Beheer

Supplychain-security: het stiekeme strijdveld
De zwakste schakel kan buiten jouw organisatie liggen.
De zwakste schakel kan buiten jouw organisatie liggen.
Het is een oude wijsheid, die van toepassing is op cybersecurity anno nu: een keten is slechts zo sterk als de zwakste schakel. En wat is dan de zwakste schakel bij ICT? Het lijkt logisch om dat te zoeken in eigen middelen en mensen: tech en gebruikers. Maar technologie bestaat uit verreikende ketens met vele schakels. Zie geruchtmakende gevallen als Okta/Sitel, Log4j, NotPetya, Kaseya en nog veel meer.
"Wie gaat hier over?", was volgens voorzitter Jeroen Dijsselbloem van de Onderzoeksraad voor Veiligheid (OVV) een kernvraag bij de grote Citrix-ramp van net vóór de coronacrisis. Hij gaf AG Connect een toelichting op het kritische OVV-rapport over dat verstrekkende ICT-securitygeval. Dat rapport is eind 2021 uitgekomen en gaf een somber beeld: Nederland loopt digitaal gevaar, aldus de hoofdconclusie toen.
Noodklok voor Nederland
Een jaar later stonden we er niet bepaald beter voor. De OVV luidde eind 2022 de noodklok: de kloof tussen cyberdreiging en cyberweerbaarheid wordt steeds groter. Dat ligt niet alleen aan achterblijven van verdedigingsmaatregelen. Het ligt ook aan evolutie van aanvalsmethodes. Het cybercrimelandschap is weer wat verder opgeschoven, op zoek naar zwakke schakels in ketens. Ketens die heel ver kunnen reiken.
Hackaanvallen op ICT-supplychains omvatten dan eigenlijk níet het digitaal inbreken op en via veelgebruikte ICT-producten zoals die van Citrix. Hoe groot, verstrekkend en impactvol die securityramp toen ook was, het is niet echt een suppychain-attack. Aanvallen via ICT-toeleveringsketens gaan verder, dieper.
Kwaadwillenden gaan hiervoor op zoek naar kwetsbaarheden en ingangen in software en systemen van derden, die door anderen weer worden gebruikt. Zo kunnen die doelwitten dienen als route voor aanvallen elders. De gevolgen kunnen verstrekkend zijn. En heel lucratief voor cybercriminelen. Maar ook heel nuttig voor zogeheten statelijke actoren; aanvallers die - al dan niet indirect - werken voor bepaalde landen en regimes.
Containers en kaascrisis
Eigenlijk zou dit geen nieuws moeten zijn. De kwetsbaarheid en reikwijdte van reguliere supplychains zijn de afgelopen jaren al een aantal keer duidelijk zichtbaar gemaakt. Pijnlijk zichtbaar. Zie bijvoorbeeld de logistieke chaos veroorzaakt door de allereerste corona-uitbraak eind 2019 in China. Dat heeft ketens vanuit dat ‘productieland voor de hele wereld’ verstoord, met als gevolgen vertraagde leveringen, gebrek aan componenten en schaarste aan containercapaciteit.
Dat corona-neveneffect was in 2020 zeker niet voorbij en het hield ook in 2021 nog huis. Maar zie ook de grote verstoring van 2021 toen het gigantische containerschip Ever Given strandde in het Suez-kanaal. De moderne just-in-time aanpak voor productie, assemblage, verscheping, levering en verkoop is zeer kwetsbaar voor verstoringen.
Bovengenoemde betreft dan nog ‘analoge’ disrupties - die vooralsnog niet voorbij lijken. Maar er spelen ook digitaal veroorzaakte verstoringen. Zie maar het Nederlandse geval van ineens geen voorverpakte kaas in de supermarkt, doordat een transportbedrijf was gehackt. Ransomware had de ICT-systemen platgelegd van deze schakel in de keten die strekt van kaasmakers naar supermarkten. Ondanks deze en nog andere praktijkvoorbeelden is nog lang niet iedereen zich goed bewust van eventuele zwaktes in hun eigen ketens.
Harde lessen
Eind 2021 heeft de digitale wereld een harde les over ICT-supplychains geleerd. Met de Log4Shell-kwetsbaarheid in Java-tool Log4j. Die software bleek namelijk wijdverbreid in gebruik, vaak zonder dat gebruikende organisaties dit wisten. Het gaat daarbij niet alleen om slecht inzicht in de eigen assets op IT-gebied. Het gaat ook om onbekendheid met de componenten in gebruikte ICT-middelen van externe leveranciers.
Zelfs bedrijven en organisaties die hun asset management op orde hadden voor de door hen gebruikte ICT-producten, wisten lang niet altijd of die ICT-producten Log4j in zich hadden. En welke versies dan. Soms hadden ook leveranciers die ineens-kritieke kennis niet paraat.
Supplychain-aanvallen kunnen ook komen via vertrouwde leveranciers, zelfs via partijen die ICT-producten voor bijvoorbeeld beveiliging of beheer bieden. Zulke software heeft vanwege de aard vergaande mogelijkheden en bevoegdheden. Daarlangs binnenkomen is gelijk bingo voor de boeven, zoals overheidsgerichte aanvallers hebben gedaan door beheerpakket Orion van SolarWinds te compromitteren.
Bij ICT-supplychainsecurity komen ook geopolitieke spanningen, financiële sancties en persoonlijke problemen om de hoek kijken. Kijk naar developer Denis Pushkarev, maker en maintainer van Core-js. Die opensourcesoftware vervult vele nuttige functies en is wereldwijd veelgebruikt, maar dat heeft de Russische schepper en onderhouder geen inkomen verschaft waar hij van kan leven. “Gratis open source is fundamenteel kapot”, stelt Pushkarev dan ook.
Donaties voor zijn software zijn gestaag afgenomen, wat mede valt te wijten aan sancties tegen zijn thuisland Rusland. Daarnaast kan meespelen dat de developer vanwege een dodelijke aanrijding in 2020 de gevangenis in is gegaan. Online worden flinke discussies gevoerd over Pushkarevs situatie; hoe hij wordt behandeld, hoe hij zich opstelt en wat zijn financiële nood kan betekenen voor zijn veelgebruikte software. Daarbij is ook speculatie geuit over mogelijkheden voor afpersing en backdoors in zijn code.
XKCD
De praktijkproblemen met Log4j en de theoretische problemen voor Core-js bewijzen maar weer het pijnlijke waarheidsgehalte van een beroemde XKCD-comic. Daarin wordt het complexe bouwsel van ‘alle moderne digitale infrastructuur’ getoond als precair leunend op een klein softwareproject dat op de schouders van een onbekende, overbelaste persoon rust. Functioneren, stabiliteit maar ook security zijn dus een kwestie van supply chain.
Dependency https://t.co/xmiOCImBUD https://t.co/r7hiO0fMm6 pic.twitter.com/6YyAu0WUwC
— XKCD Comic (@xkcdComic) August 17, 2020
Bij de bron
Daarbij is ingebroken bij de leverancier zelf om daar het product te hacken, waarna de gebruikers ervan konden worden aangevallen. In tegenstelling tot de Citrix-zaak van eind 2019 en begin 2020, waarbij het product was gehackt bij de individuele gebruikers, niet bij de bron: de softwareproducent. SolarWinds bleek helaas geen uitzondering, na die geruchtmakende hackcampagne kwamen nog andere gevallen aan het licht.
Ook een ICT-leverancier kan namelijk maar een gewone ICT-gebruikende organisatie blijken te zijn. Compleet met ‘wratten’ als achterstallig onderhoud en ontwerpfouten (zoals bij Kaseya), interne IT-chaos (zoals bij Solar Winds), misstanden bij ketenpartners (zoals bij Okta) en meer tekortkomingen waar kwaadwillenden gretig gebruik van maken.
Door zulke fouten is bij gewone cyberaanvallen een organisatie het haasje. Maar bij supplychain-aanvallen gaan alle organisaties die verbonden zijn met digitale ketens voor gaas.
Olievlekeffect
Zo zijn bij Okta, leverancier van authenticatiesoftware, enkele honderden klanten slachtoffer geworden van cyberbende Lapsus$. Een cybercriminele organisatie die indirect techreuzen als Apple en Microsoft heeft geraakt, en dat alles onder leiding van een tiener. De teller staat ook op honderden slachtoffers voor de hackaanval via Kaseya, of mogelijk nog veel meer. Terwijl de leverancier sprak van 800 tot 1.500 geraakte bedrijven, zagen experts veel grotere aantallen.
Aanvankelijk had Kesaya gemeld dat zo'n veertig klanten waren geraakt door de ransomware-aanval die via zijn beheersoftware was uitgevoerd. Die initiële inschatting betrof dan alleen de directe klanten van de softwaremaker, maar via die bedrijven zijn weer klanten dáárvan geïnfecteerd. Zie daar de kracht van ketens, in dit geval dus kracht voor kwaadwillenden.
Kritisch ketens keuren
Het kritisch keuren van zulke ketens verdient dus aandacht, van verdedigers - intern maar ook zeker extern. Zo was Kaseya vlak voor deze massale aanvalscampagne nog gewaarschuwd door de Nederlandse securityvrijwilligers van het DIVD (Dutch Institute for Vulnerability Disclosure). De reactie op die waarschuwing, voortgekomen uit proactief uitpluiswerk van beheersoftware, kwam echter net te laat.
Los van timing en snelheid kan niet iedere ICT-leverancier en ICT-afnemer bouwen op extern securitywerk en verantwoorde melding ervan. Daarentegen kan iedere ICT-leverancier en ICT-afnemer in wezen wel rekenen op ‘extern speurwerk’ door kwaadwillenden, die hun ontdekkingen dan misbruiken voor eigen gewin.
Kijk bij bescherming van ICT-supplychains dan niet alleen naar techproducten voor beveiliging, beheer en authenticatie. Zoals de grote gevallen van SolarWinds, Okta/Sitel en Kaseya. Onderzoeken wijzen uit dat vele softwareleveranciers aan de beurt zijn. Vorig jaar werden vier op de vijf software-supplychains van bedrijven op de korrel genomen, meldt securityleverancier BlackBerry. Misschien is niet elke leverancier een even interessant doel, maar ze kunnen wel een interessant middel zijn, een schakel in de keten die leidt naar lucratieve slachtoffers.
Opensourcesupply
Opensourcesoftware kan hierbij een bijzonder aantrekkelijke schakel zijn. Niet elk opensourceproject heeft namelijk menskracht, expertise en snelheid voor sterke cybersecurity, wat onder meer Log4j wel heeft aangetoond. Critici van open source wijzen er ook op dat zulke software door iedereen valt in te zien, wat kennis over kwetsbaarheden kan opleveren.
Daar staat tegenover dat in theorie ook alle leveranciers en afnemers een blik kunnen werpen. En dat niet alleen op beveiliging van de software zelf, maar ook op intern gebruik - en afhankelijkheden - van weer andere softwarecomponenten. Alleen gebeurt dat lang niet altijd, wat in de praktijk ook herhaaldelijk is aangetoond.
De opmars van open source is echter allang een feit en het toegenomen belang valt niet te ontkennen, ook in softwaresupplychains, soms zonder dat klanten van commerciële ICT-leveranciers dit goed weten. Dat toegenomen belang kan dus toegenomen risico met zich meebrengen. Organisaties beseffen dit en maken zich zorgen, blijkt uit het rapport ‘The State of the Software Supply Chain: Open Source Edition 2022’ van leverancier VMware. Een betere aanpak van beveiliging is vereist, voor alle makers en gebruikers van schakels in die ketens.
Zo moeten ontwikkelaars patches ontwikkelen, moeten leveranciers die patches toepassen en doorgeven, moeten afnemers updaten en zelf controleren. Een zakelijk probleem kan zijn dat het nogal eens ontbreekt aan harde SLA’s (service level agreements) of zelfs formele overeenkomsten tussen de verschillende partijen en hun verbindende schakels.
Gebrek aan uniformiteit
Een technisch probleem kan zijn dat er veel verschillen, tools, methodes en ook manuele handelingen spelen bij het controleren, bijhouden, patchen en beveiligen van schakels in ketens. Packagingprocessen zijn geen uniforme zaken. Diverse leveranciers, inclusief Nederlandse startups als 3rdRisk, en grote consultancy's zoals Deloitte, springen dan ook op het beheersen van ketenrisico’s. Nieuwe, maar versterkende schakels in de verreikende ketens?
Dit artikel is ook gepubliceerd in het magazine van AG Connect (nummer 2 - 2023). Wil je alle artikelen uit dit nummer lezen, bekijk dan de inhoudsopgave.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.