Was uns der SolarWinds-Hack über IoT und Lieferkettensicherheit sagt

Unabhängig von der Branche scheinen Cybersicherheitsverletzungen in Größe und Ausmaß zu eskalieren.

Die weitreichende Hacker-Kampagne, die Russland vor drei Monaten gestartet hat – von der bis zu 18.000 Kunden des texanischen Softwareherstellers SolarWinds Corp. betroffen waren – ist ein ungeheuerliches Beispiel für die weitreichende Reichweite eines möglichen Angriffs auf die Lieferkette.

Der Begriff „Supply-Chain-Risiko“ ist ein großer Überbegriff, der viele Sicherheitsbedrohungen und Schwachstellen abdeckt. Im Fall SolarWinds trojanisierten die Angreifer, die vermutlich im Auftrag einer ausländischen Regierung arbeiteten, die Software-Updates des beliebten Tools SolarWinds Orion. Der Angriff hinterließ Hunderten von Unternehmen und neun Bundesbehörden potenzielle Hintertür-Zugangspunkte. Und das ist nur das, was wir wissen – wir werden die Auswirkungen dieses Verstoßes wahrscheinlich noch in den kommenden Jahren aufdecken.

Andere Lieferkettenrisiken können sich als Sicherheitslücken in elektronischen Geräten manifestieren. Hersteller von Smartphones, Druckern, Routern, Internet-of-Things-Geräten und kritischen Infrastruktursystemen kaufen Komponenten von Drittanbietern. Diese Komponenten werden mit eingebetteter Firmware geliefert, die möglicherweise vorhandene Sicherheitslücken aufweist. Darüber hinaus wurde ein Teil dieser Firmware nicht vom Hersteller geschrieben, sondern stammt aus Open-Source-Code, der von Freiwilligen in der IT gepflegt wird. Gemeinschaft.

Hier ist, was die breitere Lieferkettenbranche über Cyberangriffe wissen muss.

Verhüllte Software

Es gibt eine wachsende Bewegung von Käufern, die umfassende Listen der Software in einem Gerät verlangen – aber im Moment ist es selten, dass Hersteller diese bereitstellen. Diese Liste, die als Software-Stückliste (SBOM) bekannt ist, ist der Schlüssel zur Sicherheit der Lieferkette, aber es ist wichtig zu beachten, dass sie kein Allheilmittel ist. Beispielsweise hätte ein SBOM die SolarWinds-Hintertür nicht erwischt. Ein Mitglied des Sicherheitsteams musste die endgültigen Softwaredateien selbst analysieren, bevor sie für Kunden freigegeben wurde.

Ein Rücksitz

Softwareentwickler und Gerätehersteller sind auf schnelle Entwicklungsprozesse umgestiegen. Auf der Softwareseite führt dieses agile Entwicklungsframework zahlreiche und schnelle Updates durch, manchmal um neue Funktionen hinzuzufügen, gelegentlich um Sicherheitslücken zu beheben. Auf der Geräteseite gibt es einen ähnlichen Schub – und dies gilt insbesondere für IoT-Geräte, die als Massenprodukte in großen Mengen verkauft werden.

In beiden Fällen rückt die Sicherheit oft in den Hintergrund. Es liegt an der Führung eines Unternehmens, das Risiko zu erkennen, der Sicherheit keine Priorität einzuräumen, und es liegt an den Entwicklungsteams, diese Risiken proaktiv zu mindern, bevor sie ausgenutzt werden können. Die Realität ist, dass Angreifer der Branche weit voraus sind. Das hat Organisationen in eine reaktive Haltung versetzt und zahlreiche Vorschriften und Standards hervorgebracht. Für Unternehmen, Hersteller und Einkäufer ist es wichtiger denn je, proaktiv vorzugehen.

Potenzial für den Zugriff

Globale Lieferketten sind aufgrund ihrer weitgehend vernetzten und oft schlecht abgesicherten Systeme zu besonders attraktiven Zielen geworden. Es ist gängige Praxis, Software auf mehr als einem Gerät zu duplizieren – das heißt, wenn ein Hacker eine Schwachstelle in einer Türklingelkamera findet, kann es auch möglich sein, eine Türklingel einer anderen Marke, einen Smart-TV, einen angeschlossenen Kühlschrank oder einen Heimthermostat auszunutzen.

Für Hacker ist eine Schwachstelle, die ein einzelnes Gerät betrifft, unbedeutend, da es schwierig ist, diese Art von Hacks zu monetarisieren, aber weit verbreitete Schwachstellen in der Lieferkette können viel wertvoller sein. Für Führungskräfte in der Lieferkette ist es wichtig, an alle Geräte in Ihrem Unternehmen zu denken, die Pivots zu anderen Systemen ermöglichen könnten.

Die Verletzung von SolarWinds war ein Weckruf für viele innerhalb und außerhalb der Cybersicherheits-Community. Für andere war es eine Bestätigung dessen, was wir bereits wussten und wofür wir so hart gearbeitet haben, um es zu verhindern.

Die wichtigste Erkenntnis aus diesem Angriff ist, dass wir das Vertrauen, das wir in Anbieter, Software und Geräte setzen, neu bewerten müssen. Unabhängig davon, wo Sie sich in der Lieferkette befinden, vom Unternehmens-Software-Anwender über den OEM bis hin zum Software-Lieferanten, setzen Sie wahrscheinlich unglaublich viel Vertrauen in Ihre Anbieter und deren Produkte. Wir müssen überdenken, wie wir diese Vertrauensbeziehungen bewerten, und vor allem müssen wir verstehen, wie wir die Sicherheit dieser Software, Firmware und Hardware während des gesamten Lebenszyklus überprüfen können.

Matt Wyckhouse ist Gründer und CEO von Finite State.