Hoe cybercriminelen een aanval kunnen starten via een supply-chainpartner

Een supply chain vereist van nature een samenwerkingsverband tussen mensen en organisaties. Hoewel dit kan helpen om een ​​gemeenschappelijk doel te bereiken en groei te bevorderen, kan het ook een groot aantal problemen opleveren.

Door deze symbiotische relaties hebben bedrijven onbewust gevoelige aspecten van hun bedrijf blootgelegd. Toch heeft deze over het hoofd geziene zwakte mogelijkheden gecreëerd voor cybercriminelen om voet aan de grond te krijgen in hun doelorganisaties.

Een onderzoek van het Opus en Ponemon Institute onderstreept de prevalentie van dergelijke aanvallen en toont aan dat ten minste 59% van de organisaties te maken heeft gehad met cyberaanvallen via externe bedrijven. Nog verontrustender is het feit dat slechts 16% van de organisaties in het onderzoek beweerde cyberbeveiligingsrisico's van derden effectief te verminderen.

Het spreekt voor zich dat de eerste stap om uw bedrijf tegen dergelijke risico's te beschermen, is ze te identificeren. Hieronder volgen enkele manieren waarop kwaadwillende actoren een aanval kunnen initiëren via een partner in de toeleveringsketen, geïllustreerd met voorbeelden uit de praktijk.

Vrijwel elke organisatie maakt gebruik van externe hard- en software. Weinigen willen technologie helemaal opnieuw bouwen. Integendeel, de hausse op het gebied van open source heeft geleid tot een enorme golf van outsourcing in bijna elk aspect van de bedrijfsvoering.

Ondanks het gemak, brengt deze kans een aanzienlijk risico met zich mee. De beruchte Equifax-inbreuk van 2018 was het gevolg van een fout in de software die verantwoordelijk is voor het uitvoeren van online databases. Equifax gaf het ook de schuld van een kwaadaardige downloadlink op zijn site, die van een andere leverancier kwam.

Als gevolg van deze zwakke punten in hun toeleveringsketen hebben criminelen de persoonlijke gegevens van minstens 143 miljoen mensen in handen gekregen.

Talloze bedrijven maken gebruik van verwarmings-, ventilatie- en airconditioningsystemen (HVAC) die wel zijn aangesloten op het internet, maar onvoldoende beveiligingsmaatregelen hebben. Deze geven hackers een potentiële toegangspoort tot bedrijfssystemen, zoals het geval was bij de massale inbreuk op Target in 2014.

Hackers kregen toegang tot inloggegevens die toebehoorden aan het bedrijf dat het HVAC-systeem van Target leverde. Ze logden vervolgens in en kwamen in zijn betalingssystemen en stalen informatie van naar schatting 70 miljoen mensen. Het bevatte namen, fysieke adressen, e-mailadressen en telefoonnummers, naast andere gevoelige gegevens.

Een andere vorm van risico komt van cloudserviceproviders die vertrouwelijke gegevens van bedrijven opslaan. Zeker, dergelijke entiteiten investeren aanzienlijk in de beveiliging van hun systemen; hun reputatie hangt ervan af.

Maar net als alle andere organisatiesystemen zijn deze ook vatbaar voor compromissen. Dat was het geval bij de beruchte Paradise Papers-hack in 2018. Ongeveer 13,4 miljoen gevoelige bestanden lekten uit en onthulden gevoelige financiële transacties van wereldwijde bedrijven en superrijke individuen van over de hele wereld. Ten minste de helft van deze bestanden, ongeveer 6,8 miljoen, was afkomstig van Appleby, een offshore juridische dienstverlener.

Een soortgelijke aanval vond plaats in de zomer van 2018, toen Deep Root Analytics de persoonlijke gegevens van ongeveer 200 miljoen kiezers lekte. Deep Root is een marketingbureau dat wordt gebruikt door zowel de Republikeinse als de Democratische partijen. De inbreuk was het gevolg van het feit dat het bedrijf de gegevens per ongeluk op een server had geplaatst die publiekelijk toegankelijk was.

Hoewel dat een relatief klein bedrijf is met slechts zo'n 50 medewerkers, hebben zich vergelijkbare incidenten voorgedaan bij grotere organisaties. In het geval van de Verizon-inbreuk plaatste Nice Systems 6 miljoen klantrecords op een openbare Amazon S3-opslagserver. De records bestonden uit zes maanden aan oproeplogboeken van de klantenservice. Ze bevatten persoonlijke en accountgegevens. Nice heeft meer dan 3.500 medewerkers.

Deloitte, met meer dan 250.000 medewerkers, heeft te maken gehad met een soortgelijk datalek. In september 2018 kregen hackers toegang tot vertrouwelijke plannen en e-mails van enkele van zijn blue-chip klanten. De maas in de wet was in dit geval zwakke toegangscontroles op een van zijn beheerdersaccounts.

Voor grote bedrijven kan de beveiliging intern waterdicht zijn. Dit is echter misschien niet waar, zelfs niet voor IT-systemen van leveranciers. Dat lijkt afgelopen herfst te zijn gebeurd bij Domino's Pizza in Australië. Volgens de toenmalige berichten was het incident het gevolg van de zwakke cyberbeveiligingssystemen van een voormalige leverancier. Als gevolg hiervan lekte het systeem namen en e-mailadressen van klanten. De inbreuk kwam pas aan het licht toen getroffen klanten gepersonaliseerde spam-e-mails begonnen te ontvangen. Hoewel Domino's volhield dat er geen kwaadwillende hack van persoonlijke gegevens was en dat zijn systemen geen schuld hadden, was de schade al aangericht.

Een andere maas in de wet waar cybercriminelen misbruik van kunnen maken, zijn internet of things (IoT)-sensoren. Veel ondernemers zijn alert op computer-, telefoon- en netwerkbeveiligingsrisico's. Maar ze zien vaak IoT-apparaten over het hoofd, waardoor aanvallers de bedrijfssystemen kunnen binnendringen.

Deze apparaten hebben sensoren die ze voor communicatiedoeleinden met internet verbinden. Ze komen veel voor in toeleveringsketens, omdat ze onder andere kunnen helpen bij het voorspellen van machinestoringen en voorraadbeheer. Ondanks hun functionele waarde zijn ze een populaire aanvalsvector die aanvallers toegang kan geven tot gevoelige gegevens en sabotage- en botnetaanvallen kan vergemakkelijken.

Een voorbeeld van een dergelijke aanval maakte gebruik van een botnet dat bekend staat als Mirai om Dyn, een bedrijf dat domeinnaamservices levert aan onder meer Reddit, Netflix en Github, in gevaar te brengen. Mirai is een IoT-specifiek botnet dat is ontworpen om DDOS-aanvallen (Distributed Denial of Service) uit te voeren.

Bovenstaande voorbeelden bevestigen het feit dat aanvallers een zwakke schakel in uw supply chain kunnen gebruiken om toegang te krijgen tot systemen. Helaas kunt u geen directe controle uitoefenen over de beveiligingsmaatregelen die uw ketenpartners implementeren. Maar uiteindelijk maakt het klanten niet uit hoe je bent gecompromitteerd. Ze willen gewoon weten dat hun gegevens veilig zijn. En dit legt de verantwoordelijkheid voor het zorgen voor strakke beveiliging in uw handen.

Due diligence bij het beoordelen van beveiligingssystemen van derden en hun privacybeleid is essentieel. Zoals we hebben gezien, kunnen grote en kleine organisaties ten prooi vallen aan deze tactieken. Ongeacht de grootte van uw partners, het is essentieel om hun toewijding aan beveiliging te beoordelen.

Maak er een topdoelstelling van om te beoordelen waar uw zwakke punten liggen, en geef prioriteit aan het dichten van alle mazen.

Olivia Scott is marketingmanager bij VPNpro.com.