Von RSA bis SolarWinds: Lehren aus einem Jahrzehnt voller Lieferkettenverletzungen
Inhaltsverzeichnis:
Im letzten Jahrzehnt sind Angriffe auf die Lieferkette zu einer der Hauptursachen für Sicherheitsverletzungen geworden. Verbindungen zu einem Netzwerk bringen ausnutzbare Schwachstellen und ein erhöhtes Risiko von Sicherheitsvorfällen mit sich. Dan Raywood untersucht, warum die Lieferkette für Unternehmen weiterhin ein so großes Problem darstellt, und bietet einige Lösungsansätze.
Die Herausforderung verstehen
Die Realität von Angriffen auf die Lieferkette ist klar erkennbar: von der Angriff auf RSA im Jahr 2011, als die Absicht bestand, in Lockheed Martin einzusteigen, bis zum Vorfall Zehn Jahre später, bei dem Bedrohungsakteure Software oder Anmeldeinformationen von mindestens drei Unternehmen – insbesondere die Orion-Software von Solarwinds – ausnutzten, um die US-Regierung anzugreifen.
Was wir über Angriffe auf die Lieferkette wissen, ist wahrscheinlich ein ausgetretener Pfad: Angreifer nutzen die Schwachstelle einer Entität aus, um sich einen Weg in ein anderes und oftmals größeres Unternehmen zu verschaffen und dort einen Einbruch zu verursachen, sich in einer Umgebung einzunisten oder eine schändliche Handlung durchzuführen.
Ein Angriff auf die Lieferkette lässt sich nur äußerst schwer verhindern, da es sich dabei um eine Kette von Ereignissen handelt und die Verteidiger ernsthafte Vorkehrungen treffen müssen, um zu wissen, wer mit ihnen in Verbindung steht und welche Vorfälle sie erlebt haben.
Das Risiko erkennen
Aktuelle Forschung von BlackBerry festgestellt, dass 74 % der Angriffe gingen von Mitgliedern der Software-Lieferkette aus, die den Unternehmen vor dem Verstoß nicht bekannt waren oder die sie nicht überwacht hatten.
Wie können Sie sicher sein, dass die mit Ihrem Unternehmen verbundenen Unternehmen sicher sind und dieselben Compliance-Standards einhalten wie Ihr Unternehmen? Richard Starnes, CISO der Six Degrees Group, sagt, dass dies möglich ist, wenn Sie einen Flow-Down-Vertrag verwenden, der von allen Unternehmen, mit denen Sie zusammenarbeiten, verlangt, Ihrem Beispiel zu folgen, und der dies auch auf andere Lieferanten übertragen kann.
„Sie haben Anforderungen an einen Kunden, die Spezifikationen vorgeben, die erfüllt werden müssen, und wenn dieser diese Spezifikationen nicht erfüllen kann, kann ich ihn nicht beauftragen“, sagt Starnes.
Stärkung des schwächsten Glieds
Laut Starnes ist eines der Hauptprobleme, die Angriffe auf die Lieferkette ermöglichen, die Beteiligung kleiner und mittlerer Unternehmen, da größere Unternehmen komplexer zu betreten sind und die Verweildauer nicht mehr das ist, was sie einmal war – Mandiant’s 2024 M Trends-Bericht stellte fest, dass die Verweildauer von 16 bis 2022 von 2023 auf zehn Tage gesunken sei.
Ian Thornton-Trump, CISO von Cyjax, sagt, die aus Angriffen auf die Lieferkette gewonnenen Erkenntnisse zeigten, dass die Konsequenzen von Sicherheitsmängeln bei Kunden und Zulieferern besser verstanden werden müssten. „Was Sie tun können, ist, sie und ihre Sicherheitslage sowie ihre Sicherheitskonformitätsanforderungen zu überwachen. Und wenn es zu einer Sicherheitsverletzung kommt, benachrichtigen sie Sie als Erstes“, sagt er.
„Hier geht es nicht um eine feindselige Beziehung, da Sie nicht versuchen, den anderen auszutricksen. Aber es gibt Ihnen die Möglichkeit, Änderungen vorzunehmen, anstatt in eine Verteidigungshaltung zu verfallen.“
Damit geht es darum, über die Medien auf Sicherheitsprobleme aufmerksam zu machen, statt direkt vom Opfer informiert zu werden. So können Sie auf Vorfälle reagieren und sie überwachen.
Aufbau eines auf Vertrauen basierenden Ökosystems
Die Blackberry-Umfrage ergab, dass 65 % der Unternehmen ihre Kunden über Vorfälle informieren und 51 % über die negativen Auswirkungen auf den Ruf des Unternehmens besorgt sind.
Thornton-Trump sagt, die einzige Möglichkeit, nach dem Motto „Vertrauen, aber Kontrolle“ zu funktionieren, bestehe in der Transparenz auf allen Seiten, sodass man für den Fall eines Verstoßes Vorbereitungen treffen könne und wisse, wie man reagieren müsse.
Richtige Schritte
Welche Schritte sind die richtigen, um sicherzustellen, dass Sie alle Lücken finden, über die ein Angreifer Sie angreifen könnte, auch bei professionellen – und möglicherweise sogar konformen – Unternehmen? Zielführung vom britischen National Cybersecurity Centre zur Lieferkettensicherheit empfiehlt eine Reihe von Grundsätzen, darunter, dass man seine Lieferanten kennen, sich ein Bild davon machen sollte, wie deren Sicherheit aussieht, und einen Aktionsplan ausarbeiten sollte.
Diese Empfehlungen erfordern auch ein hohes Maß an Vertrauen in die Sicherheitsvorkehrungen Ihrer Lieferanten. Dies kann bedeuten, dass Sie von „potenziellen Lieferanten den Nachweis ihres Sicherheitsansatzes und ihrer Fähigkeit, die von Ihnen festgelegten Mindestsicherheitsanforderungen in verschiedenen Phasen des Auftragswettbewerbs zu erfüllen, verlangen“ und Ihren Lieferanten die Gründe für diese Anforderungen erläutern, damit sie verstehen, was erforderlich ist.
Nutzung etablierter Frameworks und Standards
Durch die Einhaltung der ISO 27001-Vorschriften können Sie sicherstellen, dass Ihre Lieferanten auf demselben Niveau sind wie Sie. So können Sie Ihre Lieferanten besser prüfen und auf deren Einhaltung bestehen, ohne dass eine Checkliste oder ein Fragebogen erforderlich ist.
Drittanbieter müssen bei der Zusammenarbeit mit Unternehmen, die die ISO 27001 verwenden, geeignete Sicherheitsmaßnahmen implementieren, die regelmäßig überwacht und überprüft werden.
Standard als Leitplanke für das Lieferantenmanagement. Sam Peters, CPO von ISMS.online, erklärt: „Auf diese Weise können Organisationen Sicherheitsrisiken im Zusammenhang mit externen Lieferanten identifizieren, bewerten und angehen. Außerdem können Unternehmen vordefinierte Sicherheitskriterien festlegen und regelmäßige Bewertungen durchführen, um eine kontinuierliche Einhaltung und Sicherheit zu gewährleisten.“
Darüber hinaus verpflichtet ISO 27001 Unternehmen dazu, umfassende Aufzeichnungen aller Interaktionen mit Drittparteien zu führen, einschließlich Risikobewertungen, in Verträgen festgelegter Sicherheitsanforderungen und kontinuierlicher Leistungsüberwachung.
Letztlich argumentiert Peters: „ISO 27001 legt den Grundstein für strenge Überprüfungsprozesse bei Partnern und Lieferanten, solide Partnerschaftsvereinbarungen und eine Kultur der kontinuierlichen Verbesserung. Damit erhalten Sie ein Maß an Sicherheitsregulierung, das Ihnen zusätzliches Vertrauen geben sollte.“
Dritte und vierte Verbindung
Eine weitere Überlegung ist der weitere Fluss zu Verbindungen von Drittanbietern und Vierten. Forschungsergebnisse veröffentlicht Anfang des Jahres stellte Security Scorecard fest, dass es in 97 % der britischen Unternehmen einen gehackten Anbieter in ihrem Drittanbieter-Ökosystem gibt.
Laut Starnes klassifizieren viele Unternehmen ihre Lieferanten und verfügen über eine Beschreibung des Lieferanten, die die von diesem Unternehmen zu erfüllenden gesetzlichen Vorschriften vorgibt.
„Bei einem Zulieferer der Stufe 1 würden Sie einen Fragebogen verwenden, der jedes Jahr ausgefüllt wird, während Sie bei einem Zulieferer der Stufe 2 alle zwei Jahre einen weniger ausführlichen Fragebogen ausfüllen würden.
„Für einen Zulieferer der Stufe drei gibt es einen weiteren Fragebogen und eine Benachrichtigung, wenn es eine wesentliche Änderung oder einen Vorfall gibt, und so werden viele davon gehandhabt.“
Ressourcenprobleme bewältigen
Obwohl die Verwaltung der Lieferkettensicherheit ressourcenintensiv sein kann, zahlt sich der Aufwand auf lange Sicht aus. Trotz des Zeitaufwands ist die Organisation und Prüfung Ihrer Lieferkette für die Aufrechterhaltung eines sicheren Netzwerks unerlässlich. Die Automatisierung von Teilen dieses Prozesses und die Nutzung von Compliance-Standards können den Aufwand rationalisieren und die Belastung der Sicherheitsteams verringern.
Ein Weg nach vorne
Durch die Umsetzung eines „Vertrauen, aber überprüfen“-Ansatzes und die Förderung von Transparenz können Unternehmen ihre Lieferketten gegen potenzielle Bedrohungen stärken. Kontinuierliche Überwachung, klare Kommunikation und die Einhaltung von Compliance-Standards sind entscheidend für die Schaffung einer widerstandsfähigen und sicheren Lieferkette. Obwohl die Herausforderung groß ist, können proaktive und positive Strategien, einschließlich der Einführung eines ISMS, einen wesentlichen Unterschied beim Schutz vor Angriffen auf die Lieferkette ausmachen.