Risiko in der Lieferkette

2022 Gartner-Sicherheitstrend Nr. 2: Risiko der digitalen Lieferkette

Druckfreundlich, PDF & E-Mail

Dies ist der zweite unserer fortlaufenden Reihe von Blogbeiträgen, in denen die sieben wichtigsten Trends erörtert werden, die im vergangenen März im Bericht von Gartner für seine Kunden ermittelt und unter dem Titel „Top Trends in Cybersecurity 2022“ veröffentlicht wurden. Sie können den vorherigen Beitrag hier lesen.

Im Dezember 2021 gab es weit verbreitete Berichte über eine Schwachstelle in Log 4J, einem häufig eingesetzten Java-basierten Dienstprogramm zur Ereignisprotokollierung. Dies war das erste Mal, dass die breite Öffentlichkeit auf das Risiko digitaler Lieferketten aufmerksam wurde. Die Kompromittierung des SolarWinds-Produkts Orion war ein weiterer Angriff auf die Lieferkette, von dem zahlreiche Organisationen des öffentlichen und privaten Sektors betroffen waren.

Aus Sicht der Angreifer sind Angriffe auf die Lieferkette brillant, effizient und – wie sich herausstellt – äußerst profitabel. Die Idee dahinter ist, dass wenn man etwas von dem Code kompromittieren kann, der von Entwicklern häufig als Baustein für ihre eigenen Apps und andere digitale Produkte verwendet wird – wie Open-Source-Bibliotheken, Dienstprogramme usw. – man dann Zugriff auf eine Vielzahl von Zielnetzwerken erhalten kann.

Eine Analogie könnte hier sein: dass Terroristen in der Lage wären, den Bestand an Maissirup mit hohem Fruchtzuckergehalt in der Herstellungsphase mit etwas zu versetzen. Es handelt sich dabei um kein Produkt, das Verbraucher direkt kaufen, aber es wird als Zutat in einer Vielzahl von verarbeiteten Lebensmitteln verwendet, die viele Millionen Menschen täglich konsumieren. Die Ergebnisse wären katastrophal.

Clientseitige Angriffe sind eine spezielle Art von Lieferketten-Bedrohung, die besonders schwer zu bekämpfen ist. Sie ist das Ergebnis einer weit verbreitete Praxis, Web-Apps zu entwickeln, die externe Skripte, Bibliotheken oder andere Softwarekomponenten von Drittanbietern aufrufen – das heißt, nachdem sie in einen Client-Browser heruntergeladen wurden. Wenn diese externen Komponenten kompromittiert wurden, findet der daraus resultierende Angriff vollständig im System des Benutzers statt. Auf der Serverseite gibt es keine Anzeichen für eine Kompromittierung, was die Erkennung erschwert.

Technische Lösungen

Den Prognosen von Gartner zufolge werden 45 % der Unternehmen weltweit bis 2025 Angriffe auf digitale Lieferketten erlebt haben, verglichen mit 15 % im Jahr 2021. Daher ist es für jede Organisation, die an diesen Lieferketten beteiligt ist, zwingend erforderlich, Maßnahmen zur Minderung von Risiken zu implementieren. Leider ist das nicht so einfach.

Aus rein technischer Sicht ist es möglich, Risiken durch den Einsatz einer fortschrittlichen Web-Applikation und API-Schutzplattform wie Barracuda Cloud Application Protection zu verringern. Wenn diese Lösungen in den Entwicklungsprozess integriert sind, können sie Ihre Apps überwachen, um die Verwendung von Komponenten von Drittanbietern zu verhindern, über die – basierend auf häufig aktualisierten Bedrohungsinformationsdaten – bekannt ist, dass sie kompromittiert sind. Außerdem können sie komplexe Konfigurationsaufgaben für Content Security Policy (CSP) und Subresource Integrity (SRI) automatisieren, um Fehler zu reduzieren und den Schutz auf der Client-Seite zu erhöhen.

Langfristig werden technische Lösungen allein jedoch nicht ausreichen, um Angriffe auf die Lieferkette wirksam zu bekämpfen. Das oberste Ziel ist, die Wahrscheinlichkeit eines erfolgreichen Angriff für alle bösartigen Akteure erheblich zu verringern – bis zu dem Punkt, an dem das Verhältnis zwischen Aufwand und Gewinn so ist, dass sie nicht länger motiviert sind, es zu versuchen.

Weiterentwicklung der Geschäftspraktiken

Das U.S. National Institute of Standards and Technology (NIST) hat kürzlich seine Publikation „Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“ aktualisiert. Der Bericht richtet sich an ein Unternehmenspublikum und enthält eine lange Liste von Empfehlungen für die Handhabung von Risiken in der Software-Lieferkette. Effektive Cybersecurity-Kontrollen und Praktiken wie erweiterte Zugriff-Security, automatisierte Incident Response, häufige Security-Audits usw. sind von grundlegender Bedeutung.

Ebenso wichtig sind jedoch Empfehlungen, die auf eine wesentliche Verbesserung der Beschaffungspraktiken hinauslaufen. Grundsätzlich müssen Security-Überlegungen in jeden Vertrag und jede Vereinbarung zwischen Lieferanten und ihren Kunden aufgenommen werden, damit ein hohes Maß an Vertrauen in die gesamten Lieferkette gewährleistet werden kann. Dies erfordert auch die Entwicklung eines zuverlässigen Systems zur Bewertung der Zuverlässigkeit und Security potenzieller Geschäftspartner.

Auf der detaillierteren Ebene der App-Entwicklungsteams muss das Bewusstsein für die potenziellen Risiken in jeden Prozess integriert werden. In der Pressemitteilung von Gartner heißt es:

„Digitale Lieferkettenrisiken erfordern neue Ansätze zur Risikominderung, die eine bewusstere risikobasierte Segmentierung und Bewertung von Anbietern/Partnern, Anforderungen nach Nachweisen für Security-Kontrollen und sichere Best Practices, eine Verlagerung hin zu einer Denkweise, die auf Widerstandsfähigkeit basiert und Bemühungen beinhalten, den bevorstehenden Vorschriften einen Schritt voraus zu sein.“

Das Ende der isolierten Security

Wie wir immer wieder sehen werden, wenn wir die sieben wichtigsten Cybersecurity-Trends von Gartner durchgehen, ist die wichtigste Erkenntnis, dass Security nie wieder als eine Angelegenheit der Identifizierung potenzieller Angriffsvektoren und der Anwendung einzelner punktueller Security-Lösungen für jeden dieser Vektoren verstanden werden kann.

In Zukunft muss jede Geschäftseinheit Security und Widerstandsfähigkeit in alle ihre Prozesse integrieren, und alle Mitarbeitenden müssen sich der Auswirkungen ihrer Rollen auf Security und Widerstandsfähigkeit bewusst sein.

Journey Notes abonnieren

Nach oben scrollen
Twittern
Teilen
Teilen