Supply chain-aanval
AanvallenEen actor tast doelbewust de vertrouwelijkheid, integriteit of beschikbaarheid aan van één of meer onderdelen binnen een supply chain (toeleveringsketen) om zo een springplank te krijgen voor aanvallen op andere organisaties, die veelal het primaire doelwit zijn. Actoren kunnen door middel van een supply chain-aanval bijvoorbeeld toegang verkrijgen tot beveiligde ICT-systemen van organisaties en daarmee onder andere tot diens gevoelige gegevens, processen en financiën. De aanval heeft een gelaagd karakter (minstens twee aanvallen) en is gericht, complex, duur en vereist daardoor vergaande capaciteit en planning van de actor. Het motief voor de aanval is meestal spionage, maar kan ook gericht zijn op sabotage of financieel gewin.
Een supply chain-aanval is een cyberaanval waarbij de aanvaller niet het uiteindelijke doelwit direct aanvalt, maar een leverancier, partner of dienstverlener in de toeleveringsketen compromitteert om via die weg toegang te krijgen tot het eigenlijke doelwit. Deze aanvalsmethode exploiteert het vertrouwen dat organisaties stellen in hun leveranciers en de software, hardware of diensten die zij afnemen. De impact van een supply chain-aanval kan enorm zijn: een enkele gecompromitteerde leverancier kan duizenden afnemers treffen. Het bekendste voorbeeld is de SolarWinds-aanval uit 2020, waarbij kwaadaardige code werd geïnjecteerd in een software-update die vervolgens bij meer dan 18.000 klanten werd geinstalleerd, waaronder overheidsinstanties en grote bedrijven wereldwijd.
Supply chain-aanvallen nemen in frequentie en impact toe. Volgens onderzoek van DNV mist bijna de helft van de organisaties die vitale infrastructuur beheren volledig zicht op de cybersecurityrisico's in hun supply chain. Dit gebrek aan zichtbaarheid maakt de supply chain tot een aantrekkelijk doelwit voor zowel criminele groepen als statelijke actoren. Onder NIS2 worden organisaties in essentiele en belangrijke sectoren dan ook verplicht om supply chain-risico's actief te beheren en te mitigeren.
Hoe werkt een supply chain-aanval?
Supply chain-aanvallen kunnen op verschillende manieren worden uitgevoerd, afhankelijk van het type toeleveringsketen dat wordt getarget. Bij een software supply chain-aanval compromitteert de aanvaller het ontwikkelproces of de distributiekanalen van een softwareleverancier. Dit kan door malware te injecteren in de broncode, het build-systeem te compromitteren, of de update-servers te manipuleren zodat kwaadaardige updates worden verspreid naar alle gebruikers van de software.
De SolarWinds-aanval is hier het schoolvoorbeeld van. Aanvallers, vermoedelijk een Russische inlichtingendienst, infiltreerden het bouwproces van de Orion-software en voegden een backdoor toe die werd meegeleverd in reguliere software-updates. Omdat klanten de updates van hun vertrouwde leverancier zonder argwaan installeerden, kregen de aanvallers toegang tot netwerken van overheidsinstanties, technologiebedrijven en andere gevoelige organisaties.
Een hardware supply chain-aanval richt zich op de fysieke productieketen van apparatuur. Dit kan variieren van het plaatsen van spionagechips op printplaten tijdens de productie tot het manipuleren van firmware in netwerkapparatuur of opslagmedia. Deze aanvallen zijn moeilijker te detecteren omdat ze op hardwareniveau plaatsvinden en vaak buiten het zicht vallen van traditionele beveiligingstools.
Een derde variant is de service supply chain-aanval, waarbij aanvallers een managed service provider (MSP) of IT-dienstverlener compromitteren om via hun beheertoegang bij meerdere klanten binnen te dringen. Omdat MSPs vaak verregaande toegangsrechten hebben tot de systemen van hun klanten, biedt een gecompromitteerde MSP een krachtige springplank naar meerdere doelwitten tegelijk. De Kaseya-aanval uit 2021, waarbij ransomware werd verspreid via een MSP-beheertool, trof meer dan 1.500 organisaties wereldwijd.
Hoe herken je een supply chain-aanval?
Het herkennen van een supply chain-aanval is bijzonder lastig, juist omdat de aanval zich voordoet als legitieme activiteit vanuit een vertrouwde bron. Software-updates, patches en configuratiewijzigingen van leveranciers worden doorgaans als veilig beschouwd, wat de perfecte dekmantel vormt voor aanvallers.
Technische indicatoren die kunnen wijzen op een supply chain-aanval zijn onverwacht netwerkverkeer naar onbekende externe servers na een software-update, ongebruikelijke processen of services die draaien na een patch, en afwijkingen in de digitale handtekeningen of checksums van geleverde software. SIEM-systemen en Network Detection and Response (NDR)-tools kunnen helpen bij het detecteren van dergelijke anomalieen.
Op organisatorisch niveau zijn signalen onder meer onverklaarbare wijzigingen in configuraties na leverancierswerkzaamheden, ongeautoriseerde accounts of verhoogde rechten die zijn aangemaakt via beheertoegang van een derde partij, en meldingen van andere organisaties die dezelfde leverancier gebruiken over vergelijkbare incidenten. Het actief volgen van beveiligingsmeldingen en advisories van je leveranciers en van organisaties als het NCSC is essentieel voor vroegtijdige detectie.
Hoe bescherm je je tegen een supply chain-aanval?
Bescherming tegen supply chain-aanvallen vereist een combinatie van leveranciersbeheer, technische maatregelen en organisatorische processen. Begin met het in kaart brengen van je volledige supply chain: welke leveranciers hebben toegang tot je systemen, welke software gebruik je, en welke afhankelijkheden bestaan er? Classificeer leveranciers op basis van het risico dat zij vormen voor je kroonjuwelen.
Stel contractuele beveiligingseisen aan leveranciers, inclusief het recht om audits uit te voeren, de verplichting om beveiligingsincidenten te melden, en eisen aan hun eigen cybersecuritymaatregelen. Implementeer het principe van least privilege voor leverancierstoegang: geef leveranciers alleen de minimaal noodzakelijke toegangsrechten en beperk deze in tijd en scope.
Op technisch niveau is het verifiieren van software-integriteit cruciaal. Controleer digitale handtekeningen en checksums van alle software-updates voordat je ze installeert. Implementeer Software Bill of Materials (SBOM) om inzicht te krijgen in de componenten waaruit je software is opgebouwd, inclusief open-source bibliotheken die kwetsbaarheden kunnen bevatten. Test updates in een geisoleerde omgeving voordat je ze uitrolt naar productie.
Implementeer Zero Trust-principes: vertrouw geen enkele component blind, ook niet als deze afkomstig is van een vertrouwde leverancier. Verifieer altijd, segmenteer je netwerk, en monitor al het verkeer, inclusief verkeer van en naar leverancierssystemen. Zorg voor een incident response plan dat specifiek rekening houdt met supply chain-scenario's, zodat je snel kunt reageren wanneer een leverancier wordt gecompromitteerd.
Monitoring van de supply chain is een doorlopend proces, geen eenmalige activiteit. De dreigingen evolueren continu en leveranciers kunnen op elk moment worden gecompromitteerd. Implementeer continue monitoring van leveranciersgerelateerde beveiligingssignalen, volg security advisories van je kritieke leveranciers, en onderhoud directe communicatielijnen met hun security teams. Door supply chain-beveiliging als integraal onderdeel van je cybersecurityprogramma te behandelen, in plaats van als een apart compliance-onderwerp, bouw je een veerkrachtigere organisatie die beter bestand is tegen deze groeiende dreiging.
Software composition analysis (SCA) tools helpen bij het identificeren van kwetsbare componenten in je softwarestack. Open-source bibliotheken vormen een bijzonder risico, want een kwetsbaarheid in een veelgebruikte bibliotheek kan honderden applicaties tegelijk treffen. Het Log4j-incident uit 2021 illustreerde dit risico: een kritieke kwetsbaarheid in een breed gebruikte Java-logbibliotheek zorgde voor een wereldwijde golf van aanvallen. Regelmatige scanning van je softwareafhankelijkheden en een proces voor het snel patchen van kwetsbare componenten zijn essentieel.
Veelgestelde vragen over supply chain-aanvallen
Wat was de impact van de SolarWinds-aanval?
De SolarWinds-aanval trof meer dan 18.000 organisaties die de gecompromitteerde Orion-update installeerden. Onder de slachtoffers waren het Amerikaanse ministerie van Financien, het ministerie van Binnenlandse Veiligheid en grote technologiebedrijven. De aanval bleef maandenlang onopgemerkt en wordt beschouwd als een van de ernstigste cyberspionageoperaties ooit.
Is mijn MKB-organisatie ook kwetsbaar voor supply chain-aanvallen?
Ja, MKB-organisaties zijn vaak juist kwetsbaar omdat zij minder middelen hebben voor leveranciersbeheer en beveiligingsmonitoring. Bovendien kunnen MKB-bedrijven zelf het doelwit zijn als stap in een aanval op een grotere organisatie in hun keten. Elke organisatie die software of IT-diensten afneemt, is potentieel kwetsbaar.
Wat eist NIS2 op het gebied van supply chain-beveiliging?
NIS2 verplicht organisaties in essentiele en belangrijke sectoren om supply chain-risico's te beoordelen en te beheersen. Dit omvat het stellen van beveiligingseisen aan leveranciers, het uitvoeren van risicobeoordelingen van de toeleveringsketen, en het implementeren van maatregelen om de impact van supply chain-aanvallen te beperken.
Hoe beoordeel je de cybersecurity van je leveranciers?
Vraag leveranciers naar hun beveiligingscertificeringen zoals ISO 27001, voer regelmatig security assessments uit, stel contractuele beveiligingseisen, en monitor hun beveiligingsprestaties continu. Security rating platforms kunnen ook helpen bij het objectief beoordelen van de beveiligingshouding van leveranciers.
Bescherm je organisatie tegen supply chain-risico's. Vergelijk Governance, Risk & Compliance aanbieders op IBgidsNL.