Supplychain-security: het stiekeme strijdveld

Kwaadwillenden gaan hiervoor op zoek naar kwetsbaarheden en ingangen in software en systemen van derden, die door anderen weer worden gebruikt. Zo kunnen die doelwitten dienen als route voor aanvallen elders. De gevolgen kunnen verstrekkend zijn. En heel lucratief voor cybercriminelen. Maar ook heel nuttig voor zogeheten statelijke actoren; aanvallers die - al dan niet indirect - werken voor bepaalde landen en regimes.

Containers en kaascrisis

Eigenlijk zou dit geen nieuws moeten zijn. De kwetsbaarheid en reikwijdte van reguliere supplychains zijn de afgelopen jaren al een aantal keer duidelijk zichtbaar gemaakt. Pijnlijk zichtbaar. Zie bijvoorbeeld de logistieke chaos veroorzaakt door de allereerste corona-uitbraak eind 2019 in China. Dat heeft ketens vanuit dat ‘productieland voor de hele wereld’ verstoord, met als gevolgen vertraagde leveringen, gebrek aan componenten en schaarste aan containercapaciteit.

Dat corona-neveneffect was in 2020 zeker niet voorbij en het hield ook in 2021 nog huis. Maar zie ook de grote verstoring van 2021 toen het gigantische containerschip Ever Given strandde in het Suez-kanaal. De moderne just-in-time aanpak voor productie, assemblage, verscheping, levering en verkoop is zeer kwetsbaar voor verstoringen.

Bovengenoemde betreft dan nog ‘analoge’ disrupties - die vooralsnog niet voorbij lijken. Maar er spelen ook digitaal veroorzaakte verstoringen. Zie maar het Nederlandse geval van ineens geen voorverpakte kaas in de supermarkt, doordat een transportbedrijf was gehackt. Ransomware had de ICT-systemen platgelegd van deze schakel in de keten die strekt van kaasmakers naar supermarkten. Ondanks deze en nog andere praktijkvoorbeelden is nog lang niet iedereen zich goed bewust van eventuele zwaktes in hun eigen ketens.

Harde lessen

Eind 2021 heeft de digitale wereld een harde les over ICT-supplychains geleerd. Met de Log4Shell-kwetsbaarheid in Java-tool Log4j. Die software bleek namelijk wijdverbreid in gebruik, vaak zonder dat gebruikende organisaties dit wisten. Het gaat daarbij niet alleen om slecht inzicht in de eigen assets op IT-gebied. Het gaat ook om onbekendheid met de componenten in gebruikte ICT-middelen van externe leveranciers.

Zelfs bedrijven en organisaties die hun asset management op orde hadden voor de door hen gebruikte ICT-producten, wisten lang niet altijd of die ICT-producten Log4j in zich hadden. En welke versies dan. Soms hadden ook leveranciers die ineens-kritieke kennis niet paraat.

Supplychain-aanvallen kunnen ook komen via vertrouwde leveranciers, zelfs via partijen die ICT-producten voor bijvoorbeeld beveiliging of beheer bieden. Zulke software heeft vanwege de aard vergaande mogelijkheden en bevoegdheden. Daarlangs binnenkomen is gelijk bingo voor de boeven, zoals overheidsgerichte aanvallers hebben gedaan door beheerpakket Orion van SolarWinds te compromitteren.

Bij de bron

Daarbij is ingebroken bij de leverancier zelf om daar het product te hacken, waarna de gebruikers ervan konden worden aangevallen. In tegenstelling tot de Citrix-zaak van eind 2019 en begin 2020, waarbij het product was gehackt bij de individuele gebruikers, niet bij de bron: de softwareproducent. SolarWinds bleek helaas geen uitzondering, na die geruchtmakende hackcampagne kwamen nog andere gevallen aan het licht.

Ook een ICT-leverancier kan namelijk maar een gewone ICT-gebruikende organisatie blijken te zijn. Compleet met ‘wratten’ als achterstallig onderhoud en ontwerpfouten (zoals bij Kaseya), interne IT-chaos (zoals bij Solar Winds), misstanden bij ketenpartners (zoals bij Okta) en meer tekortkomingen waar kwaadwillenden gretig gebruik van maken.

Door zulke fouten is bij gewone cyberaanvallen een organisatie het haasje. Maar bij supplychain-aanvallen gaan alle organisaties die verbonden zijn met digitale ketens voor gaas.

Olievlekeffect

Zo zijn bij Okta, leverancier van authenticatiesoftware, enkele honderden klanten slachtoffer geworden van cyberbende Lapsus$. Een cybercriminele organisatie die indirect techreuzen als Apple en Microsoft heeft geraakt, en dat alles onder leiding van een tiener. De teller staat ook op honderden slachtoffers voor de hackaanval via Kaseya, of mogelijk nog veel meer. Terwijl de leverancier sprak van 800 tot 1.500 geraakte bedrijven, zagen experts veel grotere aantallen.

Aanvankelijk had Kesaya gemeld dat zo'n veertig klanten waren geraakt door de ransomware-aanval die via zijn beheersoftware was uitgevoerd. Die initiële inschatting betrof dan alleen de directe klanten van de softwaremaker, maar via die bedrijven zijn weer klanten dáárvan geïnfecteerd. Zie daar de kracht van ketens, in dit geval dus kracht voor kwaadwillenden.

Kritisch ketens keuren

Het kritisch keuren van zulke ketens verdient dus aandacht, van verdedigers - intern maar ook zeker extern. Zo was Kaseya vlak voor deze massale aanvalscampagne nog gewaarschuwd door de Nederlandse securityvrijwilligers van het DIVD (Dutch Institute for Vulnerability Disclosure). De reactie op die waarschuwing, voortgekomen uit proactief uitpluiswerk van beheersoftware, kwam echter net te laat.

Los van timing en snelheid kan niet iedere ICT-leverancier en ICT-afnemer bouwen op extern securitywerk en verantwoorde melding ervan. Daarentegen kan iedere ICT-leverancier en ICT-afnemer in wezen wel rekenen op ‘extern speurwerk’ door kwaadwillenden, die hun ontdekkingen dan misbruiken voor eigen gewin.

Kijk bij bescherming van ICT-supplychains dan niet alleen naar techproducten voor beveiliging, beheer en authenticatie. Zoals de grote gevallen van SolarWinds, Okta/Sitel en Kaseya. Onderzoeken wijzen uit dat vele softwareleveranciers aan de beurt zijn. Vorig jaar werden vier op de vijf software-supplychains van bedrijven op de korrel genomen, meldt securityleverancier BlackBerry. Misschien is niet elke leverancier een even interessant doel, maar ze kunnen wel een interessant middel zijn, een schakel in de keten die leidt naar lucratieve slachtoffers.

Opensourcesupply

Opensourcesoftware kan hierbij een bijzonder aantrekkelijke schakel zijn. Niet elk opensourceproject heeft namelijk menskracht, expertise en snelheid voor sterke cybersecurity, wat onder meer Log4j wel heeft aangetoond. Critici van open source wijzen er ook op dat zulke software door iedereen valt in te zien, wat kennis over kwetsbaarheden kan opleveren.

Daar staat tegenover dat in theorie ook alle leveranciers en afnemers een blik kunnen werpen. En dat niet alleen op beveiliging van de software zelf, maar ook op intern gebruik - en afhankelijkheden - van weer andere softwarecomponenten. Alleen gebeurt dat lang niet altijd, wat in de praktijk ook herhaaldelijk is aangetoond.

De opmars van open source is echter allang een feit en het toegenomen belang valt niet te ontkennen, ook in softwaresupplychains, soms zonder dat klanten van commerciële ICT-leveranciers dit goed weten. Dat toegenomen belang kan dus toegenomen risico met zich meebrengen. Organisaties beseffen dit en maken zich zorgen, blijkt uit het rapport ‘The State of the Software Supply Chain: Open Source Edition 2022’ van leverancier VMware. Een betere aanpak van beveiliging is vereist, voor alle makers en gebruikers van schakels in die ketens.

Zo moeten ontwikkelaars patches ontwikkelen, moeten leveranciers die patches toepassen en doorgeven, moeten afnemers updaten en zelf controleren. Een zakelijk probleem kan zijn dat het nogal eens ontbreekt aan harde SLA’s (service level agreements) of zelfs formele overeenkomsten tussen de verschillende partijen en hun verbindende schakels.

Gebrek aan uniformiteit

Een technisch probleem kan zijn dat er veel verschillen, tools, methodes en ook manuele handelingen spelen bij het controleren, bijhouden, patchen en beveiligen van schakels in ketens. Packagingprocessen zijn geen uniforme zaken. Diverse leveranciers, inclusief Nederlandse startups als 3rdRisk, en grote consultancy's zoals Deloitte, springen dan ook op het beheersen van ketenrisico’s. Nieuwe, maar versterkende schakels in de verreikende ketens?