De afgelopen periode zijn er diverse berichten in de media geweest over hacks waarbij grote, maar vooral ook véél bedrijven zijn getroffen. Deze omvangrijke situaties worden veroorzaakt door een handvol onderliggende oorzaken. In sommige gevallen lag deze oorzaak in een ‘gat’ in bepaalde veelgebruikte software, zoals Microsoft Exchange afgelopen februari. Dit ‘gat’ werd nadat deze bekend werd in een razende vaart misbruikt door criminelen om hun zaken te doen. In andere gevallen is de oorzaak nog iets kwaadaardiger: de zogenaamde ‘Supply Chain Attack’. Wat is dat precies? Wat is de potentiële impact voor jouw organisatie? En hoe bereid je je het beste voor?
Een keten van leveranciers
Iedere organisatie is in bepaalde mate afhankelijk van leveranciers. Deze leveranciers kunnen van alles leveren, van grondstoffen tot informatie. Voor informatiebeveiliging zijn vanzelfsprekend de leveranciers rondom IT het meest interessant. Denk bijvoorbeeld aan de ICT ondersteuner (systeembeheerder), maar ook aan de leverancier van een belangrijke applicatie. Op hun beurt maken ook deze leveranciers weer gebruik van leveranciers. Zo gebruikt een ICT ondersteuner applicaties voor monitoring of het op een veilige manier overnemen van apparatuur bij de klant om de ondersteuning te kunnen bieden.
Als we deze keten volgen, ontstaat er een lange lijst van partijen die afhankelijk zijn van elkaar. Kort gezegd is je organisatie afhankelijk van de betrouwbaarheid van een applicatie die wordt geleverd door de leverancier van je leverancier van je leverancier. De veiligheid van deze keten is belangrijk.
Niet met hagel, maar gericht schieten
Bij ‘normale’ hacks wordt er vaak geschoten met hagel. Criminelen scannen het internet, verzamelen of kopen relevante informatie en zetten deze kennis vaak in door grote hoeveelheden berichten te sturen. Deze berichten komen hopelijk meestal in de spambox terecht. Een enkele keer gebeurt dat niet of is een bericht dusdanig slim ingestoken dat mensen op de link klikken in de email of de bijlage openen. Dat is dan het startpunt voor de malafide software om in actie te komen en zijn kwaadaardige ding te doen.
Bij een ‘supply chain attack’ wordt er veel gerichter gehandeld door de criminelen. Ze zoeken een fout, een ingang, ergens in een bedrijf en/of applicatie die interessant is. Het liefst een bedrijf en/of applicatie die hoog in de keten staat. Als de procedures bij dit bedrijf niet geheel in orde zijn, kunnen de criminelen daar onopgemerkt een aanpassing doen. De voorkeur is vaak om de code aan te passen die zal worden uitgerold als legitieme update van de applicatie. Deze updates worden namelijk in het algemeen als ‘veilig’ aangemerkt, want ze komen immers van een betrouwbaar geachte leverancier. Antivirus applicaties slaan er vaak niet op aan en in de meeste gevallen worden dit soort updates zonder enige twijfel door beheerders of zelfs geautomatiseerd doorgevoerd.
Het gevolg is dat álle klanten van deze leverancier vrijwel direct ten prooi liggen aan de criminelen. Deze kiezen er vervolgens vaak voor ransomware te installeren en om de welbekende bitcoins te vragen, maar vermoedelijk is dat de kortste route en kunnen ze ook op andere manieren schade aanrichten.
De keuze van het slachtoffer
Criminelen zijn heel secuur in de bedrijven die ze op deze manier aanvallen. Zo is er deze maand een situatie bij een leverancier van remote software (overigens ontkent deze leverancier dat het gaat om een Supply Chain Attack via hun applicatie, maar voor dit voorbeeld negeren we die opmerking). Dat zijn kleine programma’s die ICT ondersteuners gebruiken om servers en computers te bedienen bij hun klanten. Het is natuurlijk erg slim om juist deze partij aan te vallen, omdat in de keten allerlei ICT bedrijven zitten die vervolgens ook weer hun klanten hebben waar deze software is geïnstalleerd. Gemeen zijn ze wel die criminelen, dom zeker niet.
Wat kun je doen?
Maar wat kun je hier tegen doen als je onderin de keten zit? Aan de oorzaak kun je eigenlijk zeer weinig doen. Dat is misschien geen leuke boodschap, maar wel een gegeven feit. Toch zijn er een tips:
· Opletten hoe bepaalde programma’s staan geconfigureerd kan helpen;
· Laat ook geen oude applicaties op systemen staan. In de hierboven omschreven situatie zou het ook kunnen helpen om goed na te denken over een updatebeleid. Door ervoor te kiezen niet ‘haantje de voorste’ te zijn met updates, zijn dit soort risico’s deels te vermijden. Helaas komt daarbij het nadeel dat updates vaak juist zijn bedoeld om ‘gaten’ te dichten, dus een goede balans is belangrijk.
Daarnaast moet je je realiseren dat Supply Chain Attack vaak slechts de methode is om binnen te komen. Dit is eigenlijk gelijkwaardig aan de ‘ouderwetse’ besmette email, maar dan geavanceerder. Omdat de criminelen naar het lijkt daarna vaak hetzelfde middel inzetten, ransomware, blijven de basisregels van informatiebeveiliging van kracht. De inkoppertjes zijn:
· Een goede back-up;
· Het correct inrichten en beheren van rechten;
· Het scheiden van systemen en netwerken, etc.;
· Ook kan een goede leveranciersbeoordeling helpen.
Tot slot
Supply Chain Attacks zijn de nieuwe kruiwagen waarmee criminelen systemen binnen kunnen komen. Het valt ook te verwachten dat het aantal van dit soort aanvallen zal toenemen in de nabije toekomst. Echter gebruiken ze na deze kruiwagen vaak nog dezelfde truc. Hoe vervelend deze truc ook is, we weten inmiddels hoe we ons daar op kunnen voorbereiden.
Wij helpen graag om deze zaken goed in te richten, vanuit Global-e ICT solutions en vanuit Global-e IS&P. Neem gerust contact met ons op, dan brengen we de risico’s in kaart en bepalen we hoe deze het beste kunnen worden aangepakt.
