10 Minuten Lesezeit
Sind wir auf bösartige Updates im großen Stil vorbereitet?
Forcepoint Future Insights 2022-Reihe—Teil 2
Willkommen zum zweiten Beitrag unserer Forcepoint Future Insights-Reihe mit Erkenntnissen und Prognosen zur Cyber-Sicherheit, die 2022 zum zentralen Thema werden könnte.
Ein genauerer Blick auf Software-Angriffsvektoren
Natürlich werden sich staatliche Hacker wie auch Hackergruppen in Zukunft weiterhin auf Lieferkettenanbieter in mehreren Branchen konzentrieren. Ich habe schon einmal beschrieben, wie technische Schulden Unternehmen für Angriffe anfällig machen können. Das ist der eine Punkt. Doch wie und wo werden Cyber-Kriminelle neue Angriffe starten? Welche anderen Angriffsvektoren könnten ausgenutzt werden?
Angriffe wie Sunburst, von der REvil-Gruppe verübte Ransomware-Angriffe auf Kaseya und andere Angriffe erregen die Aufmerksamkeit einer großen Öffentlichkeit. Ein Hack aus dem Jahr 2021, über den weniger berichtet wurde, hat mein Interesse geweckt: die vier OMIGOD-Sicherheitslücken im Open Management Infrastructure (OMI) Software-Agenten auf Azure Linux-Geräten.
Die Anzahl der Open-Source-Projekte wächst exponentiell weiter. Es stimmt natürlich, dass sich die Sicherheit von Open-Source-Software in den letzten zehn Jahren stark verbessert hat, und zweifellos werden Patches für Sicherheitslücken in der Open-Source-Software wesentlich schneller entwickelt als zuvor. Das sind gute Nachrichten. Andererseits nimmt die Anzahl der Open-Source-Lieferkettenangriffe dramatisch zu. In seinem Bericht über die Situation in der Software-Lieferkette für 2021 berichtet Sonatype über schätzungsweise 12.000 durchgeführte Angriffe auf Open-Source-Projekte – ein Anstieg von 650 % innerhalb eines Jahres.
Die Wettbewerbsfähigkeit eines Unternehmens scheint immer mehr von der Innovationskraft und konsequenten Ausrichtung auf die Verkürzung von Markteinführungszeiten abzuhängen. Das zwingt große wie auch kleine Unternehmen dazu, Open-Source-Projekte einzuführen. Behörden und Organisationen im privaten Sektor stehen unter dem Druck, Innovationen vorantreiben und Software-Projekte immer schneller bereitstellen zu müssen. Doch das Vorpreschen ohne Rücksicht auf Verluste hat seinen Preis, insbesondere aus Sicht der Cyber-Sicherheit.
Daher ist es für jeden von uns im öffentlichen und privaten Sektor unerlässlich, die Sicherheit unserer Open-Source-Projekte an die oberste Stelle setzen. Bei der Nutzung von Open Source geht es teilweise um Innovation und Markteinführungszeit. Unternehmen müssen jedoch in vielen Phasen eines Projekts Sorgfaltspflichtprüfungen durchführen. Konkret bedeutet das, dass der Code sowohl zu Projektbeginn als auch während der Entwicklungs- und Bereitstellungsprozesse mehrfach geprüft werden muss. Das ist kein einfaches Unterfangen. Und komplizierter als man glaubt, wenn man bedenkt, dass Exploits sowohl von externen Cyber-Kriminellen als auch von internen Projektbeteiligten kommen können.
Wie können wir uns davor schützen?
Eine wichtige Waffe im Kampf gegen bösartige Software-Updates ist der Abbau technischer Schulden. Dies ist der Unterschied zwischen dem „Preis“ (Zeit- und Arbeitsaufwand, technologische Investition), den ein technisches Projekt kosten sollte, um ein perfektes und zukunftsfähiges Produkt zu erhalten, und dem „Preis“, den ein Unternehmen zu zahlen bereit ist. Produkte können aufgrund von verringerten Investitionen leiden, doch die meisten dieser technischen Schulden betreffen die Anwendung von Software-Updates, die zwar häufig übersehen, jedoch absolut notwendig sind.
Obwohl die Chance besteht, dass Angreifer (ob staatliche Hacker oder profitorientierte Kriminelle) Malware über Software-Updates verbreiten, müssen IT-Administratoren darauf achten, dass Updates und Patches angewendet werden, sobald sie verfügbar sind.
Wenn technische Schulden anwachsen, wird Angreifern durch die entstandenen Sicherheitslücken Tür und Tor geöffnet. Die Kombination aus neuen Verbreitungsmethoden für Malware und ungepatchten Sicherheitslücken gibt Anlass zu großer Sorge.
Durch das vermehrte Aufkommen von Hybrid-Arbeitsumgebungen tragen Endbenutzer zudem eine größere Verantwortung für die Anwendung von Patches und die Aktualisierung ihrer Systeme. Dadurch kann es vorkommen, dass Updates erst gar nicht installiert werden oder von unerfahrenen Benutzern vorgenommen werden, die Verhalten akzeptieren, das von IT-Teams als verdächtig eingestuft werden würde. Unternehmensleiter sollten dafür sorgen, dass Cyber-Sicherheitsschulungen und regelmäßige Auffrischungsschulungen durchgeführt werden, damit Mitarbeiter als erste Verteidigungslinie fungieren können.
Solarwinds war nicht der erste Vorfall mit bösartigen Software-Updates, und wird sicherlich nicht der letzte gewesen sein. Wenn das Sicherheitsbewusstsein aller Mitarbeiter im Unternehmen geschärft wird und Patches konsequent angewendet werden, sind Unternehmen gegen Angriffe besser gerüstet.
Taking a closer look at software attack vectors
It's clear that both nation-states and hacker groups alike will continue to target supply chain providers across multiple industries. I’ve written about how technical debt can make organizations vulnerable. That’s one consideration. But how and where are bad actors launching new attacks? What other attack vectors could be exploited?
While attacks like Sunburst, ransomware attacks perpetrated by the REvil group such as against Kaseya and others continue to draw mainstream attention, one lesser-reported hack in 2021 caught my attention: the four OMIGOD vulnerabilities that affect the Open Management Infrastructure (OMI) software agent on Azure Linux machines.
Open source projects continue to grow exponentially. It’s true that open source software security has improved dramatically over the last 10 years, and it’s no question that open source software vulnerabilities are being patched at a much more rapid pace. That’s the good news. But it’s also true that open source supply chain attacks are increasing at an alarming rate. In its 2021 State of the Software Supply Chain report, Sonatype estimates 12,000 attacks on open source projects occurred—representing a 650% increase year over year.
The competitive priority placed on innovation and relentless focus on shortening time-to-market drives organizations large and small to adopt open source projects. Government agencies and private sector organizations alike feel the pressure to innovate and to deploy software projects at an ever-increasing rate. But the adage to ‘move fast and break things’ comes at a cost, especially from a cybersecurity perspective.
As such, it’s imperative for each of us across the public and private sector to prioritize security across every one of our open source projects. Leveraging open source is partly about innovation and time to market. But organizations must perform due diligence at many stages throughout a project. That translates to multiple layers of code review both at the start of a project and throughout the development and deployment process. No small undertaking indeed - and made even more complicated when you consider exploits can come from bad actors outside or via internal resources working on those projects.
How can we protect ourselves?
A key weapon in the fight against malicious software updates is addressing technical debt. This is the difference between the ‘price’ (time, human resources, technology investment) a technical project should cost in order to be perfect and future-proofed, and the “price” an organization is prepared to pay at the time. Products can get behind the curve due to reduced investment, but a lot of this debt centres around applying software updates – absolutely necessary, and so often overlooked.
Even though there is the possibility that malicious actors (whether nation-state or financially-motivated criminal!) may output malware through software updates, IT administrators must keep on top of applying updates and patches as they come in.
If technical debt builds, vulnerabilities and security holes will provide a way in for attackers – and the combination of new malware delivery techniques plus unpatched vulnerabilities causes concern.
In addition, with the increase in hybrid working, end users are having to be more responsible for patching and updating their systems. This could lead to either updates not happening at all, or updates being applied by those unused to the task, meaning they are more likely to accept behavior IT teams would spot as suspicious. Leaders should ensure that cybersecurity training is rolled out and regularly updated, to ensure employees act as a first line of defense.
The Sunburst malware wasn’t the first incident to take advantage of malicious software updates and it certainly isn’t going to be the last, but with company-wide awareness and strong patch management we can raise our defenses.
- Future Insights 2022 eBook
In dem Artikel
- Future Insights 2022 eBookDownload Now
X-Labs
Get insight, analysis & news straight to your inbox
Auf den Punkt
Cybersicherheit
Ein Podcast, der die neuesten Trends und Themen in der Welt der Cybersicherheit behandelt
Jetzt anhören