Was ist eine Supply Chain Attack?
Dieser Beitrag erklärt Dir den Begriff und 9 effektive Strategien, um Dich gegen die Bedrohung schützen zu können.
Starten wir!
- 1 Was ist eine Supply Chain Attack?
- 2 Schutz gegen Supply Chain Attack
- 2.1 Habe Dein Auge überall – SIEM / SOAR
- 2.2 Der Kanal der Übertragung für Updates ist entscheidend
- 2.3 Eindeutigkeiten explizit nachweisen – Hashes
- 2.4 Von Grund auf korrekte Infrastruktur – Zero Trust
- 2.5 Nicht warten, sondern Sicherheitspatches patchen!
- 2.6 Die eine Hand wäscht die andere – Bündnisse
- 2.7 Der Teufel steckt im Detail – Manuelle Reviews
- 2.8 Nur Datensammeln ist nutzlos – Auswertungen
- 2.9 Diesen Aspekt überlesen die meisten – Multi-Faktor
Was ist eine Supply Chain Attack?
Ein Supply Chain Attack (deutsch: Lieferkettenangriff) ist die absichtliche Manipulation eines Prozesses in einer Lieferkette, damit der Endkunde und das verkaufende Unternehmen zu Schaden kommt.
Lieferkettenangriffe sind in jeder Software möglich, die das Unternehmen nicht selbst vollständig programmiert hat. Jede Software und Betriebssystem, welches nicht zu 100 % selbst programmiert (ohne Bibliotheken) ist, kann eine solche Gefahr beinhalten.
Supply Chain Angriffe passieren nicht nur in der IT, sondern auch z. B. in der Nahrungsmittelindustrie. Kriminelle fangen Kisten vom Schlachter ab und ersetzen diese mit verdorbenem Fleisch. Der Metzger verarbeitet das Fleisch zur Wurst und eine Pizzeria macht aus der Wust eine Pizza.
Erst der Endkonsument spürt die Auswirkungen und muss ins Krankenhaus bzw. muss eine Ransom zahlen.
Steffen Lippke
Wer ist betroffen von Supply Chain Attack?
Theoretisch könntest Du jede Software schreiben, aber in der Praxis sind alle Unternehmen und Privatpersonen von Supply Chain Angriffen betroffen. Wenn Du Closed-Source-Software nutzt, musst Du dem Hersteller blind vertrauen [oder diese sehr aufwendig analysieren]. Du kannst bei Open-Source-Software selbst überprüfen, welche Code Du nutzt. Gehackte Open Source Publisher bzw. Repos sind keine Seltenheit mehr.
Viele System-Admins vertrauen blind auf ein Microsoft-Zertifikat. Microsoft hat in der Vergangenheit häufiger einige zurückziehen müssen, weil Kriminelle diese erbeutet haben.
Warum sind Supply Chain Attack heute ein Thema?
Die Anzahl solcher Angriffe hat zu genommen. Die Gründe für dieses Problem sind folgende:
- Sichere anonyme Bezahlungen mit Krypto-Währungen: Vor 2008 existierten Krypto-Währungen nicht, die eine anonyme Geldtransaktion ermöglichen. Der Hacker kann eine Bezahlung verlangen, ohne eine Rückverfolgung zu riskieren.
- Organisiertes Verbrechen in größeren Gruppen: Die Digitalisierung schreitet fort. Lebenswichtige Bereiche sind digitalisiert, sodass Kriminelle empfindliche Punkte angreifen und Geld erpressen können. Das erpresste Geld nutzen Sie, um noch weiterzuwachsen.
- Mehr Abhängigkeiten von anderer Software: Die Vielfalt an Tools und Software und halb-fertige Releases führen zu Schlupflöchern und Einfallstore für Kriminelle. Erweitere und warte lieber 1 Software-Paket als für jede kleine Aufgabe eine neue Software zu nutzen.
- Schlecht geschulte Mitarbeiter: Wenn die Infrastruktur technisch Tipp-Top ist, dann versuchen Kriminelle über Social Engineering Angriffe ihre Opfer anzugreifen.
Schutz gegen Supply Chain Attack
Du kannst keine 100 % sicheren Schutz gegen solche Angriffe gewährleisten, aber einige Methoden und Maßnahmen, die ich in diesem Beitrag vorstelle, sichern ein Unternehmen sehr gut gegen diesen Typ des Angriffs ab.
Habe Dein Auge überall – SIEM / SOAR
Die ISO Norm 2700X sieht einen zentralen Ort vor, in dem alle Logs (Statusmeldungen zu Ereignissen auf allen Servern) zusammenlaufen.
Ein SIEM-Server kann kriminelles Verhalten erkennen. Dabei müssen die Kriminellen nicht ein bestimmtes Muster verfolgen, sondern neue System haben die Möglichkeit „ungewöhnliches Verhalten“ (Notables) zu erkennen.
Kriminelle sind fremde Personen und nutzen die Server und Dateiverzeichnisse nicht wie ein normaler Mitarbeiter. Sie versuchen sich in den Datenbeständen zu orientieren und die Kronjuwelen (Passwörter, Zertifikate, Netzwerkkarten) ausfindig zu machen.
Dieses Verhalten weicht häufig stark von dem Verhalten der Mitarbeiter ab, die sich meist innerhalb des gleichen Dateikreises hin und her bewegen.
Der Kanal der Übertragung für Updates ist entscheidend
Die Kommunikation mit dem Update-Server sollte nur über HTTPs oder FTPs erfolgen, weil sonst ein Dritter das Paket manipulieren könnte. Nutze die neuste Version TLS 1.3 und HTTP/3 garantiert eine schnelle Übertragung.
Eindeutigkeiten explizit nachweisen – Hashes
Ein Hash gleicht dem Fingerabdruck eines Menschen.
Die gleiche unveränderte Datei erkennst Du mit dem Hash. Viele Hersteller signieren die installierbare Datei mit einem Hash. Wenn ein Krimineller HTTPS knackt, kannst Du überprüfen, ob die Datei geändert wurde. Empfehlenswert sind Hash-Algorithmen mit einer 200+ Bit Ausgabe z. B. SHA3-256
Von Grund auf korrekte Infrastruktur – Zero Trust
Vertraue keinem und hinterfrage alles!
Jeder Server und jede Anwendung sollte immer verschlüsselt mit Partnern kommunizieren, welche vorher sich gegenseitig verifiziert haben. Eine unverschlüsselte Datenbank hinter einer Firewall ist kein Zero Trust.
Eine Zero Trust Infrastruktur brauch keine Firewall, weil alle Komponenten einzeln abgesichert sind. Du kannst bei keinem Anbieter „1x Zero Trust!“ kaufen, sondern musst selbst Deine gesamte Infrastruktur ummodellieren.
Nicht warten, sondern Sicherheitspatches patchen!
Nicht warten, sondern patchen!
Wenn ein Sicherheitsupdate verfügbar ist, soll diese eine automatische Routine einspielen.
Braucht ein Hochsicherheitsserver einen Patch, sollte dieser generell physisch vom Internet separiert sein, damit der Admin die Patches zu einem passenden Zeitpunkt installieren kann. Die Systemadministratoren sollten in wichtigen Mail-Listen eingetragen sein, sodass diese immer die aktuellsten Informationen zu Patches erhalten.
Die eine Hand wäscht die andere – Bündnisse
Andere Unternehmen aus ähnlichen Branchen nutzen ähnliche Software.
Falls diese ein Angriff bemerken oder selbst Opfer sind, können Sie diese wertvolle Information vertraulich in einem Cybersecurity-Bündnis weitergeben.
Die anderen Unternehmen können dann gezielt aufrüsten oder Services abschalten. Dein Unternehmen kann z. B. dem CERT-Bund beitreten oder einen eigenen Branchen-spezifischen Verein gründen.
Das System funktioniert nur, wenn jeder unmittelbar seine Erkenntnisse teilt.
Der Teufel steckt im Detail – Manuelle Reviews
Updaten sind schön, sollten aber von einer fachkundigen Person geprüft werden. Patchen wir jetzt eine Malware auf unseres System oder ein sinnvolles Update?
Nur Datensammeln ist nutzlos – Auswertungen
Ein SIEM bringt nichts, wenn das System nur die Daten sammelt.
Die Alarme müssen aktiv sein und die regelmäßigen Suchen müssen regelmäßig laufen.
Ein fachkundiger Spezialist aus dem Security Operation Center sollte 24 / 7 das SIEM überwachen. Bei einem Alarm kann dieser Maßnahmen ergreifen, um vorerst das Schlimmste zu verhindern. Die Aufarbeitung eines Vorfalls kann tagsüber das SoC-Tem erledigen.
Kleine Unternehmen sind angeraten ihre Services in die Cloud zu migrieren. Die Kosten für ein professionelles SoC teilen sich viele kleine Unternehmen.
Diesen Aspekt überlesen die meisten – Multi-Faktor
Nutze eine Zwei-Faktor-Authentifizierung, um alle Services abzusichern.
Phishing bedrohen Passwörter erst nicht seit gestern, sondern sind ein großes Problem, welches einen Milliarden-großen Schaden jedes Jahr verursacht. Schütze Deine Systeme, indem Du eine 2-Faktor-Authentifizierung aktivierst oder eine Identity Provider als Proxy davor schaltest.
Die meisten Identity Provider können eine Anwendung einfach mit einer 2-Faktor-Authentifizierung aufrüsten.
Du kannst z. B. den Microsoft oder Google Authenticator verwenden, um die Tokens auf Deinem Smartphone zu speichern.
