Supply chain attacks: hoe kunnen bedrijven zich hiertegen beschermen?

Dat niemand immuun is voor een cyberaanval, mochten verschillende organisaties recent nog eens ondervinden na de inbraak bij SolarWinds. Ook voor bedrijven die fors investeren in cybersecurity, kunnen bedreigingen uit onverwachte hoek komen. Bijvoorbeeld via een leverancier waarvan ze software-updates te goeder trouw installeren, maar hackers zo onbewust een achterpoortje naar hun eigen netwerk geven. Hoe kan je dit soort incidenten zo goed mogelijk vermijden?

In theorie zat het er wel eens aan te komen: een aanval die zich via de supply chain tot bij een groot aantal organisaties verspreidt. In de praktijk was er lange tijd geen precedent van een incident met zo’n enorme impact. Tot onlangs bleek dat hackers via SolarWinds honderden slachtoffers hebben gemaakt, voornamelijk bij de Amerikaanse overheid.

SolarWinds ontwikkelt software waarmee klanten hun netwerk beheren. Voor de aanvallers was dat een uitgelezen kans om in die netwerken binnen te dringen. Hoe groot de schade is, zal de komende weken en maanden moeten blijken. Maar nu al lijkt zeker dat de aanvallers met geheime en waardevolle informatie aan de haal zijn gegaan.

De hele operatie duurde meer dan twee jaar. Hackers slaagden erin om in te breken in het systeem van SolarWinds en daar een stukje code toe te voegen. Vervolgens verstuurde de leverancier die code nietsvermoedend via een software-update naar ongeveer 18.000 klanten. Door de update uit te voeren, gaven klanten van SolarWinds de aanvallers een achterpoortje langs waar ze konden binnen sluipen.

De hele operatie duurde meer dan twee jaar.

Eerst gingen de hackers na waar ze zich bevonden en of het slachtoffer interessant genoeg was. Om niet op te vallen, nestelden ze zich steeds dieper in de organisatie. Ze kregen zo toegang tot allerlei data en wisten ze zelfs in de clouddiensten van organisaties in te breken. Uiteindelijk merkte het cyberbeveiligingsbedrijf FireEye dat er iets aan de hand was. Aanvankelijk leek de impact zich tot een tiental organisaties te beperken, maar intussen is al sprake van honderden slachtoffers.

Vraag leveranciers naar hun securitymaatregelen

De belangrijkste verklaring voor het succes van deze aanval is het feit dat organisaties vaak blindelings vertrouwen in de integriteit van hun leveranciers. Ze gaan er dan ook van uit dat een software-update ongevaarlijk is en in hun eigen belang gebeurt. Niemand verwacht dat ze de poorten van hun koninkrijk openen voor hackers door zo’n update. Toch is het belangrijk om goed te controleren of leveranciers ook zelf voldoende maatregelen nemen. Zeker nu bedrijven onder impuls van de toenemende digitalisering vaker derde partijen in hun netwerk toelaten.

Vraag potentiële partners daarom altijd eerst naar de security die ze zelf geïnstalleerd hebben. Er bestaan ook certificaten die bewijzen dat ze security ernstig nemen, zoals de ISO27000-standaarden. Of maak een checklist met vragen die een leverancier moet invullen. Vooral overheidsinstellingen en banken doen dit vandaag al, maar eigenlijk zou elk bedrijf hiermee bezig moeten zijn. Uiteraard biedt zelfs een certificaat geen garantie dat er niets kan gebeuren. Leveranciers moeten hun beloften immers blijven nakomen.

Breng je eigen security op orde

Eigenlijk moet iedereen uitgaan van de gedachte dat er ooit een cyberaanval op de organisatie zal gebeuren. Als we de slachtoffers van de SolarWinds-aanval bekijken, dan zitten daar heel wat namen tussen van organisaties waarvan geweten is dat ze sterk inzetten op cybersecurity. In veel bedrijven heeft cybersecurity weliswaar nog geen hoog niveau van maturiteit bereikt. Zeker in de context van digitalisering neemt het belang van goede security alleen maar toe. Hoeveel bedrijven hebben hun medewerkers in het begin van de pandemie hun computer meegegeven zonder gepaste maatregelen om op afstand te werken?

Hoeveel bedrijven hebben hun medewerkers in het begin van de pandemie hun computer meegegeven zonder gepaste maatregelen om op afstand te werken?

Daarnaast kan je jezelf onmogelijk beschermen tegen een bedreiging die nog niet gekend is. Daarom is de levenscyclus van cybersecurity zo belangrijk: anticiperen, identificeren, beschermen, detecteren en reageren. Van zodra een organisatie gecompromitteerd wordt, zal de impact afhangen van de manier waarop ze met het incident omgaat en hoe snel ze kan reageren. Leveranciers van software en cybersecurity moeten ook anticiperen op bedreigingen door voortdurend informatie en kennis te verzamelen via hun klanten en (eigen) onderzoek.

Het taboe doorbroken: communiceren over incidenten

Tot slot moeten organisaties ook open communiceren van zodra ze iets opmerken. Vroeger durfden ze uit vrees voor reputatieschade een probleem al gauw eens verzwijgen. Gelukkig begint dat taboe te verdwijnen en krijgen bedrijven meer waardering wanneer ze transparant zijn en hun maatschappelijke verantwoordelijkheid opnemen. Op die manier kan heel wat schade vermeden worden. In het geval van SolarWinds heeft FireEye dus aan de alarmbel getrokken. FireEye is zelf een securitybedrijf en het is dan ook bewonderenswaardig dat ze het nieuws naar buiten hebben gebracht.

Het incident met SolarWinds zal wellicht nog grote gevolgen hebben, onder andere om te bepalen wie in zo’n situaties aansprakelijk is. In Europa is al eerder vastgelegd dat de CEO van de organisatie hiervoor verantwoordelijkheid draagt. Ook dat maakt het voor bedrijven cruciaal om hun lessen uit deze aanval te trekken. Het valt bovendien te verwachten dat er in de toekomst nog meer pogingen zullen komen. Volgens NSA en FBI zou dit keer Rusland achter de aanval zitten, maar traditioneel zien we dat technieken van zogenaamde nation states met wat vertraging ook bij andere criminele hackersorganisaties terechtkomen.

Stel je maar eens voor dat aanvallers bij een bedrijf als SAP of Adobe zouden inbreken.

Er zijn natuurlijk nog veel andere leveranciers die over de hele wereld klanten hebben. Stel je maar eens voor dat aanvallers bij een bedrijf als SAP of Adobe zouden inbreken. De gevolgen van een dergelijk incident zouden wereldwijd voelbaar zijn. Spionage gebeurt ook op een meer traditionele manier, namelijk via zero-day kwetsbaarheden, met andere woorden, een kwetsbaarheid in een systeem die nog niet gekend is.  Amerikaanse softwaregigant Microsoft heeft recent nog vier zero-day kwetsbaarheden in Exchange Server gedicht. Hier zou volgens Microsoft de Chinese hackersgroep Hafnium geprobeerd hebben om data te stelen.

Dat de situatie ernstig is, blijkt uit het feit dat Microsoft zelfs een update heeft verstuurd voor een systeem dat vandaag niet meer ondersteund wordt. In België zijn volgens het Centrum voor Cybersecurity (CCB) al meer dan 400 computersystemen geïnfiltreerd. Ruim duizend andere systemen moeten de update nog uitvoeren en blijven kwetsbaar. Als de hackers binnendringen voor de update geïnstalleerd is, behouden ze bovendien toegang en kunnen ze dus nog steeds data downloaden en ransomware verspreiden.

Eén ding is duidelijk: spionage is hot! Van het stelen van recepten voor vaccins tegen COVID-19 tot informatie over transport … In elke keten van de supply chain kunnen hackers op de loer liggen. Een goede voorbereiding maakt echter een groot verschil. Daarom moeten we ons zo goed mogelijk beschermen, andere partijen om transparantie vragen, en onderling kennis uitwisselen.

Dit is een ingezonden bijdrage van Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense. Via deze website kom je meer te weten over de activiteiten van het bedrijf.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home