbij elk bedrijf waarmee je werkt, jouw voorbeeld moet volgen en kan doorrollen naar andere leveranciers.

"Je hebt een eis aan een klant die specificaties schetst waaraan moet worden voldaan, en als ze niet aan deze specificaties kunnen voldoen, dan kan ik ze niet gebruiken", zegt Starnes.

Het versterken van de zwakste schakel

Starnes zegt dat een van de belangrijkste problemen die aanvallen op de toeleveringsketen mogelijk maken de betrokkenheid van kleine en middelgrote ondernemingen is, omdat het moeilijker is geworden om grotere ondernemingen binnen te komen en de verblijftijd niet meer is wat het was – Mandiant's 2024 M Trends-rapport merkte op dat de verblijftijd tussen 16 en 2022 was gedaald van zestien naar tien dagen.

Ian Thornton-Trump, CISO van Cyjax, zegt dat de lessen die zijn getrokken uit aanvallen op de toeleveringsketen aantonen dat er een beter begrip moet komen van de gevolgen van de tekortkomingen op het gebied van de beveiliging van uw klanten en leveranciers.” Wat u kunt doen, is hen en hun beveiligingspositie en hun nalevingsvereisten op het gebied van beveiliging in de gaten houden, en als ze een inbreuk op de beveiliging hebben, stellen ze u eerst op de hoogte”, zegt hij.

“Dit gaat niet over een vijandige relatie, omdat je ze niet probeert te vangen, maar het geeft je de kans om wijzigingen aan te brengen in plaats van een defensieve houding aan te nemen.”

Dit gaat over de kwestie van het achterhalen van veiligheidskwesties via de media in plaats van rechtstreeks door het slachtoffer te worden geïnformeerd, waardoor u incidenten kunt reageren en toezicht kunt houden.

Een op vertrouwen gebaseerd ecosysteem bouwen

Uit het onderzoek van Blackberry blijkt dat 65% van de bedrijven hun klanten informeert over incidenten, terwijl 51% zich zorgen maakt over de negatieve impact op de bedrijfsreputatie.

Thornton-Trump zegt dat de enige manier om te ‘vertrouwen maar te verifiëren’ is als er aan alle kanten transparantie is, waardoor je voorbereidingen kunt treffen voor het geval er een inbreuk plaatsvindt en je weet hoe je moet reageren.

Juiste stappen

Wat zijn de juiste stappen om ervoor te zorgen dat u alle gaten vindt waar een aanvaller u doorheen kan slaan, inclusief professionele (en mogelijk zelfs conforme) bedrijven? leiding van het Britse National Cybersecurity Centre over de beveiliging van de toeleveringsketen beveelt een reeks principes aan, waaronder weten wie uw leveranciers zijn, inzicht krijgen in hoe hun beveiliging eruit ziet en het opstellen van een actieplan.

Deze aanbevelingen vereisen ook een sterke afhankelijkheid van de beveiligingsregelingen van uw leveranciers. Dit kan inhouden dat van “potentiële leveranciers wordt gevraagd bewijs te leveren van hun benadering van beveiliging en hun vermogen om te voldoen aan de minimale beveiligingseisen die u in verschillende stadia van de contractcompetitie hebt gesteld” en dat u de reden voor deze eisen aan uw leveranciers moet uitleggen, zodat zij begrijpen wat Is benodigd.

Gebruikmaken van gevestigde kaders en standaarden

Door de naleving van ISO 27001 te handhaven, kunt u ervoor zorgen dat uw leveranciers op hetzelfde niveau staan als u. Het kan u in staat stellen uw leveranciers beter te onderzoeken en aan te dringen op hun nalevingsniveau zonder dat u een checklist of vragenlijst nodig heeft.

Externe dienstverleners moeten passende beveiligingsmaatregelen implementeren die regelmatig worden gecontroleerd en beoordeeld wanneer ze met bedrijven werken die de ISO 27001 gebruiken

standaard als vangrail voor leveranciersmanagement. Sam Peters, CPO van ISMS.online legt uit: “Dit stelt organisaties in staat veiligheidsrisico’s die verband houden met externe leveranciers te identificeren, evalueren en aan te pakken en stelt bedrijven in staat vooraf gedefinieerde beveiligingscriteria op te stellen en periodieke beoordelingen uit te voeren, waardoor voortdurende naleving en veiligheid wordt gegarandeerd.”

ISO 27001 vereist ook dat bedrijven uitgebreide gegevens bijhouden van alle interacties met derden, inclusief risicobeoordelingen, beveiligingsvereisten vastgelegd in contracten en voortdurende prestatiemonitoring.

Uiteindelijk, zo stelt Peters, “legt ISO 27001 de basis voor rigoureuze controleprocessen van partners en leveranciers, robuuste partnerschapsovereenkomsten en een cultuur van voortdurende verbetering, waardoor u een niveau van veiligheidsregelgeving krijgt dat u extra vertrouwen zou moeten geven.”

Derde en vierde verbinding

Een andere overweging is de verdere doorstroming naar verbindingen van derde en vierde partijen. Onderzoek vrijgegeven Eerder dit jaar bleek uit Security Scorecard dat 97% van de bedrijven in Groot-Brittannië een gehackte entiteit heeft in hun ecosysteem van derden.

Starnes zei dat veel bedrijven hun leveranciers rangschikken en een beschrijving van de leverancier hebben die de naleving van de regelgeving dicteert die zij aan die entiteit opleggen.

“Voor een leverancier op niveau 1 zou je een jaarlijkse vragenlijst gebruiken, terwijl je voor een leverancier op niveau 2 elke twee jaar een minder diepgaande vragenlijst zou laten afnemen.

“Voor een leverancier op niveau drie heb je nog een vragenlijst en een melding voor wanneer er een materiële wijziging of een incident is, en zo worden er veel beheerd.”

Uitdagingen op het gebied van hulpbronnen overwinnen

Hoewel het beheren van de beveiliging van de toeleveringsketen veel hulpbronnen kan vergen, werpen deze inspanningen op de lange termijn vruchten af. Ondanks de tijdsinvestering is het organiseren en controleren van uw supply chain essentieel voor het onderhouden van een veilig netwerk. Het automatiseren van delen van dit proces en het benutten van nalevingsnormen kunnen de inspanningen stroomlijnen en de last voor beveiligingsteams verminderen.

Een pad voorwaarts

Door een 'vertrouwen maar verifiëren'-aanpak te hanteren en transparantie te bevorderen, kunnen bedrijven hun toeleveringsketens versterken tegen potentiële bedreigingen. Continue monitoring, duidelijke communicatie en naleving van compliancenormen zijn cruciaal voor het creëren van een veerkrachtige en veilige toeleveringsketen. Hoewel de uitdaging aanzienlijk is, kunnen proactieve en positieve strategieën, waaronder de invoering van een ISMS, een substantieel verschil maken in de bescherming tegen aanvallen op de toeleveringsketen.

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood