De cyberblinde vlek die elke toeleveringsketen kwetsbaar maakt

Onlangs hebben de Amerikaanse ministeries van Handel en Binnenlandse Veiligheid een rapport uitgebracht waarin kritieke tekortkomingen in de toeleveringsketens van technologie worden beschreven. De verslag beschrijft een aantal problemen die onmiddellijk moeten worden opgelost, maar noemt afzonderlijk twee belangrijkste risico's: het toenemende gebruik van open-sourcecode en het "single point of failure" dat wordt vertegenwoordigd door apparaatfirmware.

Firmware is de kern - het is instructiecode die bij elk apparaat wordt geleverd en fungeert als de digitale lijm die alle onderdelen van de toeleveringsketens van technologie bindt. Gartner Inc. heeft geschat dat elk eindpunt 15 tot 20 firmwarecomponenten bevat, en elke server 30 of meer. Naarmate deze aantallen toenemen, nemen ook de potentiële toegangspunten voor tegenstanders toe.

De een-op-veel-infectievector

Ooit alleen geassocieerd met geavanceerde aanvallen - zoals de wijdverbreide cyberspionagecampagnes SolarWinds en Colonial Pipeline - is de toeleveringsketen langzaamaan uitgegroeid tot een van de meest overdreven blootgestelde kwaadwillende actoren. EEN Crowdstrike-studie ontdekte dat 45% van de organisaties in 2021 ten minste één supply chain-aanval heeft meegemaakt.

De toename van supply chain-aanvallen kan worden toegeschreven aan nieuwe flexibele omgevingen en agressieve ontwikkelingscycli. Met de huidige wereldwijde tekorten en verstoringen in de toeleveringsketen, besteden fabrikanten van originele apparatuur uit aan derden zonder een lange geschiedenis of inzicht in de cyberbeveiligingshygiëne van de onderleveranciers. Maar de meest aanlokkelijke factor is de een-op-veel-aanvalsvermenigvuldiger die de toeleveringsketen biedt. Een aanval op de toeleveringsketen kan nationale economieën ontwrichten en levens in gevaar brengen.

Toeleveringsketens zijn er in vele vormen, maar de meest instrumentele is de toeleveringsketen van informatie- en communicatietechnologie. Elk stuk ICT-apparatuur is een combinatie van chips en componenten die met elkaar zijn verbonden door gespecialiseerde code binnen een keten van verkopers en leveranciers. Combineer dat met de omvang van ICT die tegenwoordig beschikbaar is: elke organisatie, groot of klein, gebruikt cloud computing, internet, software en een scala aan hardware om te werken. Indien gecompromitteerd, stelt firmware de aanvaller in staat om een individueel systeem te infiltreren en toegang te krijgen tot een groot aantal toegangspunten, waaronder gegevens, toepassingen en diensten, op het apparaat. Contactpunten worden alleen maar groter naarmate het aantal bijdragende leveranciers toeneemt en hun eigen toeleveringsketens aan de mix worden toegevoegd.

De cruciale verbinding van firmware

Firmware is de eerste en vaak meest bevoorrechte code die op een apparaat wordt uitgevoerd en instrueert daaropvolgende acties van het besturingssysteem. Zoals het DOC- en DHS-rapport opmerkt: "De geprivilegieerde positie van firmware in de computerstack geeft onopvallende aanvallers een groot voordeel."

Kwaadwillenden misbruiken firmware om initiële toegang tot een organisatie te krijgen, door apparaten met kwetsbare firmware rechtstreeks te doorbreken en te infecteren, of via een implantaat of achterdeur om een product te infiltreren voordat het ooit de eindklant bereikt. De aanvalsmethode kan in dit geval een schadelijke code zijn die eenvoudigweg door de gebruiker wordt gedownload.

Dat gezegd hebbende, zijn bedreigingsactoren constant bezig om nieuwe zwakheden te vinden en creatiever te worden in hun aanvalsmethoden, om ondetecteerbaar te zijn en tegelijkertijd de meeste schade aan te richten. In de afgelopen twee jaar hebben bendes met ransomware zich gericht op het doorbreken van ingebedde besturingssystemen en firmware in bedrijfsnetwerkapparaten, waaronder VPN's, switches, firewalls, routers en een breed scala aan verkeersconcentratoren, gateways en leveringscontrollers. Deze infectievectoren zijn zowel krachtig als onbeschermd. Netwerkapparaten zoals routers, VPN's en apparaten voor bestandsoverdracht behoren tot de strategisch meest cruciale apparaten binnen een organisatie, waardoor ze uniek waardevol zijn in de context van een cyberaanval.

Firmware-aanvallen stellen kwaadwillenden ook in staat een apparaat te herstellen en er toegang toe te blijven houden nadat de eerste dreiging is gedetecteerd, zelfs als het apparaat volledig is gewist. In recente iLOBleed aanvallen, infecteerden kwaadwillenden herhaaldelijk HPE-servers met ransomware nadat de dreiging was geïdentificeerd en de geïnfecteerde systemen opnieuw waren geïnstalleerd. Ditzelfde niveau van ontwijking wordt gezien wanneer beveiligingstools geen bedreigingen detecteren - een veel voorkomende ondergang aangezien de meeste tools geen firmware-intelligentie hebben.

Bescherming tegen verborgen infecties

Om deze risico's te beperken, moeten organisaties firmware beveiligen in alle aspecten van hun bedrijf. Firmwarebeveiliging is een opkomende discipline die nieuwe sub-OS-technologieën combineert met best practices voor het identificeren, verifiëren en versterken van firmware in uitgebreide, afgelegen ondernemingen. Essentiële stappen omvatten:

Identificeren. Organisaties hebben eenvoudige, schaalbare en toch integreerbare tools nodig die geautomatiseerd scannen mogelijk maken tussen firmwarecomponenten in endpoints, servers, netwerkapparaten en allerlei soorten Internet of Things (IoT)-apparaten. Vanwege de complexiteit en ondoorzichtigheid van toeleveringsketens hebben organisaties de kracht nodig om "het onzichtbare te zien" en betrouwbare inventaris en stuklijsten te creëren met firmwaregegevens van alle bijdragende leveranciers.
Verifiëren. Verificatie is essentieel voor het bepalen van de integriteit, herkomst en correcte configuratie van firmware. Het moet gedurende de hele levenscyclus van het apparaat plaatsvinden, inclusief:
- Pre-levering: IT-beveiligingsteams moeten alle apparaten en componenten analyseren op bekende kwetsbaarheden en verkeerde configuraties als onderdeel van het selectieproces. Een gerenommeerde leverancier moet ervoor zorgen dat hun producten en alle onderliggende componenten geen grote beveiligingsproblemen hebben en dat de apparaten veilig zijn gebouwd en geconfigureerd.
- Nieuw verworven: Alle nieuwe apparaatfirmware moet worden gescand op kwetsbaarheden voordat ze volledig worden geïntroduceerd in de productieomgevingen. Leveranciers en componenten kunnen veranderen, of apparaten kunnen worden geknoeid of gecompromitteerd tijdens het transport of zelfs tijdens de productie.
- Continue bewaking: Fouten op kopniveau van codeondertekeningsprocessen van leveranciers betekent dat cyberbeveiligingsteams hun leveranciers niet zomaar meer kunnen vertrouwen. Organisaties moeten operationele systemen controleren op indicatoren van compromissen (IOC's) die uniek zijn voor firmware, en veranderingen in firmwaregedrag beoordelen na aanschaf van apparaten of na updates.
Versterken. Bijna 80% van de firmware wordt nooit gepatcht voordat het apparaat het einde van zijn levensduur bereikt. Veel CIO's en operationele teams zijn bang dat firmware-updates een domino-keten van storingen zullen ontketenen die resulteren in systeemuitval en productiviteitsverlies. Ze hebben betrouwbare processen nodig om de juiste, originele binaire bestanden te lokaliseren, hun integriteit te waarborgen en, waar mogelijk, hun implementatie te automatiseren. Bovendien is een cruciaal onderdeel van het "versterkingsproces" het kunnen detecteren van inkomende bedreigingen, met name bedreigingen die rechtstreeks gericht zijn op de firmwarecomponenten van een apparaat. Net als in de identificatie- en verificatiefasen, hebben verdedigers speciale firmware-gerichte tools nodig om indicatoren van een compromis te "zien" die onder het zicht van het besturingssysteem en traditionele defensieve applicaties lopen.

Aangezien inbreuken op de toeleveringsketen door de industrie blijven weergalmen en ransomware's voorkeursvector draait om firmware, zullen organisaties firmwarebeveiliging moeten omarmen om hun toeleveringsketens te beschermen. NIST hoopt samen met Eclypsium, Dell, Intel en HP de huidige blinde vlekken te verlichten en de verdediging gemakkelijker te maken door middel van een onlangs vrijgegeven praktijk gids. Het beschrijft manieren waarop beoefenaars niet alleen de integriteit van de apparaten in hun complexe toeleveringsketens kunnen valideren, maar ook de voorheen onzichtbare firmware die deze ketens bij elkaar houdt.

Joeri Bulygin wel mede-oprichter en CEO of eclypsium.

Generatieve data-intelligentie

De cyberblinde vlek die elke supply chain kwetsbaar maakt

Wetenschappers schudden lithiumextractie op met een ander soort chemie: CleanTechnica

Waarom verspreidt PBS anti-EV FUD? – CleanTechnica

Laatste intelligentie

IQT Nordics Update: Marco Polini, mede-oprichter van Planckian is een spreker voor 2024 – Inside Quantum Technology

Bitcoin leidt 30-daagse NFT-verkopen en overtreft 24 Blockchain-concurrenten

De geweldige technische verhalen van deze week van overal op internet (tot en met 27 april)

Skywise.ai-oprichter Chris McGinty is een IQT Quantum + AI Conference Speaker voor 2024 – Inside Quantum Technology

Prioriteit geven aan first-mover-voordeel boven beveiliging zorgt ervoor dat defi-protocollen kwetsbaar zijn voor hacks – Nikita Ovchinnik

HKTDC onthult evenementen voor geschenken, drukwerk, verpakkingen en licenties