Een ander dreiging in het landschap zijn de Spectre- en Meltdown-kwetsbaarheden uit 2018 én de varianten die daarop volgden. Besturingssystemen en hypervisors bewaken dat processen enkel binnen het voor hen toegewezen werkgeheugen acteren. De kwetsbare plekken die hier zijn uit te buiten, zitten in de fysieke processoren en specifiek in het gebied van het cachegeheugen verantwoordelijk voor optimalisatie van performance. Dit is slechts tot op zekere hoogte in software te patchen.
Wat verder een opmerking verdient, is dat er geld verdiend wordt aan het uitbuiten van kwetsbaarheden. Voor criminele organisaties is het lonend om tijd en geld te stoppen in de ontwikkeling van nieuwe methoden om zo via it andere te bespioneren, te saboteren of af te persen. Precies dat maakt supply chain-aanvallen zo interessant.
Solarwinds en Kaseya
Supply chain-aanvallen zijn aanvallen op informatiebeveiliging, gericht op it-leveranciers, met als doel de afnemers te raken. Actuele voorbeelden die veel in ons vakgebied en de media zijn besproken, zijn Solarwinds en Kaseya. De aanvallen bij deze partijen waren extra schadelijk, omdat ze it-dienstverleners raken die software-omgevingen van klanten beheren. Hierdoor kregen de cybercriminelen dus gemakkelijk toegang tot de digitale kroonjuwelen van heel veel klanten.
Er zijn verschillende werkwijzen voor supply chain-aanvallen. Drie voorbeelden:
- Solarwinds
- Kaseya
- DigiNotar
Leren
Wat kunnen we leren van deze bekende supply chain-aanvallen? Het volgende.
- Vertrouw nooit op de informatiebeveiliging van één leverancier
- Als leverancier van it-dienstverlening anticiperen op gerichte aanvallen
- Als afnemer van it-dienstverlening altijd een plan B hebben
- Het vroegtijdig herkennen en acteren
(Auteur Remco Niesten is pre-sales consultant bij Uniserver.)
Reacties
VDL heeft ruim een maand last gehad van Ransomware. Intussen is net bekend geworden dat helaas ook MediaMarkt is gehackt en er Ransomware zou zijn ingezet. MediaMarkt zit aan het eind van een Supply Chain. Dus vertrouw niet alleen nooit volledig op de informatiebeveiliging van een leverancier, maar ook niet van een afnemer.