Was ist ein Supply-Chain-Angriff?

Angriffe auf die Lieferkette zielen darauf ab, Vertrauensbeziehungen zwischen einer Organisation und externen Parteien auszunutzen. Zu diesen Beziehungen können Partnerschaften, Lieferantenbeziehungen oder die Verwendung von Software von Drittanbietern gehören. Cyber-Bedrohungsakteure kompromittieren ein Unternehmen und dringen dann in der Lieferkette nach oben vor, wobei sie diese vertrauenswürdigen Beziehungen ausnutzen, um Zugriff auf die Umgebungen anderer Unternehmen zu erhalten.

Einen Angriff verhindern? Cybersicherheitsbericht

Was ist ein Supply-Chain-Angriff?

Angriffe auf die Lieferkette nehmen zu

In den letzten Jahren waren viele der schädlichsten und bekanntesten Cybersicherheitsvorfälle Angriffe auf die Lieferkette. Obwohl dieser Anstieg viele Ursachen haben mag, ist die Cyberpandemie einer der bedeutendsten.

 

COVID-19 hat das moderne Unternehmen verändert und viele Unternehmen dazu gedrängt, remote zu arbeiten und die Cloud einzuführen, obwohl sie für den Wechsel vielleicht noch nicht vollständig bereit waren. Infolgedessen sind Sicherheitsteams, die aufgrund des Fachkräftemangels im Bereich Cybersicherheit häufig unterbesetzt sind, überfordert und nicht in der Lage, mitzuhalten.

Beispiele für Supply-Chain-Angriffe

Mit den neuen Angriffsvektoren, die durch Fernarbeit und überlastete Sicherheitsteams entstehen, haben Cyberkriminelle viele Möglichkeiten, Angriffe auf die Lieferkette durchzuführen. Zu den größten der letzten Jahre gehören:

 

  • SolarWinds: Im Jahr 2020 verschaffte sich eine Hackergruppe Zugang zur Produktionsumgebung von SolarWinds und baute eine Hintertür in Updates seines Orion-Netzwerküberwachungsprodukts ein. SolarWinds-Kunden, die das bösartige Update ausführten, erlitten Datenschutzverletzungen und andere Sicherheitsvorfälle.
  • Kaseya: Die Ransomware-Bande REvil nutzte Kaseya, ein Softwareunternehmen, das Software für Managed Services Provider (MSPs) bereitstellt, aus, um über 1.000 Kunden mit Ransomware zu infizieren.  Die Gruppe forderte ein Lösegeld von 70 Millionen US-Dollar, um allen betroffenen Kunden Entschlüsselungsschlüssel zur Verfügung zu stellen. 
  • Codecov: Codecov ist eine Softwaretestorganisation, deren Bash-Uploader-Skript (das zum Senden von Codeabdeckungsberichten an das Unternehmen verwendet wird) von einem Angreifer geändert wurde. Dieser Supply-Chain-Exploit ermöglichte es den Angreifern, vertrauliche Informationen wie Quellcode, Geheimnisse und mehr von CodeCov-Kunden auf ihre eigenen Server umzuleiten.
  • NotPetya: NotPetya war eine gefälschte Ransomware-Malware, die Computer verschlüsselte, den geheimen Schlüssel jedoch nicht zur Entschlüsselung speicherte. Man nennt es die Umwandlung in einen „Wischer“.
    • Der NotPetya-Angriff begann als Lieferkettenangriff, als eine ukrainische Wirtschaftsprüfungsgesellschaft angegriffen wurde und die Malware in ein bösartiges Update aufgenommen wurde.
  • Atlassian: Im November 2020 entdeckte Check Point Research (CPR) eine Reihe von Schwachstellen , die in Kombination ausgenutzt werden können, um die Kontrolle über ein Konto und verschiedene Atlassian-Apps zu erlangen, die über SSO verbunden sind.
    • Was diese Schwachstelle zu einem potenziellen Angriff auf die Lieferkette macht, besteht darin, dass der Angreifer, sobald er diese Schwachstellen ausnutzt und die Kontrolle über ein Konto erlangt, Hintertüren installieren kann, die er in Zukunft nutzen kann.
    • Dies kann zu schwerwiegenden Schäden führen, die erst nach Eintritt des Schadens erkannt und bekämpft werden.
    • Check Point Research hat diese Informationen verantwortungsbewusst an die Atlassian-Teams weitergegeben und eine Lösung bereitgestellt, um sicherzustellen, dass seine Benutzer weiterhin Informationen auf den verschiedenen Plattformen sicher austauschen können
  • British Airways: Im Jahr 2018 erlitt British Airways einen Magecart-Angriff, der über 380.000 Transaktionen auf der Website der Fluggesellschaft gefährdete. Der Angriff wurde durch einen Lieferkettenangriff ermöglicht, der einen der Anbieter der Fluggesellschaft kompromittiert und auf British Airways, Ticketmaster und andere Unternehmen ausgeweitet hat.

Wie ein Supply-Chain-Angriff funktioniert

Ein Supply-Chain-Angriff nutzt Vertrauensbeziehungen zwischen verschiedenen Organisationen aus. Alle Organisationen haben ein gewisses Maß an implizitem Vertrauen in andere Unternehmen, wenn sie die Software des Unternehmens in ihrem Netzwerk installieren und nutzen oder mit ihnen als Anbieter zusammenarbeiten.

 

Ein Angriff auf die Lieferkette zielt auf das schwächste Glied in einer Vertrauenskette. Wenn eine Organisation über eine starke Cybersicherheit verfügt, aber einen unsicheren vertrauenswürdigen Anbieter hat, dann zielen die Angreifer auf diesen Anbieter ab. Nachdem sie im Netzwerk des Anbieters Fuß gefasst haben, könnten die Angreifer mithilfe dieser vertrauenswürdigen Beziehung auf das sicherere Netzwerk umsteigen.

 

Ein häufiges Angriffsziel für die Lieferkette sind Managed Service Provider (MSPs). MSPs haben umfassenden Zugriff auf das Netzwerk ihrer Kunden, was für einen Angreifer von unschätzbarem Wert ist. Nach der Ausnutzung des MSP kann der Angreifer problemlos auf das Netzwerk seines Kunden vordringen. Durch die Ausnutzung von Schwachstellen in der Lieferkette haben diese Angreifer einen größeren Einfluss und können sich Zugang zu Netzwerken verschaffen, die viel schwieriger direkt anzugreifen wären. Auf diese Weise gelang es den Kaseya-Angreifern, so viele Organisationen mit Ransomware zu infizieren.

 

Bei anderen Angriffen auf die Lieferkette wird Software verwendet, um Malware an die Kunden eines Unternehmens zu verteilen.  Beispielsweise verschafften sich die SolarWinds-Angreifer Zugriff auf die Build-Server des Unternehmens und schleusten eine Hintertür in Updates des Netzwerküberwachungsprodukts SolarWinds Orion ein.  Als dieser Update-Code an Kunden weitergegeben wurde, verschafften sich die Angreifer auch Zugriff auf deren Netzwerk.

Die Auswirkungen von Supply-Chain-Angriffen

Angriffe auf die Lieferkette bieten einem Angreifer lediglich eine weitere Möglichkeit, die Abwehrmaßnahmen eines Unternehmens zu durchbrechen. Mit ihnen können alle Arten von Cyber-Angriffen durchgeführt werden, wie zum Beispiel:

 

  • Datenschutzverletzung: Angriffe auf die Lieferkette werden häufig zur Durchführung von Datenschutzverletzungen eingesetzt. Beispielsweise hat der SolarWinds-Hack die sensiblen Daten mehrerer öffentlicher und privater Organisationen offengelegt.
  • Malware-Infektionen: Cyberkriminelle nutzen häufig Schwachstellen in der Lieferkette aus, um Malware an ein Zielunternehmen zu übermitteln. SolarWinds beinhaltete die Bereitstellung einer bösartigen Hintertür, und der Kaseya-Angriff führte zu Ransomware, die diese ausnutzen sollte.

Best Practices zur Identifizierung und Eindämmung von Angriffen auf die Lieferkette

Angriffe auf die Lieferkette machen sich ungesicherte Vertrauensbeziehungen zwischen einem Unternehmen und anderen Organisationen zunutze. Zu den Möglichkeiten, die Risiken dieser Angriffe zu mindern, gehören:

 

  • Implementieren Sie die geringsten Rechte: Viele Unternehmen weisen ihren Mitarbeitern, Partnern und ihrer Software übermäßige Zugriffsrechte und Berechtigungen zu. Diese übermäßigen Berechtigungen erleichtern die Durchführung von Angriffen auf die Lieferkette. Implementieren Sie die geringste Berechtigung und weisen Sie allen Personen und Software nur die Berechtigungen zu, die sie für ihre Arbeit benötigen.
  • Führen Sie eine Netzwerksegmentierung durch: Software von Drittanbietern und Partnerorganisationen benötigen keinen uneingeschränkten Zugriff auf jeden Winkel des Netzwerks. Verwenden Sie die Netzwerksegmentierung, um das Netzwerk basierend auf Geschäftsfunktionen in Zonen zu unterteilen. Wenn ein Supply-Chain-Angriff einen Teil des Netzwerks gefährdet, ist der Rest des Netzwerks dennoch geschützt.
  • Befolgen Sie die DevSecOps-Praktiken: Durch die Integration von Sicherheit in den Entwicklungslebenszyklus ist es möglich zu erkennen, ob Software, wie z. B. die Orion-Updates, in böswilliger Absicht verändert wurde.
  • Automatisierte Bedrohungsprävention und Bedrohungssuche: Analysten von Security Operations Centers (SOC) sollten alle Umgebungen des Unternehmens, einschließlich Endgerät, Netzwerk, Cloud und Mobilgeräte, vor Angriffen schützen.

Mit Check Point vor Angriffen auf die Lieferkette schützen

Angreifer in der Lieferkette machen sich mangelnde Überwachung in der Umgebung eines Unternehmens zunutze. Check Point Harmony Endpoint hilft einem Unternehmen, sich vor diesen Bedrohungen zu schützen, indem es die Anwendung auf verdächtiges Verhalten überwacht, das auf eine Kompromittierung hinweisen könnte.

 

Um mehr über die Arten von Angriffen zu erfahren, vor denen Harmony Endpoint schützt, lesen Sie den Cybersicherheitsbericht 2021 von Check Point. Führen Sie anschließend einen Sicherheitscheck durch , um mehr über die Sicherheitsprobleme in Ihrer Umgebung zu erfahren. Wie Sie diese Sicherheitslücken schließen können, erfahren Sie auch mit einer kostenlosen Demo.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK