Het complexiteit van het it-dreigingslandschap neemt in versneld tempo toe. Met regelmaat duiken virussen op die zo geavanceerd zijn dat onderzoekers enkel kunnen concluderen dat er ‘statelijke actoren’ in het spel zijn. Zo was Stuxnet uit 2010 gericht op het saboteren van het Iraanse nucleaire programma. Een alarmerende gedachten is dat er vergelijkbare virussen lang onontdekt zijn gebleven. Dit zet aan tot de vraag of er vandaag de dag nog meer virussen zijn die onopgemerkt rondgaan op internet?
Een ander dreiging in het landschap zijn de Spectre- en Meltdown-kwetsbaarheden uit 2018 én de varianten die daarop volgden. Besturingssystemen en hypervisors bewaken dat processen enkel binnen het voor hen toegewezen werkgeheugen acteren. De kwetsbare plekken die hier zijn uit te buiten, zitten in de fysieke processoren en specifiek in het gebied van het cachegeheugen verantwoordelijk voor optimalisatie van performance. Dit is slechts tot op zekere hoogte in software te patchen.
Wat verder een opmerking verdient, is dat er geld verdiend wordt aan het uitbuiten van kwetsbaarheden. Voor criminele organisaties is het lonend om tijd en geld te stoppen in de ontwikkeling van nieuwe methoden om zo via it andere te bespioneren, te saboteren of af te persen. Precies dat maakt supply chain-aanvallen zo interessant.
Solarwinds en Kaseya
Supply chain-aanvallen zijn aanvallen op informatiebeveiliging, gericht op it-leveranciers, met als doel de afnemers te raken. Actuele voorbeelden die veel in ons vakgebied en de media zijn besproken, zijn Solarwinds en Kaseya. De aanvallen bij deze partijen waren extra schadelijk, omdat ze it-dienstverleners raken die software-omgevingen van klanten beheren. Hierdoor kregen de cybercriminelen dus gemakkelijk toegang tot de digitale kroonjuwelen van heel veel klanten.
Er zijn verschillende werkwijzen voor supply chain-aanvallen. Drie voorbeelden:
- Solarwinds
Door in te breken in de systemen, voegden hackers een malafide code toe aan de broncode van de Solarwinds-software, die vervolgens via officiële kanalen is gedistribueerd.
- Kaseya
Hier ging het om de uitbuiting van een kwetsbaarheid in de remote beheersoftware om ransomware uit te rollen. Deze zwakke plek is, zover nu bekend, niet door hackers geïntroduceerd en was simpelweg een fout in de software.
- DigiNotar
Hier wonnen hackers per ongeluk de jackpot. Het bedrijf had een systeem voor het signeren van certificaten in een kluis staan zonder netwerkverbinding. Dit vonden medewerkers erg omslachtig werken en ze kozen ervoor om het systeem tóch aan een netwerk te verbinden. De hackers konden waarschijnlijk hun eigen ogen niet geloven, maar waren met deze toegang wel in staat om eigen ssl-certificaten te maken die door alle webbrowsers werden vertrouwd.
Leren
Wat kunnen we leren van deze bekende supply chain-aanvallen? Het volgende.
- Vertrouw nooit op de informatiebeveiliging van één leverancier
Dit kan je onder andere realiseren met de volgende maatregelen: antivirusprogramma’s, altijd bij zijn met updates, een robuuste firewall en scannen op kwetsbaarheden.
- Als leverancier van it-dienstverlening anticiperen op gerichte aanvallen
Als leverancier ben je een doelwit voor cybercriminelen en zijn er veel kwetsbaarheden om uit te buiten. Het is daarom belangrijk om hier actie op te nemen.
- Als afnemer van it-dienstverlening altijd een plan B hebben
Bij een aanval moet je ervan uitgaan dat je je data en volledige productieomgeving kwijt kan raken. Dit kan voor bedrijven een flinke klap zijn, dus wees hier goed op voorbereid.
- Het vroegtijdig herkennen en acteren
Bij een digitale inbraak is het van belang dit zo vroeg mogelijk te ontdekken, zodat je hier snel op in kan spelen. Zo is de opgelopen schade flink beperken.
(Auteur Remco Niesten is pre-sales consultant bij Uniserver.)
VDL heeft ruim een maand last gehad van Ransomware. Intussen is net bekend geworden dat helaas ook MediaMarkt is gehackt en er Ransomware zou zijn ingezet. MediaMarkt zit aan het eind van een Supply Chain. Dus vertrouw niet alleen nooit volledig op de informatiebeveiliging van een leverancier, maar ook niet van een afnemer.