Hoe voorkom je blinde vlekken in de supply chain?

Supply chains waren in 2021 een lucratieve bron van inkomsten voor cybercriminelen. Een trend die we dit jaar waarschijnlijk weer terug zullen gaan zien. Er is dan ook maar één kwetsbaarheid of één gecompromitteerd slachtoffer in de keten nodig om veel interessante doelwitten tegelijk te raken, denk aan SolarWinds en Kaseya. Zo simpel als de methodes van sommige aanvallers zijn om de supply chain binnen te komen, zo complex zitten sommige supply chains in elkaar. Dus hoe kunnen we deze ingewikkelde ketens beschermen tegen deze groeiende dreiging?

De uitdagingen van supply chain-beveiliging

Het end-to-end beheren van de supply chain is een enorme taak. Helaas vertrouwen veel bedrijven nog altijd op spreadsheets als het gaan om de bescherming tegen cybercriminelen. Het gebrek aan inzicht in de eigen IT-assets dat hierdoor kan ontstaan en de algehele afhankelijkheid van partners en leveranciers binnen de supply chain, vormt een enorm risico. Daarom is het belangrijk om eerst antwoord te hebben op een aantal fundamentele vragen, zoals: wie zijn mijn leveranciers? Hoe ziet hun security eruit? En hoe gebruiken zij hun data?

Aangezien software-kwetsbaarheden in supply chain management- of leveranciersystemen enorme gevolgen kunnen hebben, is het belangrijk om voorafgaand aan de onboarding due diligence uit te voeren, maar ook om de relatie regelmatig opnieuw te beoordelen. Er kunnen bijvoorbeeld verplichte security-normen worden afgesproken en vastgesteld. Veel bedrijven beschouwen supply chain-beveiliging echter als een eenmalig iets. Daarnaast worden beveiligingsteams vaak te laat in het onboardingproces ingeschakeld om risico’s uit te sluiten.

Eén kwetsbaarheid is voldoende: zodra cybercriminelen toegang hebben tot het netwerk kunnen ze rechtstreeks naar de meest waardevolle gegevens van het bedrijf gaan. Deze methode heet laterale beweging: hackers richten zich op diefstal en misbruik van inloggegevens en werken zich een weg naar belangrijke assets via zijwaartse bewegingen over het netwerk. Om deze reden hebben organisaties maximaal inzicht nodig om toegangsrechten en bijbehorende kwetsbaarheden te kunnen analyseren.

Bovendien moeten beveiligingsteams controleren of de gebruikte hardware geen frauduleuze componenten of malware bevat en of deze niet is vervalst zodat, bijvoorbeeld, gegevensopslag door derden kan plaatsvinden.

Toenemende eisen aan supply chains

Wat aanvallen op de supply chain onderscheidt van andere, gerichte aanvallen, is het feit dat risicobeheer over de bedrijfsgrenzen moet worden toegepast. Daarbij mogen beveiligingseisen voor de supply chain niet buiten de boot vallen. Het (Amerikaanse) National Institute of Standards and Technology (NIST) ziet identificatie, beoordeling en beperking van cyberrisico’s in de supply chain als kritieke factor voor het bereiken van een adequaat niveau van IT-beveiliging.

Het NIST herinnert ons er daarbij aan dat globalisering, outsourcing en digitalisering leiden tot toenemende afhankelijkheid binnen complexe supply chains. Daardoor zijn beveiligingsmaatregelen die zich uitsluitend richten op de eigen bedrijfsvoering niet meer voldoende.

Het is duidelijk dat wettelijke vereisten voor cybersecurity in de supply chain steeds belangrijker worden. Omdat wettelijke voorschriften en technische maatregelen het vereiste beveiligingsniveau echter niet voldoende in kaart kunnen brengen, moeten bedrijven vertrouwen op contractuele voorschriften om risico’s zoveel mogelijk te beperken. Uiteindelijk zullen de bedrijven met de beste beveiligingspraktijken het meest succesvol zijn.

Supply chain best practices

Cyberrisico’s omvatten inkoop, leveranciersbeheer, continuïteit en kwaliteit van de supply chain en transportbeveiliging. Daarom is het belangrijk om de juiste vragen aan de juiste leveranciers te stellen.

Zo is het onder meer belangrijk om te weten of het software- en hardware-ontwikkelingsproces van de leverancier is gedocumenteerd en of bij het productontwerp rekening is gehouden met de beperkingen van bekende kwetsbaarheden. Welke controles worden er uitgevoerd om de productieprocessen te beheren en te bewaken? Hoe wordt configuratiebeheer uitgevoerd en in hoeverre worden malware-onderzoeken uitgevoerd? Hoe zorgt de leverancier voor beveiliging gedurende de hele levenscyclus van het product?

Om de risico’s te beperken, kunnen bedrijven het volgende doen:

  • Beveiligingsvereisten moeten in alle RFP’s en contracten worden vastgelegd.
  • Als een leverancier geïntegreerd is in de supply chain, is het aan het beveiligingsteam om nauw samen te werken om mogelijke kwetsbaarheden te elimineren.
  • Een one strike and you’re out-beleid is van toepassing op alle producten van leveranciers die niet aan de specificaties voldoen.
  • De aankoop van componenten moet streng gecontroleerd worden. Voor gekochte software moet broncode worden verkregen.
  • Beveiligde boot-processen zoeken naar authenticatiecodes, zodat het systeem niet opstart als de codes niet worden herkend.
  • Het automatiseren van de bouw- en testprocessen verkleint het risico op menselijk ingrijpen.

De beste vorm van proactief risicobeheer zijn tools die continu inzicht in endpoints bieden en managers de controle geven die ze nodig hebben om snel te reageren op incidenten. Een centrale oplossing voor endpointbeheer stelt organisaties in staat om vragen te stellen aan beheerde endpoints de reacties te analyseren en acties te distribueren op basis van deze antwoorden.

Verder kan de actuele staat van een beveiligings- en operationele omgeving worden gevisualiseerd, zodat op basis van de verzamelde gegevens passende acties kunnen worden ondernomen. Door endpoints continu te controleren op afwijkende activiteiten kunnen realtime waarschuwingen worden afgegeven, zodat beveiligingsteams onmiddellijk actie kunnen ondernemen om het netwerk te beschermen.

Conclusie

Supply chain-aanvallen zijn de afgelopen jaren zeer lucratief gebleken voor cybercriminelen. Beveiligingsexperts voorspellen dan ook dat het aantal aanvallen in 2022 zal blijven stijgen. Bedrijven die afhankelijk zijn van platforms en diensten op verschillende niveaus van de supply chain, moeten hun huidige strategieën herzien en zich ervan bewust worden dat beveiliging niet stopt bij hun eigen netwerkgrens.

Gerelateerde artikelen

De do’s en don’ts van security awareness

De do’s en don’ts van security awareness

Security awareness is een bloedserieuze zaak. Maar het moet wél leuk blijven. Gelukkig nemen veel organisaties training van hun medewerkers serieus. Maar daarmee ben je er nog niet. Jelle Wieringa over de belangrijkste dingen die je moet doen (en laten) voor een succesvolle aanpak.

Digitale kwetsbaarheid in de keten

Digitale kwetsbaarheid in de keten

Het DBIR van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waardoor komt dit en wat kun je ertegen doen?

Digitale transformatie? Wat dacht je van een security transformatie?

Digitale transformatie? Wat dacht je van een security transformatie?

In hun haast om de snelle veranderingen bij te houden en competitief en relevant te blijven door processen te transformeren, verwaarlozen veel organisaties een belangrijk onderdeel van digitale transformatie: een sterk cyberbeveiligingsprogramma dat hen tegen de nieuwste bedreigingen verdedigt.