Was ist ein Supply Chain-Angriff?

Bei einem Supply Chain-Angriff nutzen Angreifer Abhängigkeiten von Drittanbietern aus, um in das System oder Netzwerk eines Ziels einzudringen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Supply Chain-Angriff definieren
  • Erklären, wie ein Supply Chain-Angriff durchgeführt wird
  • Erfahren, wie Sie Supply Chain-Angriffe anhalten können

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Supply Chain-Angriff?

Bei einem Supply Chain-Angriff dringen Angreifer mithilfe von Tools oder Diensten von Drittanbietern – zusammenfassend die „Supply Chain“ (Lieferkette) – in das System oder Netzwerk eines Ziels ein. Diese Angriffe werden manchmal als „Value-Chain-Angriffe“ (Angriffe auf die Wertschöpfungskette) oder Third-Party-Angriffe" (Drittanbieter-Angriffe) bezeichnet.

Supply Chain-Angriffe sind von Natur aus indirekt: Sie zielen auf die Drittanbieterabhängigkeiten ab, auf die sich ihre eigentlichen Ziele (oft unwissentlich) verlassen. Eine Abhängigkeit ist ein Programm oder ein Stück Code (oft in JavaScript) eines Drittanbieters, das die Anwendungsfunktionalität verbessert. Eine Abhängigkeit, die von einem E-Commerce-Händler verwendet wird, kann zum Beispiel dabei helfen, Chatbots für die Kundenbetreuung zu betreiben oder Informationen über die Aktivitäten der Web-Besucher zu erfassen. Hunderte, wenn nicht gar Tausende dieser Abhängigkeiten finden sich in einer Vielzahl von Software, Anwendungen und Diensten, die Unternehmen zur Wartung ihrer Anwendungen und Netzwerke verwenden.

Bei einem Supply Chain-Angriff könnte ein Angreifer es auf einen Anbieter von Cybersicherheitslösungen abgesehen haben und böswilligen Schadcode (oder „Malware“) zu dessen Software hinzufügen, der dann als System-Update an die Kunden dieses Anbieters geschickt wird. Die Kunden glauben das Update stamme von einer vertrauenswürdigen Quelle und laden es herunter. Dann verschafft die Malware den Angreifern Zugang zu den Systemen und Informationen dieser Kunden. (Ungefähr so wurde der SolarWinds-Angriff auf 18.000 Kunden im Jahr 2020 durchgeführt).

Wie wird ein Supply Chain-Angriff durchgeführt?

Bevor ein Supply Chain-Angriff durchgeführt werden kann, müssen sich Angreifer Zugang zu dem System, der Anwendung oder dem Tool eines Drittanbieters verschaffen, das sie ausnutzen wollen (auch als „Upstream“-Angriff bekannt). Dies geschieht beispielsweise mit gestohlenen Zugangsdaten, über Anbieter mit temporärem Zugriff auf das System eines Unternehmens oder durch Ausnutzung einer unbekannten Sicherheitslücke in der Software.

Sobald der Zugang zu dieser Abhängigkeit von Drittanbietern gesichert ist, kann der „Downstream“-Angriffnbrowser– der Angriff, der das eigentliche Ziel erreicht, oft über dessen Browser oder Gerät – auf verschiedene Weise durchgeführt werden.

Um zum vorherigen Beispiel zurückzukehren: In einem „Upstream“-Angriff fügt der Angreifer böswilligen Schadcode in die Software eines Cybersicherheitsanbieters ein. Der „Downstream“-Angriff erfolgt dann, wenn diese Malware über ein routinemäßiges Software-Update auf Endnutzergeräten ausgeführt wird.

Was sind gängige Arten von Supply Chain-Angriffen?

Supply Chain-Angriffe können auf Hardware, Software, Anwendungen oder Geräte abzielen, die von Drittanbietern verwaltet werden. Hier sind einige gängige Angriffsarten aufgeführt:

Browserbasierte Angriffe führen böswilligen Schadcode in den Browsern von Nutzern aus.Angreifer greifen möglicherweise JavaScript-Bibliotheken oder Browser-Erweiterungen an, die automatisch Code auf den Geräten der Nutzer ausführen.Alternativ können sie auch sensible Informationen des Nutzers stehlen, die im Browser gespeichert sind (über Cookies, Sitzungsspeicher usw.).

Software-Angriffe tarnen Malware in Software-Updates.Wie bei dem SolarWinds-Angriff laden die Systeme der Nutzer diese Updates möglicherweise automatisch herunter und ermöglichen es den Angreifern so, ihre Geräte zu infizieren und weitere Aktionen durchzuführen.

Open-Source-Angriffe nutzen Sicherheitslücken in Open-Source-Code aus.Open-Source-Codepakete können Unternehmen helfen Entwicklungen und Anwendungen schneller zu bauen, aber sie können es Angreifern auch ermöglichen, bekannte Sicherheitslücken zu manipulieren oder Malware einzuschleusen, die dann verwendet wird, um das System oder Gerät des Nutzers zu infiltrieren.

JavaScript-Angriffe nutzen bestehende Sicherheitslücken im JavaScript-Code aus oder betten böswillige Skripte in Webseiten ein. Diese werden automatisch ausgeführt, wenn sie von einem Nutzer geladen werden.

Magecart-Angriffe verwenden böswilligen JavaScript-Code, um Kreditkarteninformationen aus den Kassenformularen von Websites abzugreifen. Diese werden häufig von Drittanbietern verwaltet.Man nennt dies auch „Formjacking“.

Bei Watering Hole-Angriffen identifizieren Angreifer Websites, die von einer großen Zahl von Nutzern verwendet werden (z. B. ein Website-Builder oder eine Regierungswebsite).Mit verschiedenen Taktiken finden Angreifer Sicherheitslücken auf der Website und liefern anhnungslosen Nutzern über diese Sicherheitslücken Malware.

Cryptojacking ermöglicht es Angreifern, Rechenressourcen zu stehlen, die für das Mining von Kryptowährungen benötigt werden. Sie können dies auf verschiedene Weise tun: indem sie böswilligen Schadcode oder Werbung in eine Website einschleusen, Cryptomining-Skripte in Open-Source-Code-Repositories einbetten oder Phishing-Taktiken anwenden, um mit Malware infizierte Links an ahnungslose Nutzer zu liefern.

Wie man sich gegen Supply Chain-Angriffe schützt

Jeder Angriff, der Software, Hardware oder Anwendungen von Drittanbietern ausnutzt oder manipuliert, gilt als Supply Chain-Angriff. Unternehmen arbeiten in der Regel mit einer Vielzahl von Drittanbietern zusammen, jeder von ihnen verwendet möglicherweise Dutzende von Abhängigkeiten in seinen Tools und Diensten.

Aus diesem Grund kann es für Unternehmen schwierig, wenn nicht gar unmöglich sein, sich vollständig gegen Supply Chain-Angriffe abzuschirmen. Mit einigen Strategien können Sie sich jedoch präventiv gegen gängige Angriffsmethoden schützen:

  • Führen Sie eine Risikobewertung für Drittanbieter durch: Sie können die Software von Drittanbietern vor der Bereitstellung testen, von den Anbietern die Einhaltung bestimmter Sicherheitsrichtlinien verlangen, Content Security Policies (CSP) implementieren, um zu kontrollieren, welche Ressourcen ein Browser ausführen kann, oder Subresource Integrity (SRI) verwenden, um JavaScript auf verdächtige Inhalte zu überprüfen.
  • Implementieren Sie Zero Trust: Zero Trust stellt sicher, dass jeder Nutzer – von Mitarbeitern bis hin zu Auftragnehmern und Lieferanten – innerhalb des Netzwerks eines Unternehmens einer kontinuierlichen Überprüfung und Überwachung unterzogen wird. Die Verifizierung von Nutzer- und Geräteidentität sowie ihrer Berechtigungen trägt dazu bei, dass Angreifer ein Unternehmen nicht einfach durch Diebstahl legitimer Anmeldedaten infiltrieren können (oder sich lateral im Netzwerk bewegen, wenn sie bestehende Sicherheitsmaßnahmen durchbrechen).
  • Verwenden Sie die Malware-Prävention: Tools zur Prävention von Malware, wie z. B. Antivirus-Software, scannen Geräte automatisch auf böswilligen Schadcode, um dessen Ausführung zu verhindern.
  • Setzen Sie die Browserisolierung ein: Browserisolierungstools isolieren (oder sandboxen) den Code von Webseiten, bevor er auf den Geräten der Nutzer ausgeführt wird. So wird jegliche Malware erkannt und bekämpft, bevor sie ihr eigentliches Ziel erreicht.
  • Erkennen Sie Schatten-IT: „Schatten-IT“ bezieht sich auf Anwendungen und Dienste, die Mitarbeiter ohne die Zustimmung der IT-Abteilung ihres Unternehmens nutzen. Mögliche Sicherheitslücken in diesen nicht genehmigten Tools kann die IT-Abteilung nicht beheben, da sie nichts von deren Verwendung weiß. Der Einsatz eines Cloud Access Security Brokers (CASB) mit Funktionen zur Erkennung von Schatten-IT kann Unternehmen dabei helfen, die von ihren Mitarbeitern verwendeten Tools besser zu katalogisieren und auf Sicherheitslücken zu analysieren.
  • Ermöglichen Sie das Patchen und Erkennen von Sicherheitslücken: Unternehmen, die Tools von Drittanbietern verwenden, sind dafür verantwortlich, dass diese Tools keine Sicherheitslücken aufweisen. Auch wenn es nicht möglich ist, jede Sicherheitslücke zu identifizieren und zu patchen, sollten Unternehmen dennoch ihre Sorgfaltspflicht erfüllen, um bekannte Sicherheitslücken in Software, Anwendungen und anderen Ressourcen von Drittanbietern zu finden und offenzulegen.
  • Verhindern Sie Zero-Day-Exploits*: Supply Chain-Angriffe nutzen häufig Zero-Day-Exploits, die noch nicht gepatcht wurden. Es gibt zwar keine unfehlbare Methode, um Zero-Day-Bedrohungen vorherzusehen, aber Browserisolierungstools und Firewalls können helfen, böswilligen Schadcode zu isolieren und zu blockieren, bevor er ausgeführt wird.

*Das Anhalten von Zero-Day-Exploits ist für die meisten Unternehmen immer noch eine besondere Herausforderung. Im Jahr 2021 wurde eine Zero-Day-Sicherheitslücke in Log4j entdeckt, einer Open-Source-Softwarebibliothek, die Entwicklern hilft, Daten innerhalb von Java-Anwendungen zu protokollieren. Dadurch konnten Angreifer Hunderte von Millionen von Geräten infizieren und kontrollieren. Von dort aus führten sie dann weitere Angriffe durch, darunter Ransomware-Angriffe und illegales Cryptomining. Lesen Sie mehr darüber, wie Cloudflare gegen die Log4j-Sicherheitslücke schützt.

Wie hält Cloudflare Supply Chain-Angriffe an?

Cloudflare Zero Trust hilft, Supply Chain-Angriffe zu vereiteln, indem es den Zugang zu potenziell riskanten Websites blockiert, böswillige Up- und Downloads verhindert und die SaaS-Anwendungen (sowohl genehmigte als auch nicht genehmigte) innerhalb Ihres Unternehmens überprüft.

Cloudflare Zaraz ist ein Toolmanager für Drittanbieter, der Anwendungen in die Cloud lädt, sodass böswilliger Schadcode nicht im Browser des Nutzers ausgeführt werden kann. Zaraz gibt Nutzern Einblick in und Kontrolle über die Skripte von Drittanbietern, die auf ihren Websites laufen, und ermöglicht es ihnen, riskantes Verhalten zu isolieren und zu blockieren.