Woraus sie bestehen, wie sie ablaufen und wie sich Unternehmen dagegen schützen können in den vernetzten Zeiten des Cloud Computings.
Der Ablauf von Angriffen gegen die Liefer- oder Wertschöpfungskette eines Unternehmens klingt oft wie ein Drehbuch eines Hollywood-Films. Solche Attacken erfordern ein hohes Maß an Planung und Expertise und der entstehende Schaden ist meist verheerend. Jüngste Beispiele sind die Angriffe über SolarWinds oder als Vorläufer die NotPetya-Ransomware, die 2017 weltweit durch eine ukrainische Buchhaltungssoftware verteilt wurde.
In der Sicherheitsindustrie werden zwei verschiedene Arten von Supply Chain-Angriffen unterschieden: die Island-Hopping-Angriffe und die Supply Chain-Angriffe. Die sogenannten Island-Hopping-Angriffe zielen auf verwundbare Partner oder Elemente in der Wertschöpfungskette, die privilegierten Zugriff auf das eigentliche Zielnetzwerk haben. Abgeleitet wird der Name von der Island Hopping-Strategie der USA im Pazifik-Feldzug des Zweiten Weltkrieges. Die Idee dahinter ist, von einem Punkt zum anderen zu springen, bis das gewünschte Zielnetzwerk erreicht ist. Darum kann diese Art von Angriff mehrere verwundbare Elemente oder Partner ausnutzen. Diese Methode kam bisher bei Attacken gegen prominente Ziele im Einzelhandel zum Einsatz. Als erster Einstiegspunkt in die Infektionskette werden Lieferanten mit Malware infiltriert, um schließlich zum Zielsystem des Einzelhändlers zu gelangen.
Supply Chain-Angriffe laufen unterschiedlich ab. Hierbei nutzen Hacker das Vertrauen im Geschäftsumfeld eines Unternehmens aus. Sie versuchen, sich unberechtigten Zugang zu einer Firma über deren Lieferkette zu verschaffen, indem gezielt Hintertüren in Produkten implantiert werden, die das Unternehmen verwendet. Am häufigsten erfolgt die Auslieferung über automatisch bereitgestellte Patches oder Software-Updates. Solche Angriffe wurden besonders gegen Technologie-Unternehmen beobachtet, darunter auch Anbieter von Antiviren-Programmen oder Hersteller von Geräten für die Netzwerksicherheit.
Beide Arten von Angriffen können mehr als eine Organisation ins Visier nehmen. Das Ziel kann tatsächlich darin bestehen, sich Zugang zu Branchen oder Konzernen zu verschaffen – oder gezielt Informationen über eine Gruppe von Personen zu sammeln. Gleichzeitig erleiden sämtliche Organisationen, die als Einstiegspunkt – oder Insel – missbraucht werden, große Reputations- und Geschäftsschäden, obwohl sie nicht das eigentliche Ziel einer solchen Kampagne waren, sie aber eventuell unbeabsichtigt ermöglicht haben.
Supply Chain-Angriffe sind nicht neu, aber noch immer schwer zu verhindern
Als 2013 und 2014 Nachrichten über Angriffe gegen Einzelhandelsunternehmen, speziell in den USA, die Runde machten begannen Organisationen weltweit, ihre Lieferkette und deren Datenverbindungen zu evaluieren. Diese Angriffe hatten es im großen Stil auf Kreditkarten-Informationen abgesehen und wurden über Zulieferer durchgeführt; sie entsprachen damit bereits der Island-Hopping-Strategie. Die enge Kooperation zwischen Unternehmen und ihren Zulieferern ist heutzutage unumgänglich, um hocheffiziente Prozesse zu implementieren: vom Design über die Prototypen-Entwicklung, Fertigung, Logistik, hin zur Just-in-Time-Lieferung an den Endkunden. Unternehmen sparen so Milliarden und können Innovationen in noch nie da gewesener Geschwindigkeit auf den Markt bringen. Diese enge Vernetzung schafft allerdings auch große Angriffsflächen, die von Cyberkriminellen oder Spionagegruppen ausgenutzt wird.
Infolgedessen begannen Sicherheitsexperten diese enge Verknüpfung zur Prozessautomatisierung zwischen Geschäftspartnern mit dem gleichen Misstrauen zu betrachten, wie jede andere anonyme Datenleitung. Diese Verschiebung der Wahrnehmung führte zu einem erhöhten Sicherheitsbewusstsein und zusätzlichen Kontrollen der Interkonnektivität; zunehmend wurden Sicherheitszertifizierungen von den Partnern verlangt, wie ISO 27001, die im Anhang 15 ausdrücklich die Sicherheitsbewertung von Anbietern in der Lieferkette fordert, bevor eine Verbindung zwischen Netzwerken hergestellt wird.
Die meisten Island-Hopping-Angriffe nutzen einen autorisierten Zugang oder eine Schwachstelle in Form einer Software-Sicherheitslücke oder Fehlkonfiguration. Je sorgfältiger und disziplinierter Unternehmen beim Aktualisieren ihrer Systeme vorgehen, sowie durch die Anwendung von Best-Practice-Konfigurationen und bei der Segmentierung ihrer Netzwerke, desto schwieriger wird es für Angreifer, diese Schwachstellen auszunutzen. Dennoch sind findige Angreifer immer wieder erfolgreich.
Im Jahr 2015 kamen Spekulationen über eine geheime Hintertür im Secure Shell (SSH)-Authentifizierungsmechanismus von Juniper’s JunOS auf. Diese Sicherheitslücke, die von einer unbekannten Gruppierung in die Geräte dieses bekannten US-amerikanischen Herstellers von Netzwerksicherheitsausrüstung implantiert wurde, könnte bereits seit Jahren bestanden haben. Im selben Jahr war eine mutmaßliche Hintertür in einem beliebten Antiviren-Produkt gefunden worden die an einem aufsehenerregenden Diebstahl von streng geheimen Informationen der National Security Agency (NSA) beteiligt war. Obwohl von der breiten Öffentlichkeit weitgehend unbemerkt, versetzten diese Nachrichten viele Sicherheitsexperten in höchste Alarmbereitschaft, da solche Angriffe das Vertrauen ausnutzen, das jeder bislang in die Integrität und inhärente Sicherheit solcher Technologie setzte.
Jüngstes Beispiel SolarStorm
Das jüngste Beispiel ist die Ende 2020 gegen SolarWinds Orion ausgeführte Attacke, genannt SolarStorm. Hierbei haben Angreifer eine Hintertür (benannt Sunburst) in die populäre SolarWinds Orion-Plattform implementiert, um dadurch privilegierten Zugriff auf die Unternehmensnetzwerke von SolarWinds Kunden zu erlangen.
Wie können Unternehmen herausfinden, ob sie davon sie betroffen waren?
Am einfachsten ist die Überprüfung, ob sich ein kompromittiertes SolarWinds-Orion-Produkt oder eine betroffene Version in der eigenen Umgebung befindet. Wichtig zu wissen ist, dass die Angreifer in diesem speziellen Fall die Hintertür nur verwendet haben, um Zugriff auf Zielumgebungen von besonderem Interesse zu erlangen. Ob ein Zugriff versucht und erlangt wurde lässt sich allerdings nur teilweise über die Analyse der Netzwerkaktivität feststellen. Ursache dafür ist, dass die Kampagne vermutlich bereits im März 2020 begann und sehr lange unentdeckt blieb. Aufgrund des großen Datenvolumens, das mit Sicherheits- und Zugriffsprotokollen einhergeht, ist es schwer solche Protokolle über einen langen Zeitraum zu speichern. Da Indikatoren für eine Kompromittierung erst 9 Monate nach dem Beginn dieser Kampagne verfügbar waren, erschwert sich die Nachvollziehbarkeit durch das schier unermessliche Datenvolumen, das zwischenzeitlich angefallen ist.
Haben Schutzmechanismen versagt?
Die Erkennung der eingebauten Sunburst-Hintertür ist mit den meist vorhandenen automatisierten Funktionen schwierig zu bewerkstelligen. Das gilt auch für Sandboxes, die für die Erkennung bisher unbekannter Bedrohungen entwickelt wurden. Diese Schwierigkeit ist auf eine Reihe von Faktoren zurückzuführen, welche die Sorgfalt der Angreifer zum Verwischen ihrer Spuren verdeutlicht: Die Hintertür wurde über ein legitimes Software-Update für ein bekanntes Netzwerküberwachungs- und Verwaltungsprogramm eingespielt. Außerdem mussten bestimmte Softwarekomponenten bereits auf dem Zielsystem vorhanden sein, um das Software-Update mit der Hintertür erfolgreich zu installieren. Dazu mussten.
Warum eine Sandbox in diesem Fall nahezu chancenlos war, halt folgenden Grund: Die Sandbox imitiert ein Endbenutzersystem und operiert mit einer begrenzten Liste gängiger Anwendungen auf Basis deren Betriebssystemversion. Zusätzlich haben die Angreifer nach der Installation der Hintertür weitere Vorsichtsmaßnahmen ergriffen, um eine Entdeckung in einer Sandbox-Umgebung zu verhindern. Ein Beispiel: der Rückruf an die Command-and-Control-Infrastruktur wurde mehrere Tage verzögert, was die automatisierte Analyse erschwert. Als ein weiteres Beispiel wurden in der Hintertür Routinen implementiert, die geprüft haben, ob die Software in einer Labor- oder Produktionsumgebung ausgeführt wird.
Die beste Möglichkeit zur Erkennung der schädlichen Aktivitäten wäre gewesen, ungewöhnliche Netzwerkaktivitäten der SolarWinds-Orion-Plattform zu protokollieren, als die Malware anfing, nach “Hause zu telefonieren”. In diesem Fall hat der Akteur jedoch darauf geachtet, die üblichen Signale zu vermeiden. So war die Command-and-Control-Infrastruktur in den Ländern der Opfer eingerichtet worden, um Misstrauen in die Kommunikation mit unüblichen Regionen zu vermeiden. Um zusätzlich zu verhindern, dass Verbindungen zu einer erst kürzlich registrierten Webseite die Sicherheitsleute auf den Plan rufen, wurde die verwendete Command-and-Control-Domäne bereits mehrere Monate vor dem wahrscheinlichen Beginn der Kampagne angemeldet. Schließlich fügten die Angreifer die Namenskonventionen ihre Ziele in die DNS-Namen der Command-and-Control-Infrastruktur ein, die dazu verleiten sollten, Verdachtsmomente als Fehlalarm zu diskreditieren.
Nach dem Eindringen nutzte der Angreifer bekannte Programme und Techniken, um Administrator-Anmeldeinformationen zu sammeln, sich festzusetzen und Fernzugriff auf das infizierte System zu erhalten. Solche Aktivitäten hätten von den meisten Produkten zur Endpoint Detection and Response (EDR) durch Überwachung der Systemaktivitäten auf den betroffenen Servern erkannt werden können. Jedoch werden EDR-Lösungen oft nicht auf Serversystemen eingesetzt, sondern lediglich auf Endnutzergeräten verwendet. So lässt sich zusammenfassend feststellen, dass die Erkennung dieser speziellen Hintertür äußerst schwierig war – doch keineswegs unmöglich.
Abwehrstrategie: Zero Trust unterbindet unautorisierten Zugriff
Wie sollten sich Unternehmen also gegen potenzielle Angriffe auf ihre Lieferkette wappnen? Wie erläutert ist es nicht einfach, Hintertüren zu erkennen oder Schwachstellen zu verteidigen, die von böswilligen Dritten in vertrauenswürdige Software integriert werden. Dennoch können die grundlegenden Prinzipien zur Abwehr von Island-Hopping-Angriffen wirksam sind auch gegen solche Gefahren angewendet werden.
Das Prinzip des minimalen notwendigen Zugriffs
Die grundlegenden Konzepte einer Zero-Trust-Architektur können eine effektive Verteidigung darstellen, um die Auswirkungen korrumpierter Technologie deutlich einzuschränken. Selbst wenn es Angreifern gelingt, eine Hintertür in Software oder Hardware zu implantieren, die mit Firmennetzwerken oder großen Teilen der Netzwerkstruktur verbunden ist, benötigen sie dennoch Zugriff über die Komponente hinaus. Sie können also nur die Zugangsrechte ausnutzen, die der Komponente selbst zur Verfügung stehen. Wird also der Zugriff solcher Komponenten auf das Nötigste reduziert und die gewünschte Funktion aufrecht zu erhalten, schränkt das die Möglichkeiten der Angreifer, sich frei in der Umgebung zu bewegen, drastisch ein.
Es ist daher wichtig bei jeder Anwendung zu untersuchen, welche Berechtigungen diese benötigt, um ihre grundlegenden Funktionen zu erfüllen und welche Personen wiederum Zugriff auf die Anwendung und ihre Funktionen erhalten dürfen. Nach diesem Prinzip sollte zum Beispiel jede Anwendung nur auf die vom Hersteller dokumentierten Internetressourcen oder anderen Anwendungen erhalten, welche zur Funktion der Anwendungsfälle notwendig sind. Ein Beispiel: eine Netzwerk-Überwachungslösung benötigt meist keine Berechtigungen, um auf ein Dateisystem zu schreiben oder Änderungen an einer Anwendung vorzunehmen. Diese Berechtigungen sollten dementsprechend verweigert werden. Es ist sogar sehr wahrscheinlich, dass das Monitoring-System nur Lesezugriff auf einen bestimmten Dienst oder Datensatz benötigt, aber nicht auf das vollständige System.
Starke Authentifizierung und Zugangsprotokollierung
Eine sorgfältige Bewertung muss durchgeführt werden, welche Personen welche Zugriffsrechte auf eine Anwendung oder ein System benötigen und wie dieser Zugriff gesichert zustande kommen kann. Ein solches Assessment führt zu Zugriffskontrollen, die letztlich die Fähigkeit eines Angreifers beschränken, sich im Netzwerk mithilfe von legitimen Benutzerzugriff von System zu System zu bewegen. Begehrte Angriffsziele sind deshalb Komponenten und Anwendungen mit privilegierten Zugriffsrechten. Daher sollte der Zugriff zu Administrationszwecken auf solche Netzwerkkomponenten oder Systeme durch Multi-Faktor-Authentifizierung abgesichert werden und nur auf Basis des Bedarfs gewährleistet werden.
Die Zweckdienlichkeit der hier beschriebenen Maßnahmen ist keineswegs auf das beschränkt, was in den letzten Monaten im Zusammenhang mit dem SolarWinds Angriff zu beobachten war. Insbesondere die Beschränkung des Zugriffs auf und von der SolarWinds-Orion-Plattform und die Verwendung von Mehrfaktor Authentifizierung hätten es dem Angreifer erheblich erschwert, sich Zugang zu verschaffen. Gleichzeitig wäre es einfacher gewesen, ungewöhnliche und verdächtige Aktivitäten zu entdecken. Letztendlich gelang die verspätete Entdeckung des SolarWinds basierten Supply-Chain Angriffs mit der Erkennung eines verdächtigen Anmeldevorgangs durch gestohlene Anmeldedaten.
Vertrauenswürdige, aber verifizierte Anbieter
Je nach Art der Dienstleistung oder Branche können verschiedene Zertifizierungen Unternehmen bei der Beurteilung helfen, wie gut ein Unternehmen oder Anbieter selbst darauf vorbereitet ist Angriffe zu erkennen, oder gar zu verhindern, um damit die Manipulation ihrer eigenen Produkte durch Angreifer zu verhindern. Die bekannteste dieser Zertifizierungen ist die ISO/IEC 27001. Sie besagt, dass ein Anbieter nicht nur Sicherheitspraktiken befolgt und einhält, welche Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten, sondern diese Aspekte ebenfalls in der Verantwortung des Managements ansiedelt.
Zur Vermeidung von Angriffen auf die Lieferkette müssen Unternehmen darum sorgfältig bewerten und prüfen, wie ihre Lieferanten geforderte Sicherheitsprinzipien implementieren und befolgen. Zum Beispiel fordert der Anhang 5 von ISO/IEC 27001 sogar ausdrücklich eine solche Überprüfung der gesamten Wertschöpfungskette.
Es gibt eine Vielzahl von Sicherheitsaudits, die Unternehmen unterschiedliche Zertifizierungen für sichere Systemarchitekturen, die Implementierung von Sicherheits- und Reaktionsprozessen sowie die Einhaltung allgemein anerkannter Praktiken zum sicheren Umgang mit Informationstechnologien bescheinigen. Darunter fallen Zertifikate für Cloud-Dienste-Anbieter, die vor der Einbindung solcher Dienste obligatorisch sein sollten. Das bekannteste Beispiel ist die SOC-2-Zertifizierungsfamilie. Diese erweitert die Konzepte der ISO/IEC 27001 und verlangt von Anbietern, vorgegebene technische und verfahrenstechnische Schutzmaßnahmen zu implementieren, um nicht nur die Verfügbarkeit und Integrität des bereitgestellten Dienstes, sondern auch die Sicherheit der kunden- und benutzerspezifischen Daten zu gewährleisten. Die genannten Zertifizierungen sind nur einige Beispiele in einer langen Liste von Zertifikaten, die durch Branchen- oder Regionsspezifische Auflagen erweitert werden können.
Fazit
SolarStorm, der Supply Chain-Angriff unter der Verwendung der SolarWind Orion-Plattform, kann als außergewöhnlich detailliert vorbereiteter Angriff betrachtet werden, was sich auch in der sorgfältigen Ausführung und der Aufmerksamkeit, die der Verschleierung beigebracht wurde, zeigt. Jedoch sollten die Auswirkungen auf betroffene Organisationen nicht als einmaliges Ereignis abgetan werden. Sicherheitsabteilungen stehen heute die technischen Möglichkeiten zur Verfügung, solche Angriffe nicht nur früher als in diesem Fall zu erkennen, sondern auch ihre Auswirkungen zu minimieren. Dadurch kann es Angreifern verwehrt werden, in einer IT-Umgebung Fuß zu fassen, um sich frei durch das Netzwerk zu bewegen. Neben der Überwachung der Aktivitäten von und auf Systemen und Anwendungen, die privilegierten Zugriff haben oder sensible Informationen enthalten, können spezifische Zugriffskontrollen dabei helfen, hochwertige Systeme vollständig abzuschotten.
Zugriffskontrollen und -beschränkungen für jene Systeme, die für Angreifer hochwertige Ziele darstellen, können durch Anwendung der Konzepte einer strikten Zero-Trust-Architektur implementiert werden:
- Beschränkung des Zugriffs für den ausgehenden Datenverkehr eines Systems oder der Anwendung anhand der durch den Hersteller dokumentierten minimalen Grundvoraussetzungen und minimalen Berechtigungen, die zur Ausführung aller Funktion wirklich erforderlich sind.
- Beschränkung des lokalen Zugriffs der Anwendungen auf die vom Hersteller dokumentierte minimalen erforderlichen
- Beschränkung des Zugangs zu kritischen Anwendungen, Systemen und deren Funktionen auf jene Benutzer, die diesen Zugriff tatsächlich benötigen. Dies sollte dann auch mit der Einführung einer Multi-Faktor-Authentifizierung verbunden werden.
In einer Cloud-basierten Welt, in der das Internet das lokale Netzwerk zunehmend ersetzt, ist die Anwendung traditioneller IT-Sicherheitsparadigmen ein aussichtsloses Unterfangen. Da die Cloud zunehmend stärker genutzt werden wird, um eine mobile Belegschaft und ein auf viele Standorte verteiltes Unternehmen zu realisieren, müssen Sicherheitsexperten ihren Ansatz überdenken. In dieser Cloud-Welt müssen Sicherheitskonzepte auch Cloud-spezifisch angewandt werden mit Hilfe von Cloud-nativen Sicherheitsfunktionen und eine strikte Zero-Trust-Architektur, die den authentifizierten Benutzer und die Applikation in den Vordergrund stellt.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.