Drei Schritte zur Sicherung der Softwarelieferketten

Computercode ist die Grundlage für jede Technologie, von Smartphones bis hin zu Robotern und den Netzwerken, die sie verbinden. In der digitalen Welt von heute ist Code daher auch Teil der Grundlage für viele – wenn nicht die meisten – Unternehmen und Dienste.

Hacker erkennen diese Tatsache und nutzen sie. Ein aktuelles, bekanntes Beispiel ist der Angriff auf FireEye, bei dem mehrere trojanisierte Updates der SolarWinds-Software verwendet wurden. Durch gezielte Angriffe auf Softwareanbieter konnten die Hacker Hintertüren in Unternehmen installieren, die es ihnen wiederum ermöglichten, ihre beabsichtigten Ziele zu erreichen:die Regierungsbehörden, die Dienstleistungen von diesen Unternehmen erhielten.

Diese Angriffsmethode nutzt auch Vertrauen. Unternehmen, Regierungen und andere Kunden gehen davon aus, dass ein Software- oder Firmware-Update, das vom Hersteller stammt, sicher installiert werden kann. Einige werden vertrauen, aber überprüfen; Sie überprüfen die Website des Anbieters auf den Hash-Wert des Updates und vergleichen ihn dann mit dem Download. Wenn sie übereinstimmen, gehen sie davon aus, dass es frei von Schwachstellen ist.

Dieses Vertrauen schafft Möglichkeiten für böswillige Akteure, die den Quellcode während des Entwicklungsprozesses manipulieren können. Infolgedessen laden Benutzer unwissentlich einen Exploit herunter, der oft wochen- oder monatelang still sitzt, während er sich im gesamten Unternehmen verbreitet, um schließlich eine Liste von Partnern, Lieferanten oder Kunden anzugreifen. Wie können sich Organisationen schützen?

Halten Sie schlechte Schauspieler fern. Ein Supply Chain Risk Management (SCRM)-Programm ist entscheidend für die Abwehr von Bedrohungen und Schwachstellen, die mit der Einführung und Integration von Produkten und Dienstleistungen von Drittanbietern verbunden sind. Es deckt Menschen, Prozesse und Technologie ab und umfasst mehrere Abteilungen, darunter Sicherheit, IT, Human Resources (HR), Beschaffung und Recht. Besonders wichtig ist es, das SCRM-Programm eines Unternehmens auf den Software Development Lifecycle (SDLC) auszudehnen. Dabei schafft das SCRM-Programm eine Sicherheitskultur, in der jeder Teilnehmer ist und auf das gleiche Ziel ausgerichtet ist.

Innerhalb des SDLC konzentriert sich ein SCRM-Programm auf die Personen, die den Code und zugehörige Ressourcen wie Toolsets anfassen müssen. Verständlicherweise sollten diese Mitarbeiter während des Einstellungsprozesses gründlich überprüft werden, einschließlich Hintergrundüberprüfungen, um mögliche Verbindungen zu kriminellen Aktivitäten und/oder Nationalstaaten zu identifizieren.

Unternehmen, die Personaldienstleister in Anspruch nehmen, müssen sicherstellen, dass das Unternehmen ihre einzigartigen und spezifischen Anforderungen versteht. Unternehmen sollten beispielsweise wissen, wer ihre Personalfirmen sind und ob sie in Ländern präsent sind, in denen staatlich geförderte Cyberkriminalität in der Vergangenheit aufgetreten ist. Wenn Unternehmen mit proprietären und vertraulichen Informationen umgehen, möchten sie nicht, dass die Außenstellen von Personalfirmen ihnen Lebensläufe und Kandidaten füttern, die potenzielle Insider-Bedrohungsfabriken sind. Nationalstaatliche Angreifer konzentrieren sich zunehmend darauf, ihre Leute in Zielorganisationen zu bringen. Sie verfügen über die finanziellen Mittel, um Menschen auszubilden, die begehrte Programmierkenntnisse und andere begehrte Qualifikationen aufweisen, die ihre Lebensläufe an die Spitze heben. Dies sollten Personalteams und Einstellungsmanager wissen.

Es ist möglich, dass einige schlechte Schauspieler selbst die sorgfältigsten Überprüfungs- und Einstellungsverfahren durchlaufen. Aus diesem Grund ist es wichtig, die Aktivitäten der Mitarbeiter durch ein gut definiertes Insider-Bedrohungsprogramm zu überwachen, um ungewöhnliche und verdächtige Verhaltensweisen wie die unbefugte Eskalation von Berechtigungen und den Zugriff auf Systeme, Programme und Anwendungen zu erkennen.

Ein SCRM-Programm sollte auch die Personen identifizieren, die den Code und zugehörige Ressourcen wie Toolsets anfassen müssen, und dann Sicherheitsvorkehrungen treffen, um all dies von allen anderen fernzuhalten. Sobald der Code lizenziert ist, sollte er die einzige Quelle für die autorisierten Entwickler sein, was bedeutet, dass sie keinen zusätzlichen Code aus externen Quellen einbringen können. Nachdem der Code bereits bewertet und kontrolliert wurde, möchten Unternehmen im Wesentlichen nicht, dass Entwickler Code aus neuen Quellen beziehen, die noch nicht auf Sicherheitsrisiken geprüft wurden. Diese bewährte Methode mindert Schwachstellen wie Hintertüren, die in nicht autorisiertem Code verborgen sind, der unwissentlich von autorisierten Entwicklern verwendet wird, oder undokumentierte Portale, die von nicht autorisierten Benutzern versteckt werden.

Prüfen und kontrollieren. Eine streng kontrollierende Technologie bietet eine weitere Schutzebene. Auch wenn Mitarbeiter innerhalb des Unternehmens wechseln, sollten Sie beispielsweise in Erwägung ziehen, ihnen einen neuen Laptop mit einem speziell für ihre neue Rolle und Abteilung erstellten Image zur Verfügung zu stellen. Deaktivieren Sie außerdem alle zuvor erworbenen Zugriffe, die nicht mehr benötigt werden. Dadurch wird sichergestellt, dass Daten und Zugriff privilegiert bleiben.

Die IT-Abteilung sollte auch brandneue Computer neu erstellen, bevor sie an Entwickler ausgegeben werden. Unter Verwendung des Bestands kann ein vom Anbieter bereitgestelltes Image Hintertüren schaffen, wenn das Betriebssystem und vorinstallierte Bloatware Code kompromittiert haben. Erstellen Sie stattdessen ein benutzerdefiniertes, gehärtetes Image für diese Geräte.

Alle neuen Arten von Hard- und Software sollten zunächst für eine gewisse Zeit in einer Sandbox ausgeführt werden. Dies gibt der IT-Abteilung Zeit, ihr Verhalten zu überprüfen, z. B. unaufgeforderte Anrufe ins Internet zu tätigen, um zu versuchen, Daten abzurufen. Es erstellt auch eine Baseline, um plötzliche Verhaltensänderungen Monate oder Jahre später zu erkennen, die darauf hinweisen könnten, dass sie kompromittiert wurden.

Schaffen Sie eine Sicherheitskultur. Dies ist eine Menge zu beachten, was zeigt, warum SCRM eine organisationsübergreifende Anstrengung sein muss. Beispielsweise sollte die Rechtsabteilung sicherstellen, dass Lieferanten- und Partnerverträge Sprache in Bezug auf Audits enthalten, um sicherzustellen, dass alle Anforderungen eingehalten werden. In der Zwischenzeit kann die Personalabteilung dabei helfen, Regeln für das Screening von Kandidaten zu entwickeln und durchzusetzen.

C-Level Buy-in und Führung sind der Schlüssel zum Erreichen dieser Art von Teamleistung und um sicherzustellen, dass die Ressourcen für die Implementierung eines SCRM-Programms verfügbar sind. Dies führt zu einer Sicherheitskultur, die die gesamte Organisation umfasst und Sicherheit von einem nachträglichen Gedanken zu einem grundlegenden Bestandteil des Entwicklungsprozesses macht.

Michael Iwanoff ist Chief Information Security Officer bei iconectiv.