Stopp von Lieferkettenangriffen mit Zero-Trust-Segmentierung
Abschnitt 4 der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes mit Schwerpunkt auf der Lieferkette. Ich war nicht überrascht.
Die Sicherung der Lieferkette ist aufgrund ihrer Komplexität besonders schwierig.
Betrachten Sie den Automobilbau als Kontrast. In dieser Branche entwerfen Ingenieure jedes Einzelstück: Autorahmen, Motorkomponenten, Teile und Unterkomponenten — speziell für jedes Fahrzeug. Jedes Element hat Spezifikationen, die Haltbarkeit und Sicherheit gewährleisten.
Denken Sie umgekehrt an den Machbarkeitsnachweis (POC) und den Beschaffungsprozess eines Wertpapierkäufers. In vielen Fällen erfordert die Einhaltung von Vorschriften Lösungen oder gewünschte Endzustände, die mit einer beliebigen Anzahl von Produkten berücksichtigt werden können. In den seltensten Fällen gibt es eine Reihe definierter Spezifikationen, nach denen der Lieferant baut. Wann hat Ihr Firewall-Anbieter das letzte Mal ein maßgeschneidertes Produkt für Sie hergestellt?
Sicher, Sie können die Konfiguration anpassen, aber sie ist nicht für Ihren speziellen Zweck maßgeschneidert und sonst nichts. Stattdessen entwickelt der Lieferant ein Produkt, das die größtmögliche Anwendbarkeit bietet, um den größten Teil des Marktes zu erobern. Darüber hinaus befindet sich jeder Anbieter in einem Wettlauf darum, Produkte schnell zu entwickeln, auf den Markt zu bringen und zu liefern, um mit einem schnelllebigen Markt Schritt zu halten.
Hinzu kommt (und genau wie in der Automobilindustrie), dass die Anbieter unter dem Druck stehen, Gewinne zu erzielen. Um dies zu tun, etwas muss nachgeben. Im Fall von SolarWinds führte das Streben nach Gewinnen dazu, dass sie Kompromisse bei der Sicherheit eingegangen sind. Wir können einfach nicht zulassen, dass das noch einmal passiert.
Sicherheitsexperten verlassen sich auf andere Lösungen, um andere Produkte zu „beobachten“, aber leider gibt es auch hier Herausforderungen. Auch im Fall von SolarWinds hatte die Lösung zur Erkennung von Endpunkten immer hat die SolarWinds-Software als Malware gekennzeichnet, sodass SolarWinds in einem Knowledgebase-Artikel empfahl, die Überwachungsfunktionen seiner Software zu deaktivieren.
Also, was sollen wir tun?
Vor der Executive Order veröffentlichten Jonathan Reiber von AttackIQ und ich eine Blog auf Lawfare das skizzierte, was wir uns von Bidens Executive Order erhofft hatten. Ein Punkt, den wir nicht untersucht haben, ist die Lieferkette. Ich möchte hier ein paar Gedanken untersuchen:
- Jedes Tool zur Endpunktüberwachung muss über ein robustes Programm zur Überwachung Dritter verfügen, ohne jedoch Fehlalarme zu erzeugen. Das wird für Endpoint-Anbieter teuer sein, aber die Vorteile könnten enorm sein! Leider wird es aufgrund der Kosten dieser Programme in Verbindung mit der Preissensibilität der Kunden schwierig sein, dies zu erreichen.
- Die Executive Order räumt ein, dass es der Softwareentwicklung an Transparenz mangelt, aber die Frage ist, wie der Schleier entfernt werden kann, um sicherzustellen, dass die Lieferkette eines Lieferanten nicht beeinträchtigt wurde. In diesem Zusammenhang empfehle ich, das Rad nicht neu zu erfinden, sondern einen Blick auf einen unserer internationalen Mitbewerber zu werfen: Frankreich.
- Die französische Regierung hat eine Agentur eingerichtet, ANNSI, das kritische Infrastrukturen (nicht nur staatliche Infrastrukturen) identifiziert, Standards für den Schutz dieser Infrastruktur festlegt und dann Anbieter prüft, die die Software zum Schutz dieser Infrastruktur bereitstellen.
- Der Vorteil dieses Ansatzes besteht darin, dass Softwareanbieter die Regulierungsbehörde nicht als Konkurrenten betrachten und ANNSI keine Software „stiehlt“. Stattdessen gewährleistet es die Sicherheit der französischen Infrastruktur, indem es die Lieferanten überprüft.
- Eine letzte Anmerkung zu ANNSI. Wie bereits erwähnt, wendet ANNSI seine Prinzipien nicht nur auf staatliche Infrastrukturen an, sondern auch auf „kritische“ Infrastrukturen. Wir bei Illumio haben gesehen, wie sich diese Behörde in die französische Pharma-, Produktions-, Bank- und andere Infrastruktur einmischt, die für die französische Bevölkerung als „kritisch“ angesehen wird.
- Es hätte auch geholfen bei der Ransomware-Angriff auf Colonial Pipeline (was offensichtlich auch eine kritische Infrastruktur ist).
In vielerlei Hinsicht machen der Kapitalismus und unsere erbitterte amerikanische Unabhängigkeit die beiden oben genannten Punkte möglicherweise nicht möglich. Viele Amerikaner würden es nicht begrüßen, wenn die Regierung diktiert, wie sie ihre Geschäfte zu führen haben. Also, was können wir noch tun?
Die Antwort ist einfach und viele Organisationen des privaten Sektors tun dies bereits: Zero Trust.
Die Einführung eines Zero-Trust-Frameworks stellt sicher, dass im Falle eines Supply-Chain-Angriffs das Ereignis aufgeteilt wird.
Die Executive Order der Biden-Administration stimmte dieser These zu. In Abschnitt 4 (i) heißt es, dass kritische Infrastrukturen über die geringsten Rechte verfügen müssen und Netzwerksegmentierung - mit anderen Worten, sie müssen die Prinzipien von Zero Trust anwenden.
Die Anwendung eines Zero-Trust-Frameworks macht die Überprüfung der Lieferkette eines Unternehmens nicht überflüssig. Aber selbst wenn die Lieferkette vollständig auf bekannte Supply-Chain-Hacks hin überprüft wurde — Zero Trust schützt vor unbekannten Angriffen auf die Lieferkette.
Unternehmen können zum Schutz der Lieferkette beitragen, indem sie überprüfen, wie ein Anbieter Software von Drittanbietern einbringt, um sicherzustellen, dass sie nicht fälschlicherweise als Malware gekennzeichnet wird, sich die Methoden der Softwarecodierung ansehen und komplexe Passwörter verwenden. Nichtsdestotrotz werden die schlechten Akteure von heute (staatlich unterstützt oder von der organisierten Kriminalität unterstützt) einen Weg finden. Die Frage ist, wie man den Explosionsradius begrenzt, wenn es passiert?
Die Antwort lautet Anwendung von Zero Trust — und die Executive Order von letzter Woche zeigt, dass die Regierung auf dem Weg ist!
Möchten Sie die Anforderungen der Executive Order des Weißen Hauses schneller erfüllen? Erfahren Sie wie hier oder besuchen Sie uns für einen Atelier wo Sie lernen, wie Sie eine Zero-Trust-Architektur für Ihre Bundesbehörde entwerfen.