Die Software-Supply-Chain wird angegriffen

Strategien, wie Sie Ihr Unternehmen sichern

Angreifer nehmen die Software-Supply-Chain ins Visier

Jedes Unternehmen ist auf die Software-Supply-Chain angewiesen. Vertraute Anwendungen basieren auf einem Netz aus Open-Source-Code, APIs und Integrationen von Drittanbietern, die für einen reibungslosen Betrieb sorgen. Diese voneinander abhängige Dynamik ist der Grund, warum die Einführung eines neuen Tools bedeutet, dass man dem gesamten Entwicklungs-Ökosystem vertraut und nicht nur dem Tool selbst.

Immer mehr Angriffe auf die Software-Supply-Chain nutzen dieses Phänomen aus, um in das Unternehmensnetzwerk einzudringen. Gartner schätzt, dass „bis 2025 45 % der Unternehmen weltweit Angriffe auf ihre Software-Supply-Chain erlebt haben werden. Dies ist eine Verdreifachung gegenüber 2021.“

Anstatt direkt in das Netzwerk eines Zielunternehmens einzudringen, nutzen Angreifer oft die Schwachstellen in den Anwendungen von Drittanbietern oder im Open-Source-Code aus, auf die sich das Zielunternehmen verlässt. Dies ermöglicht einen indirekten Zugriff auf das Netzwerk des Zielunternehmens.

So funktionieren Angriffe auf die Software-Supply-Chain

Allerdings sind die Angriffe auf die Software-Supply-Chain manchmal eher opportunistisch als gezielt. Anstatt von einem Zielunternehmen auszugehen, um dessen Lieferanten herauszufinden, kompromittiert ein Angreifer vielleicht etwas, das weit verbreitet ist, wie z.B. Open-Source-Code oder eine bestimmte Anwendung, und erntet dann die Früchte seiner Arbeit. Diese Angriffe sind attraktiv, weil sie im Verhältnis zum Aufwand eine beachtliche Ausbeute bieten.

Angreifer verschaffen sich auf unterschiedliche Weise Zugang zu den Ressourcen von Drittanbietern. Sie verwenden gestohlene Zugangsdaten oder nutzen Zero-Day- oder ungepatchte Sicherheitslücken aus. Dann nutzen sie diesen mit Berechtigungen ausgestatteten Zugang, um einen nachgelagerten Angriff zu starten. Angriffe auf die Software-Supply-Chain können ganz unterschiedlich aussehen:

  • Zugang zum Netzwerk von Drittanbietern. Wenn ein Drittanbieter oder Lieferant kompromittiert wird, kann ein Angreifer seine Berechtigungen nutzen, um Daten von Kunden und Partnern zu stehlen, Malware zu verbreiten und vieles mehr. Beim Kaseya-Angriff zum Beispiel nutzte die Cyberkriminelle Bande REvil eine Sicherheitslücke in den Servern aus, die für die Fernüberwachungs- und Verwaltungslösung des Unternehmens verwendet wurden. REvil nutzte dann diese erweiterten Berechtigungen, um Ransomware bei Hunderten von Kaseya Kunden zu implementieren.

  • Software-/Anwendungsupdates. Geräte können Malware herunterladen, die in Update-Paketen versteckt ist. Im Jahr 2017 wendeten russische Angreifer diese Methode an, als sie die Malware NotPetya in ein Update für eine beliebte ukrainische Buchhaltungssoftware einbauten. Die Reichweite des Angriffs erstreckte sich weit über die Ukraine hinaus. Das Weiße Haus schätzt den weltweiten Schaden des Angriffs auf 10 Milliarden Dollar.

  • Open-Source-Codepakete. Unternehmen verwenden häufig Open-Source-Code (oder öffentlich zugänglichen Code), um die Effizienz bei der Softwareentwicklung zu maximieren. Wenn jedoch Schwachstellen in diesem Code gefunden werden, sind Unternehmen, die ihn verwenden, gefährdet. Angreifer können nicht nur bekannte Sicherheitslücken ausnutzen, sondern auch bösartigen Code in diese Pakete einschleusen, um so eine weitere Möglichkeit zur Verbreitung von Malware zu schaffen.

Beachten Sie auch, dass softwarebasierte Angriffe zwar am weitesten verbreitet sind und sich 66 % der Angriffe auf den Code von Lieferanten konzentrieren, aber Angriffe auf die Supply Chain können verschiedene Formen annehmen. So können beispielsweise Mikrochips, Laptops, Geräte des Internets der Dinge (IoT) und Betriebstechnologie (OT) kompromittiert werden. Firmware, oder die in eine Hardware eingebettete Software, kann ebenfalls angegriffen werden.

Angriffe auf die Software-
Supply-Chain werfen ein Schlaglicht auf die Anfälligkeit von Software-Ökosystemen

Der SolarWinds-Angriff ist wohl das bekannteste Beispiel für einen Angriff auf die Software-Supply-Chain. Im Dezember 2020 meldete der Cybersicherheitsanbieter FireEye, dass er Opfer eines Angriffs geworden war. Die russische Cyberkriminellengruppe Nobelium hatte es auf den IT-Überwachungsanbieter von FireEye, SolarWinds, abgesehen und bösartigen Code in eines seiner Software-Update-Pakete eingefügt. Insgesamt haben 18.000 Unternehmen das infizierte Update heruntergeladen.

SolarWinds zeigt, dass ein Angriff auf einen vertrauenswürdigen, wohlgesinnten Anbieter zu einem Angriff auf die Organisation führen kann, die ihn nutzt.

Viele Unternehmen verlangen von ihren Lieferanten die Einhaltung von Sicherheitsstandards wie SOC 2-Compliance oder Penetrationstests. Dennoch kann kein Unternehmen garantieren, dass es vor Angriffen sicher ist.

Nehmen Sie zum Beispiel die von Apache im Dezember 2021 bekannt gegebene schwerwiegende Sicherheitslücke in seiner Open-Source-Protokollierungsbibliothek Log4j. Log4j ist so weit verbreitet, dass Jen Easterly, der Direktor der Cybersecurity and Infrastructure Security Agency (CISA), sagt: „Jeder sollte davon ausgehen, dass er gefährdet und angreifbar ist.“ Angreifer verschwendeten keine Zeit, um die Sicherheitslücke auszunutzen und tun dies auch weiterhin.

Während groß angelegte Angriffe oder prominente Opfer oft in den Nachrichten erscheinen, werden Angriffe im Stil der Software-Supply-Chain nicht ausschließlich gegen große Unternehmen eingesetzt. Angreifer können diese Methode auch für kleinere Kampagnen verwenden, die nicht unbedingt Schlagzeilen machen. Zum Beispiel solche, die auf Entwicklungsumgebungen abzielen. Das bedeutet, dass diese Art von Angriffen möglicherweise sogar häufiger vorkommt, als die Forschung vermuten lässt.

Absicherung der Software-Supply-Chain

Wenn also kein Lieferant angriffssicher ist, wie können Unternehmen dann auf Angriffe auf die Supply Chain reagieren? Ein guter Anfang ist es, das übermäßige Vertrauen, das Unternehmen Dritten entgegenbringen, zu verringern. Die Implementierung einer Zero Trust-Architektur kann in diesem Bereich einen großen Unterschied machen.

Im Gegensatz zu perimeterbasierten Modellen, die Benutzern und Geräten innerhalb eines Netzwerks Vertrauen gewähren, geht Zero Trust davon aus, dass Angreifer innerhalb eines Netzwerks existieren. Die Zero Trust-Architektur bewertet Benutzer, Geräte und Workloads auf der Grundlage von Identität und Kontext und trifft Zugriffsentscheidungen dynamisch. Genauer gesagt schützt die Zero Trust-Architektur das Unternehmensnetzwerk vor Angriffen auf die Software-Supply-Chain, indem sie:

  • Zugriff durch Dritte verwaltet. Mit den Tools für die Zero Trust-Zugriffsverwaltung können Sie die Zugriffsebenen nach Benutzern, Geräten oder Workloads anpassen. Unternehmen können strenge Standards für die Verbindung von Drittnutzern festlegen und den Zugriff mit den geringsten Privilegien durchsetzen.

  • Laterale Bewegung verhindert. Wenn Angreifer in ein Netzwerk eindringen, schränkt die Zero Trust-Architektur ihre Möglichkeiten ein, sich im Netzwerk zu bewegen und weiteren Schaden anzurichten. Zero Trust fördert zum Beispiel die Mikrosegmentierung, was bedeutet, dass sich Angreifer neu authentifizieren müssen, um verschiedene Zonen innerhalb eines Netzwerks zu erreichen.

  • Anwendungen schützt. Zero Trust kann interne Anwendungen effektiv vor dem Internet verbergen und sie so vor Angreifern schützen. Auf diese Weise können Angreifer selbst dann nicht darauf zugreifen, wenn eine interne Anwendung eine Sicherheitslücke enthält.

  • Vor Malware schützt. DNS-Filterung kann Command-and-Control-Angriffe blockieren, die sich in Software-Updates verstecken können. Bei diesen Angriffen signalisiert die Malware auf einem Gerät einem Server, dass es bereit ist, die Anweisungen des Angreifers zu empfangen. Die DNS-Filterung kann die für den Aufbau dieser Verbindung erforderliche DNS-Anfrage blockieren.

Mit Cloudflare zu Zero-Trust wechseln

Schützen Sie Ihr Unternehmen vor Angriffen auf die Software-Supply-Chain. Erweitern Sie die Zero Trust-Regeln mit Zero Trust-Netzwerkzugang (ZTNA) auf SaaS- und selbst gehostete Anwendungen und setzen Sie den Zugriff mit geringsten Privilegien für Benutzer, Mitarbeiter und IoT-Geräte von Dritten durch. Cloudflare Gateway blockiert den Zugang zu verdächtigen Websites, verhindert die Datenexfiltration und schützt Benutzer vor Command-and-Control-Angriffen.

Cloudflare Zero Trust ist Teil von Cloudflare One, einer Secure Access Service Edge (SASE)-Architektur, die Remote-Benutzer, Zweigstellen und Rechenzentren sicher mit den von ihnen benötigten Anwendungen und Internetressourcen verbindet.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Warum Angriffe auf die Software-Supply-Chain zunehmend Anlass zur Sorge geben

  • Die Auswirkungen, die einige der großen Angriffe gehabt haben

  • Die verschiedenen Einstiegspunkte, die Angreifer ausnutzen können, um diese Angriffe zu starten

  • Wege zum Schutz der Software-Supply-Chain

Vertiefung des Themas


Vertiefung des Themas

Erfahren Sie mehr darüber, wie Cloudflare Zero Trust dabei hilft, Benutzer und Geräte sicher mit den benötigten Ressourcen zu verbinden, indem Sie eine selbstgeführte Tour durch das Produkt machen.

Start my self-guided tour!

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!