In den letzten Jahren haben sich Cyberangriffe (zur absoluten Überraschung von niemandem) genauso weiterentwickelt wie unsere Verteidigungsmaßnahmen. Angreifer suchen und finden neue und innovative Wege, um Werte und Daten zu kompromittieren - von Angriffen auf Endbenutzer wie dem Diebstahl von Anmeldeinformationen und browserbasierter Malware bis hin zu Cloud-basierten Angriffen, die APIs und Cloud-native Dienste nutzen.
Leider haben Cyber-Angreifer auch herausgefunden, wie sie uns über Software kompromittieren können, die zweifellos das schwächste Glied in vielen Unternehmensumgebungen ist. Seien wir ehrlich: Ein großer Prozentsatz der großen Unternehmen verfügt nicht über ein genaues oder aktuelles Software-Inventar, und wir wissen oft sehr wenig über die Software-Entwickler, die diese Software erstellen, verpacken und an uns liefern.
Nur weil wir Software von großen, bekannten Anbietern kaufen, heißt das nicht, dass Angreifer nicht in deren Umgebungen eingedrungen sind und etwas Böses ausgeliefert haben, ohne dass der Softwarehersteller davon wusste. Dies wird noch verschärft, wenn man es mit kleineren Firmen und Start-ups zu tun hat - egal ob es sich um Standardsoftware, SaaS oder Open-Source-Anbieter handelt., oder andere Cloud-Dienste - aufgrund ihrer fehlenden Ressourcen für die Software-Sicherheit.
Kurz gesagt, die Software-Lieferkette ist ein einziges Chaos.
Beispiele für Angriffe auf die Software-Lieferkette
Wenn Sie "SolarWinds" zu jemandem in der IT-Sicherheit sagen, werden Sie wahrscheinlich den Kopf schütteln und die Stirn runzeln - ja, so schlimm war es. Sie wurden besessen, sie lieferten, wir wurden besessen, und da haben Sie es - eine sehr elegante Malware-Vertriebskette in ihrer besten Form.
Wir haben die erdrückenden Auswirkungen der Log4j-Schwachstelle in Entwicklungsumgebungen gesehen, und jetzt laden Angreifer kompromittierte Pakete und Inhalte in Paket-Repositories. In jüngster Zeit - und im Gegensatz zu den Vorfällen bei Solar Winds, Log4j oder Codecov - wurde die Sicherheitslücke bei XZ Utils bekannt, bei der ein Angreifer Social Engineering einsetzte, um in die Hintertür des weit verbreiteten Open-Source-Datenkomprimierungsprogramms in Linux-Systemen zu gelangen.
Auch die Sicherheitsverletzungen durch Dritte werden nicht abnehmen. Das heißt, solange wir nicht in den Griff bekommen, von wem wir Software kaufen, wo sie sich in unseren Umgebungen befindet, welche Privilegien sie hat, worauf sie Zugriff hat - und vor allem, ob wir ihr überhaupt vertrauen können.
Entschärfung von Angriffen auf die Software-Lieferkette
Die Industrie unternimmt große Anstrengungen, um die Sicherheit der Software-Lieferkette zu verbessern. Viele in der IT-Sicherheits- und Softwarebranche sowie die gesamte Risikomanagement-Gemeinschaft haben sich dafür ausgesprochen, dass Unternehmen eine Software-Stückliste (SBOM) veröffentlichen und pflegen, die den Kunden auf Anfrage offengelegt werden kann. Eine SBOM ist eine formal strukturierte Liste von Komponenten, Bibliotheken und Modulen, die für die Erstellung einer Software erforderlich sind. SBOMs bieten einen viel tieferen Einblick in die potenzielle Schwachstellenlage der Software selbst, indem sie ihre Komponenten aufzählen.
Einige Softwarehersteller haben sich gegen die Erstellung von SBOMs gesträubt, wahrscheinlich weil sie der Meinung sind, dass sie damit sensibles geistiges Eigentum preisgeben. Wir alle wissen jedoch, dass jeder überall Open Source verwendet. SBOM ist kein Quellcode, sondern eine Liste von Paketen und Komponenten, die zur Erstellung von Software verwendet werden und von denen viele im Laufe der Jahre sehr anfällig für Angriffe sind. Die US-Regierung drängt auf SBOM, und es könnte in naher Zukunft leicht zu einem führenden Element der Überwachung und Berichterstattung des Risikomanagements durch Dritte werden.
Weitere Schwerpunkte in der Branche sind die Entwicklung von Arbeitsabläufen für Angriffe auf die Software-Lieferkette wie MITRE ATT&CK, ein universeller Mechanismus zur Meldung von Schwachstellen und eine Syntax für Softwarefehler.
Vier bewährte Praktiken zur Minderung des Risikos von Sicherheitsvorfällen in der Software-Lieferkette
Diese jüngste Sicherheitslücke erinnert Unternehmen daran, dass sie einen Plan für die Reaktion auf Vorfälle bei Drittanbietern haben sollten, um die Auswirkungen von Kompromittierungen in der Software-Lieferkette auf ihre Drittanbieter schnell feststellen zu können. Hier sind vier bewährte Verfahren, die Sie berücksichtigen sollten:
1. Entwicklung eines zentralen Bestandsverzeichnisses für alle Anbieter.
Auf diese Weise können Sie Ihre Anbieter nach der Kritikalität der erbrachten Dienstleistungen einordnen und die Wahrscheinlichkeit und die Auswirkungen einer Sicherheitsverletzung quantifizieren. Eine genaue Profilerstellung und Einstufung ermöglicht es Ihnen auch, Ihre laufende Due-Diligence-Prüfung auf der Grundlage der Stufe des Anbieters richtig zu bemessen. Anbieter der höchsten Stufe (z. B. solche, deren Ausfall ein betriebliches Problem für Ihr Unternehmen verursacht hat) erhalten die größte Aufmerksamkeit.
2. Verstehen, welche Anbieter die betroffene Technologie verwenden.
Die Erfassung von Technologien von Drittanbietern, die in Ihrem Anbieter-Ökosystem eingesetzt werden, während des Inventarisierungsprozesses hilft bei der Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Drittanbietern auf der Grundlage einer bestimmten Technologienutzung. Auf diese Weise können Sie die Angriffspfade in Ihrem Unternehmen sichtbar machen und proaktiv Maßnahmen zur Schadensbegrenzung ergreifen. Sie können dies durch eine gezielte Bewertung oder durch passives Scannen erreichen.
3. Bewertung der Ausfallsicherheit und Kontinuitätspläne von Dritten.
Beauftragen Sie Anbieter proaktiv mit einfachen, gezielten Bewertungen, die sich an bekannten Branchenstandards für die Sicherheit der Lieferkette wie NIST 800-161 und ISO 27036 orientieren. Die Ergebnisse dieser Bewertungen helfen Ihnen dabei, die notwendigen Abhilfemaßnahmen zu finden, um potenzielle Sicherheitslücken zu schließen. Gute Lösungen bieten integrierte Empfehlungen, um den Abhilfeprozess zu beschleunigen und diese Lücken schnell zu schließen.
4. Kontinuierliche Überwachung von Anbietern und Lieferanten, um Transparenz zu schaffen, einschließlich der Cyber-Situation, negativer Nachrichten und Cyber-Angriffe.
Ständige Wachsamkeit im Hinblick auf den nächsten Angriff bedeutet, dass man nach Signalen für einen bevorstehenden Sicherheitsvorfall Ausschau hält. Die Überwachung von kriminellen Foren, Onion-Seiten, Dark-Web-Special-Access-Foren, Threat-Feeds, Paste-Sites für durchgesickerte Anmeldeinformationen, Sicherheits-Communities, Code-Repositories und Datenbanken für Schwachstellen und Hackerangriffe ist unerlässlich. Sie können diese Quellen einzeln überwachen oder nach Lösungen suchen, die alle Erkenntnisse in einer einzigen Lösung vereinen, sodass alle Risiken zentralisiert und für das Unternehmen sichtbar sind.
Weitere Tipps zur Absicherung Ihrer Software-Lieferkette
Ich habe mich mit Prevalent zusammengetan, um ein Best-Practice-Webinar über die Sicherheit der Software-Lieferkette zu veranstalten, in dem untersucht wird, wie eine ausgereifte Strategie für das Risikomanagement von Drittanbietern Ihnen helfen kann, Angriffe auf Ihre IT-Lieferanten in den Griff zu bekommen. Sehen Sie sich unten an , wie Sie die Cybersicherheit Ihrer Software-Anbieter bewerten können .
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
