In de wereld van cybersecurity wordt er vaak gesproken over termen zoals vertrouwen en ‘zero trust’. Zo wil je succesvolle datalekken voorkomen door het concept van vertrouwen uit de netwerkarchitectuur van een organisatie te verwijderen. “Never trust, always verify,” is het bekende gezegde. Netwerksegmentatie, Layer 7-bedreigingspreventie en gebruikerstoegangscontrole zijn daarom niet meer uit een moderne digitale omgeving weg te denken. Maar wat als de ‘vertrouwde’ hardware en software waaruit jouw netwerk bestaat, bij de bron is aangetast? Wat als er in de ‘software supply chain’ – die naar jouw idee vertrouwde software en updates voor jouw systemen levert – in het geheim is gecompromitteerd?
De supply chain attack
Deze verraderlijke en steeds vaker voorkomende vorm van hacken staat bekend als een 'supply chain attack'; een techniek waarbij hackers – in plaats van zich rechtstreeks op een organisatie te richten via phishing of misbruik van kwetsbaarheden – ervoor kiezen om softwareontwikkelaars en leveranciers te compromitteren. Zij misbruiken het vertrouwen dat we in deze partijen stellen om toegang te krijgen tot andere netwerken. Dit kan met name effectief zijn wanneer ze bepaalde preventie- en detectiecontroles willen omzeilen die zijn afgestemd om bekende programma’s en toegangsmiddelen te vertrouwen.
Dit gebeurde bijvoorbeeld op 2 juli 2021 toen er aanvallen werden gelanceerd tegen gebruikers van Kaseya, zowel tegen klanten die gebruik maakten van Kaseya’s VSA software (Unified Remote Monitoring & Management - ofwel RMM-tools), als klanten van meerdere MSP's (Managed Service Providers). Deze RMM software biedt beheerders namelijk de functionaliteit om systemen op afstand beheren. Als het VSA-systeem van een MSP is gecompromitteerd, kan de aanvaller malware implementeren in meerdere netwerken die door die MSP worden beheerd, wat leidt tot een kolossale en verwoestende aanval op de gehele toeleveringsketen
Volgens rapporten die Kaseya zelf beschikbaar maakte, gebruikten de hackers de toegang tot de VSA-software om ransomware te implementeren. De malware die hiervoor gebruikt werd, wordt geassocieerd met de REvil groep. Kaseya heeft verklaard dat ze aan een patch werken. Het bedrijf heeft geen verdere informatie vrijgegeven over de kwetsbaarheid en de volledige omvang van de aanval is op dit moment nog niet bekend. Kaseya raadt momenteel elke organisatie die VSA gebruikt aan om het systeem onmiddellijk af te sluiten en daarmee alle getroffen servers en software.
(Zero) trust in de chain
Doordat cybercriminelen eerst infiltreren bij de toeleveringspartner, om vervolgens andere partners in de keten uit te buiten, creëert dit een beveiligingsrisico waar cybercriminelen maar al te graag op in willen spelen. En omdat organisaties niet altijd controle hebben over de beveiligingsmaatregelen die door supply chain-partners worden genomen, is de supply chain momenteel één van de zwakste schakels in cybersecurity.
Supply chain partners zijn het doelwit juist omdat ze als toeleverancier toegang hebben tot systemen van het beoogde slachtoffer en dus als “vertrouwd” te boek staan. Omdat het vaak gaat om kleinere partijen met minder kennis van security of met kleinere IT-budgetten, is de kans groot dat de beveiliging van hun systemen van lagere kwaliteit is. Zo kunnen hackers soms klein beginnen en weken of zelfs maanden in de systemen wachten voordat ze de doelorganisatie aanvallen op het punt waar deze zwak is. Het is daarom van belang dat partners zich bewust worden van dit risico en er naar handelen om deze risico’s te beperken. Ook al heeft een organisatie zelf goede beveiligingsmaatregelen getroffen, ze zal zich moeten blijven afvragen of hun leveranciers, en de leveranciers van hun leveranciers, hun beveiliging ook op orde hebben en hier hun leveranciers op wijzen.
Aanvallen in de toeleveringsketen zoals die van Kaseya herinneren ons eraan hoe belangrijk het is om een goed verdedigd netwerk te creëren met zichtbaarheid op elk punt in de levenscyclus van de aanval. Want ook in de toeleveringsketen moeten er mogelijkheden bestaan om activiteiten die afwijken van de norm te identificeren en te stoppen. Maar hoe bereidt je je als organisatie voor op dit nieuwe tijdperk van aanvallen? Hoe verdedig je jezelf in hemelsnaam als vertrouwde software plotseling verandert in malware via een geautomatiseerde update?
Beveiligen van de keten
Wij bieden drie manieren om de toeleveringsketen te beveiligen:
- Herzie interne en externe beveiligingsprocedures.
Uiteraard wil je jouw eigen infrastructuur beoordelen op risico’s, zoals die zich bijvoorbeeld voor kunnen doen bij cloud services en SaaS applicaties. Maar het is ook van vitaal belang om de (toegangs)mogelijkheden van jouw leveranciers en partners binnen jouw IT-netwerk blijvend te beoordelen. Ontwikkel daarom een grondige beveiligingsprocedure voor nieuwe leveranciers of partners voordat je ze volledig integreert in de keten en beoordeel bestaande leveranciers regelmatig volgens deze richtlijnen.
- Stel schriftelijke beveiligingsrichtlijnen en -controles op.
Om een bepaalde mate van veiligheid te bereiken, kun je via een schriftelijke overeenkomst van leveranciers eisen dat ze zich houden aan processen en protocollen die de kans op aanvallen minimaliseren.
- Best practices op het gebied van beveiliging delen met personeel en leveranciers.
Dat er nog niet altijd evenveel bewustzijn is, blijkt wel uit het veelvoud van incidenten. Menselijke fouten zijn nog steeds verreweg de belangrijkste bron van datalekken. Voor organisaties is het daarom van cruciaal belang om al het personeel te trainen om zo beveiligingsincidenten te voorkomen. Ook bij leveranciers.
Wil je meer informatie over hoe je met dit soort beveiligingsrisico’s om moet gaan, neem dan eens contact met ons op. Wij vertellen je er graag alles over.
