Cyberrisiken in der Software-Lieferkette

Cyberrisiken in der Software-Lieferkette
Anzeige

Beitrag teilen

Log4Shell oder Solarwinds sind typische Beispiele für Angriffe auf Unternehmen, die über deren Software-Lieferkette erfolgten. Kennzeichnend dafür ist, dass Cyberkriminelle sich nicht direkt Zugang zum Zielunternehmen verschaffen, sondern der Angriff über eine Hintertür. Ein Kommentar von Trend Micro.

Lässt man einige Angriffe der letzten Zeit (insb. Solarwinds oder Log4Shell) Revue passieren, so fällt auf, dass diese immer mehr „über Bande“ spielen. Das bedeutet die Angreifer greifen Zielunternehmen nicht mehr direkt an, sondern über deren (Software)-Lieferkette. Ob nun Opfer über kompromittierte Solarwinds-Updates oder Lücken in Log4Shell angegriffen werden – in beiden Fällen ist die Software-Lieferkette gleichzeitig auch Infektionskette.

Anzeige

Infektionen per Lieferkette

Damit gewinnt das Thema der Integrität der Supply Chain immer mehr an Brisanz. Das bedeutet in erster Linie: Kenne ich alle Lieferanten/Dienstleister in meiner Lieferkette? Und zwar nicht nur die direkten, sondern auch die transienten Abhängigkeiten! Ist die gesamte Lieferkette so dokumentiert, dass man im Falle einer Lücke in genutzten Bibliotheken direkt sagen kann, ob die eigene Software betroffen ist? Sei es, weil man die Bibliothek direkt selbst einsetzt oder eine der transienten Abhängigkeiten.

Die „Integrität der Supply Chain“ rückt insbesondere bei Sicherheitsvorfällen schnell in den Mittelpunkt. In solchen Fällen ist man bemüht, den Schaden schnellstmöglich einzugrenzen. Je nach Umgebung gibt es dafür auch verschiedene technische Lösungen: (Virtuelle) Patches, Updates von Software-Abhängigkeiten, SLAs mit Dienstleistern und vieles mehr. Leider lässt das Interesse daran, wie so oft, wenn der akute Schmerz weg ist, schnell nach, sobald das gröbste überstanden ist.

Anzeige

Supply Chain effizient verwalten

Dabei sollte jedem klar sein, dass die Integrität der Lieferkette nichts ist, was man im Falle des Falles immer schnell mit einem technischen „Pflaster“ angehen sollte. Vielmehr geht es hier um die Etablierung von entsprechenden Prozessen (und auch technischen Vorgehensweisen), die einem helfen, die Integrität der eigenen Supply Chain effizient zu verwalten. Dies führt zumeist zu einer kleineren Angriffsoberfläche und mindestens zu einer besseren Datenbasis, die bei einem Sicherheitsvorfall die manuelle Nachforschung reduziert.

Leider ist die Einführung von Prozessen zur Pflege der Integrität der eigenen Softwarelieferkette oft langwierig. Insbesondere da es hier nicht nur um technische Schutzaspekte geht, sondern es auch eine menschliche und administrative Komponente gibt. Außerdem ist im Vergleich zur technischen IT-Sicherheit das Wissen und Fachpersonal nur dünn vorhanden.

Tipps vom U.S. Department of Commerce

In diese Lücke stößt die Neufassung der NIST Special Publication SP800-161r1 („Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“). Diese enthält eine umfassende Einführung in die Hintergründe, Mitwirkende und Implementation von sicheren Software-Lieferketten. Die darin dokumentierten Vorgehensweisen und Beispielszenarien geben einen exzellenten Einblick in die Implementierung, aber auch in die Vorteile von sicheren Software-Lieferketten.

Damit ist die NIST-Publikation eine sehr wertvolle Ressource für jeden, der die Integrität seiner Software-Lieferkette verbessern möchte. Und daran sollte jedem gelegen sein! Zeigt die Erfahrung doch, dass Angreifer sich auf Angriffsmodelle konzentrieren, die funktionieren. Und dieser Nachweis ist bei Angriffen über die Lieferkette definitiv gegeben. Daher sollte man sich jetzt mit der Absicherung und Dokumentation der Lieferkette beschäftigen – denn beim nächsten Angriff ist es dafür zu spät. Beziehungsweise ist man so mit der Abwehr beschäftigt, dass Prozesse eh‘ keine Rolle spielen. Und damit beginnt das Dilemma wieder von vorne.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können. Mit über 6.700 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu schützen. Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.


 

Passende Artikel zum Thema

BSI: Trend Micro ist qualifizierter APT-Response-Dienstleister

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Trend Micro in seine Liste qualifizierter APT-Response-Dienstleister im Sinne §3 BSI-Gesetz ➡ Weiterlesen

Backups rücken ins Visier der Cyberkriminellen

Neue Studie zeigt vermehrte Cyberangriffe auf Network Attached Storage (NAS)-Geräte. Eine Studie von Trend Microzeigt. dass Backups immer mehr ins ➡ Weiterlesen

Log4j – Log4Shell-Alarm – Nur ein Einzelfall?

Die Antwort auf die Frage, ob Log4j / Log4Shell einmalig war, ist „Nein“. Sicherlich waren die Auswirkungen der Log4Shell-Schwachstelle ungewöhnlich. ➡ Weiterlesen

Trend Micro entlastet Sicherheitsteams und minimiert Cyber-Risiken

Neues Service- und Support-Angebot von Trend Micro entlastet Sicherheitsteams und minimiert Cyber-Risiken. Die Servicepakete umfassen Premium-Support, einen Frühwarnservice, Managed XDR ➡ Weiterlesen

Studie: SOC-Mitarbeiter beklagen Überlastung

Studie: Mehr als die Hälfte der SOC-Mitarbeiter beklagen negative Auswirkungen der Arbeit auf ihr Privatleben. Neue Studie von Trend Micro zeigt, ➡ Weiterlesen

One TM-Plattform sehr erfolgreich bei ATT&CK-Test

Strenge Tests durch MITRE Engenuity ATT&CK® belegen außergewöhnlichen Schutz vor Cyberangriffen. Trend Micros neue Plattform für Detection und Response stellt ihre ➡ Weiterlesen

Cyberkriminelle zocken mit der Beute

Cyberkriminelle spielen online um Gewinne aus verbrecherischen Aktivitäten, wie Kreditkarten-Dumps und persönlich identifizierbare Informationen (PII). Auch Cyberkriminelle spüren die Auswirkungen ➡ Weiterlesen

Cyberkriminelle nutzen Cloud-Logs

Cyberkriminelle nutzen Cloud-Technologie zur Beschleunigung von Angriffen auf Unternehmen. Trend Micro Research findet Terabytes gestohlener Daten zum Verkauf in Cloud-Logs. Trend ➡ Weiterlesen