Schutz für die IT-Lieferkette

Originalartikel von Ziv Chang, Director Cyber Safety Solution

Die Sicherheit eines Unternehmens hängt nicht nur von der Organisation selbst ab, sondern auch von der Sicherheit ihrer IT-Lieferkette und der Partner. Diese können zum Schwachpunkt für die Sicherheit des Unternehmens werden.

Vertragsunternehmen und Lieferanten sind schon oft dafür missbraucht worden, um größere Organisationen zu kompromittieren. Der Einbruch in das letztendliche Ziel startete mit der Kompromittierung eines Vertragsunternehmens, das für Lösungen für Heizung, Lüftung und Klimatisierung zuständig war. Das Hacking von Lockheed Martin 2011 wurde zum Teil auf gestohlene Informationen während eines Hacks von RSA und der Kompromittierung von deren SecureID Tokens zurückgeführt. HAVEX wird mit Angriffen auf Industrial Control Systems (ICS) in Verbindung gebracht.

Diese bekannt gewordenen Fälle stellen jedoch nur die Spitze des Eisbergs dar. Viele Supply Chain-Anbieter haben nicht genügend Mitarbeiter oder Ressourcen für ihre Sicherheit und können daher unter Umständen nicht feststellen, ob sie Opfer eines gezielten Angriffs geworden sind.

Drehungen und Wendungen

Die Bedrohungsakteure, die auf die IT-Lieferkette zielen, nutzen verschiedene Winkelzüge als Teil ihrer Taktiken, Techniken und Prozeduren. Dazu gehören:

  • Kompromittieren des Quellcodes: Kann ein Hacker auf den Quellcode eines Anbieters zugreifen und ihn modifizieren, so ist es für ihn ein Leichtes einen Hintertürschädling einzufügen. Darüber hat ein Hacker einfachen Zugriff auf jeden Kunden dieses Anbieters. Dies lässt sich über die Kompromittierung von Servern bewerkstelligen, auf denen sich Quellcode, Systeme für die Forschung und Entwicklung befinden, oder durch das Abgreifen von Zugangsdaten zu genutzten Source-Kontrolldiensten. Die HAVEX Malware-Familie (bekannt als Dragonfly/Energetic Bear) hat trojanisierte Versionen von ICS-Software verwendet. Ein solcher Angriff kann sehr wertvoll sein, doch dafür müssen mehrere Systeme und Konten kompromittiert werden. Beispielsweise sollten Zugangsdaten für Quellcode-Kontrollsysteme separat von anderen Zugangsdaten gespeichert sein. Als Alternative könnten die Server selbst angegriffen werden (unabhängig davon, ob sie Onpremise oder in der Cloud stehen). Diese Art von Zugriff würde einen weitgefächerten Einbruch in die Zielorganisation erfordern.
  • Kompromittieren der Firmware: Wenn Angreifer auf den Binary Code von Systemen eines Anbieters zugreifen und diesen modifizieren können, so lassen sich auch Hintertürschädlinge hinzufügen, die dann über vorhandene Autoupdate-Mechanismen abgesetzt werden können. Kunden erhalten diesen bösartigen Code, wenn ein Update auf ihre Systeme geschickt wird. Experten gehen davon aus, dass die Equation Group bösartige Firmware in ihren Angriffen benutzt hat.
    • Die Herausforderungen beim Kompromittieren von Firmware sind denen beim Kompromittieren von Quellcode ähnlich, doch gibt es ein zusätzliches Problem: Es bedarf technischer Informationen, um wirklich Firmware zu erstellen, die auf den anvisierten Geräten läuft. Diese Informationen müssen innerhalb der Organisation selbst beschafft werden oder durch Analyse vorhandener öffentlich verfügbarer Hardware.
  • Kompromittieren von Websites und internen Portalen: Angreifer können auch versuchen, Websites und interne Portale, die von einem Anbieter für die Kommunikation mit seinen Kunden verwendet werden, zu kompromittieren. Diese lassen sich in einem „Watering Hole“-Angriff gegen die Kunden nutzen. HAVEX nutzte diese Taktik auch, um Organisationen zu treffen, die spezialisiertes ICS/SCADA-Equipment einsetzen. Damit ein solcher Angriff zum Erfolg führt, muss der Angreifer einige Informationen zu den Browsing-Mustern sowohl des Anbieters als auch der Kunden sammeln. Außerdem benötigt er die Zugangsdaten von Webmastern oder Serveradministratoren. Das bedeutet aber, er muss das Anbieternetzwerk gut kennen. Doch das ist nicht so schwierig zu bewerkstelligen wie die Anforderungen an die beiden vorangegangenen Szenarien zu erfüllen.
  • Spear Phishing von vertrauenswürdigen Anbieter E-Mail-Konten: Ein Angreifer, der Anbietersysteme und Zugangsdaten kontrolliert, kann sehr einfach, legitim wirkende E-Mails an Clients senden. Hochrangige Mitarbeiter können so einfach zu Opfern werden.
  • Direkter Netzwerkzugriff von vertrauenswürdigen Anbietern: Auch der Zugang eines Anbieters zum Client-Netzwerk kann missbraucht werden. Hat ein Anbieter beispielsweise Zugang zu einem Client-Netzwerk über VPN, kann ein Angriff auf diesen Anbieter die Zugangsdaten für das VPN kompromittieren. In ähnlicher Weise lässt sich auch auf sichere Tunnel über kompromittierte Zugangsdaten zugreifen.

Ein Angreifer kann in die IT-Lieferkette wie in jede andere Organisation eindringen. E-Mail ist immer noch der beliebteste Infektionsweg, sowohl über bösartige Anhänge als auch über Links zu Sites, die als Köder genutzt werden.

Mögliche Lösungen

Einige sind der Ansicht, dass die Sicherheit von Anbietern nicht zu den Verantwortlichkeiten eines Netzwerkadministrators gehört. Das mag wohl stimmen, doch hat die Sicherheit eines Anbieters direkte Auswirkungen auf die Sicherheit der Organisation. Es gibt einige Empfehlungen, die der Sicherheit dienlich sein können.

  • Schützen des eigenen Netzwerks: Dazu gehören die Fragen, ob die Organisation bereits genügend Verteidigungsmaßnahmen gegen gezielte Angriffe getroffen hat, Sensoren und ein Incident Response Team existieren, um Attacken aufzufangen, sowie Sicherheitslösungen vorhanden sind, sowohl für die Endpunkte als auch für Gateways. Denn bevor ein Unternehmen Sicherheitsprobleme mit den Anbietern diskutieren kann, muss das eigene Haus in Ordnung sein.
  • Koordinieren der Sicherheits-Policies: So weit es geht, sollten Anbieter und Kunden weitgehend ähnliche Sicherheits-Policies aufsetzen. Inkonsistente Policies können in einer Organisation zu Schwachpunkten werden, die für laterale Bewegungen führen können.
  • Auditieren des Codes, Binary und der Firmware: Patching- und Update-Prozeduren sollten überprüft werden, um sicherzugehen, dass angemessenes Auditing durchgeführt wird, bevor neue Software/Hardware eingeführt wird. Source Code-Audits können versteckte Hintertürschädlinge, hart codierte Zugangsdaten und andere mögliche Sicherheitslücken finden. Binary Audits prüfen Datei-Hashes, um sicherzustellen, dass lediglich nicht modifizierte Softwareversionen installiert werden.
  • Koordinieren der Sicherheitsteams: Sicherheitsressourcen von Anbietern und Kunden sollten zusammenarbeiten, um ihre überlappenden Netzwerke zu schützen. Gemeinsame Bedrohungsintelligenz und regelmäßige Treffen der Teams können sicherstellen, dass jede potenzielle Bedrohung erkannt und adäquat behandelt wird.

Fazit

Ein Aspekt des Datenschutzes, welcher häufig übersehen wird, ist die Art und Weise wie andere auf Unternehmensdaten zugreifen. Die Folge dieser Nachlässigkeit ist, dass damit der Datenschutz nur so gut ist wie das schwächste Glied. Eine vollständige Sicherheits- und Vertraulichkeits-Risikoprüfung muss auch die Sicherheit der Partner und Lieferanten mit einbeziehen.

Zudem sollten Anbieter Schritte zum Schutz ihrer eigenen Systeme unternehmen. Produkte wie InterScan™ Messaging Security Software und virtuelle Appliance, Hosted Email Security sowie ScanMail™ für Microsoft Exchange™ sind mit Technik ausgerüstet, die Bedrohungen über E-Mail erkennt. In Kombination mit Web Reputation und fortschrittlichen Sandboxen für die Überprüfung von Anhängen, können diese Tools Unternehmen dabei unterstützen, verschiedene Bedrohungen zu entdecken, die versuchen, in das Netzwerk eines Unternehmens einzudringen. Lösungen wie Deep Discovery können ebenfalls als Teil einer auf die jeweiligen Bedürfnisse zugeschnittenen Verteidigungsstrategie verwendet werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.