Supply chain aanvallen zijn gecompliceerd, maar verdediging is goed mogelijk

Don Eijndhoven

05-04-2022 | door: Floris Hulshoff Pol
Deel dit artikel:

Supply chain aanvallen zijn gecompliceerd, maar verdediging is goed mogelijk

Nieuwe soorten cyberaanvallen als supply chain-aanvallen zijn zeer ingrijpend en maken het bedrijven vrijwel onmogelijk zich goed te beschermen. Wanneer bedrijven echter over de meest up-to-date securitytechnologie beschikken en deze met een samenhangend beleid inzetten, is een goede verdediging toch mogelijk. Dit stelde securityexpert en CEO van securitybedrijf Argent Consulting Don Eijndhoven in zijn openingskeynote van de onlangs in Den Haag gehouden Dutch IT Security Day.

In zijn keynote constateerde Don Eijndhoven dat zogenoemde supply chain-aanvallen, waarbij de keten die verschillende IT-bedrijven vormen wordt aangevallen, tegenwoordig de grootste bedreiging op het gebied van cybersecurity zijn. Dit soort aanvallen zijn vaal grootschalig en hebben vaak een enorme impact op aangevallen bedrijven.

SolarWinds meest beruchte case

De meest geruchtmakende case op het gebied van supply chain-aanvallen is toch wel die op Solarwinds, een leverancier van beheer- en monitoringssoftware voor netwerken, systemen en IT-technologie. De tools van deze leverancier worden vooral gebruikt voor het (geautomatiseerd) beheer en monitoring van zeer grote zakelijke IT-omgevingen.

De hack, die in de tweede helft van 2019 werd opgezet en uiteindelijk pas in december 2020 is ontdekt, was het implanteren van een backdoor in een update van de veel gebruikte managementtool SolarWinds Orion. Via een normale software-update werd deze gemanipuleerde versie onder de klanten van het softwarebedrijf verspreid. Hierdoor konden de hackers deze systemen uiteindelijk eenvoudig binnendringen en vervolgens toegang krijgen tot interessante (bedrijfs)informatie en deze stelen.

De hack werd pas ontdekt toen securitybedrijf FireEye medio 2020 afwijkend gedrag op zijn netwerk signaleerde en concludeerde dat het was gehackt. Nader onderzoek ontdekte dat de oorzaak van de hack in de SolarWinds Orion-software lag.

Statesponsored hackers

Deze zeer verfijnde aanval was waarschijnlijk het werk van ‘state-sponsored’ hackers. Duizenden hackers zouden zich met de ontwikkeling en uitvoering van de aanval hebben beziggehouden. Dit betekent eigenlijk dat alleen staten hiervoor voldoende middelen hebben. In het geval van SolarWinds was de aanval terug te voeren op Rusland en in het bijzonder de militaire inlichtingendienst GRU.

Moedeloosheid bij bedrijven

Dit soort ‘state sponsored’ hackers, die over ongekende mankracht en andere middelen beschikken, en de complexiteit van supply chain-aanvallen, geven veel bedrijven een gevoel van moedeloosheid. Hoe graag bedrijven zich ook tegen dit soort aanvallen willen verweren, is dit volgens hen niet mogelijk. Bovendien maken de huidige netwerkomgevingen, die zich niet meer tot de traditionele datacenter-perimeter beperken, maar zich uitstrekken naar de cloud en edge-locaties, het in hun ogen zeer complex om een goede bescherming te bieden tegen aanvallen.

Verzet wel mogelijk

Don Eijndhoven is het hier niet meer eens, zo hield hij het publiek in de Fokker Terminal voor. Volgens hem zijn bedrijven helemaal niet kansloos tegen dit soort geavanceerde cyberaanvallen. Zeker wanneer bedrijven investeren in de meest moderne en innovatieve securitytechnologie en hierbij een samenhangend securitybeleid ontwikkelen. “Denk daarbij aan het afgeven van alerts bij afwijkend gebruikersgedrag, afwijkend gedrag van fileservers, voor plotselinge wijzigingen in de active directory en/of de netwerk- en/of IT-configuraties.”

Daarnaast kunnen bedrijven ook alerts instellen voor hun gevoelige data. “Hackers zijn altijd op zoek naar bepaalde informatie, dus hou je bedrijfsgevoelige data goed in de gaten. Datawaardering en-classificatie zijn daarom heel belangrijk.”

Deze alerts moeten het liefst geheel geautomatiseerd worden afgehandeld. “Automatisering is niet te voorkomen en eigenlijk wil je ook helemaal geen menselijk gedrag meer in de response-keten.”

Vijf basisprincipes

Tot besluit gaf Don Eijndhoven de bezoekers van de Dutch IT Security Day een vijftal belangrijke basisprincipes mee die moderne innovatieve securitytechnologie en het samenhangend beleid ondersteunen. In de eerste plaats is dat een centraal overzicht van alle gebeurtenissen op alle systemen en voor alle workloads. Denk aan een goed contekstueel inzicht in wat alle gegevens precies betekenen. Hiervoor moeten wel de juiste vragen aan de systemen worden gesteld.

Ook moeten bedrijven een goed inzicht in hun waardevolle data hebben. Welke data zijn belangrijk voor het bedrijf en hebben die gegevens het juiste dataclassificatie-label. Ook moet duidelijk zijn of deze belangrijke data goed zijn beschermd.

Een derde vereiste is het toepassen van moderne innovatieve securitytechnologie op de juiste plekken. Dus op alle endpoints en servers, maar ook op alle plekken waar de data zogezegd ‘leeft’. Bijvoorbeeld in de cloud.

Het vierde basisprincipe is dat bedrijven constant over de laatste threat intelligence moeten hebben en deze aan hun securitysystemen ‘voeren’. Belangrijk is ook dat bedrijven security-informatie met elkaar en het hele security-ecosysteem delen. Hierdoor is het mogelijk sneller en alerter te reageren op nieuwe bedreigingen.

Tenslotte is een goede securitytraining van medewerkers nog steeds heel belangrijk. “Goed getrainde medewerkers zijn nog steeds een belangrijke schakel in het te voeren securitybeleid. Maak van securitytrainingen geen sluitpost”, zo besluit Don Eijndhoven zijn keynote.

Door: Floris Hulshoff Pol

Terug naar nieuws overzicht
Security