Was ist SecOps (Security Operations)?

DevOps – eine Methodik, die Entwicklung (Dev) und Betrieb (Ops) zusammenführt – hat die Softwareentwicklung zum Besseren verändert. Softwareteams, die den DevOps-Ansatz verfolgen, können ihre Prioritäten koordinieren und miteinander kommunizieren, um qualitativ hochwertige Arbeit zu leisten und die Markteinführung zu beschleunigen. 

Die Sicherheit war kein Schwerpunkt der DevOps-Idee. Aber da sich die Cyberbedrohungslandschaft zunehmend ausweitet und Cyberangriffe und Datenschutzverletzungen immer häufiger vorkommen, beziehen Softwareteams Sicherheitsaspekte inzwischen auch ihr DevOps-Ökosystem mit ein. SecOps ist ein neuer Ansatz der Softwareentwicklung, bei dem Sicherheits- und Betriebsteams zusammenarbeiten, um zu gewährleisten, dass die Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung (SDLC) berücksichtigt wird. Der Ansatz „operationalisiert“ die Sicherheit, um die Softwareumgebung zu stärken, damit Unternehmen sowohl ihre Anwendungssicherheit als auch ihre Leistungsziele zu erreichen. 

Was sind SecOps?

SecOps hat sich zum Teil als Folge der erheblichen Vorteile von DevOps entwickelt. Wie DevOps vereint auch SecOps zwei bisher getrennte Prozesse. Während DevOps die Entwicklung mit dem Betrieb verbindet, verbindet SecOps die Sicherheit mit dem Betrieb

SecOps fördert die Zusammenarbeit zwischen diesen Teams während des gesamten SDLC. Ihr übergeordnetes Ziel ist es, ein sicherheitsbewusstes Team zusammen zu stellen und sicherzustellen, dass die Anwendungssicherheit nicht zugunsten von Entwicklungszeiten, Betriebszeit oder Leistung geopfert wird.  

So funktioniert SecOps 

Das Ziel von SecOps ist durch die Vereinigung von der Sicherheit mit dem Betrieb, Schwachstellen zu beseitigen und Risiken zu verringern und gleichzeitig die Flexibilität des Unternehmens beizubehalten. Um über diese Zusammenarbeit zu informieren und sicherzustellen, nutzt SecOps die Prozesse, Tools, Praktiken und das Personal des Security Operations Center (SOC). 

Viele Unternehmen richten ein spezielles SOC ein, in dem die Teammitglieder zusammenarbeiten: 

  • Überwachung der gesamten IT-Umgebung, einschließlich lokaler Anlagen und der Cloud-Infrastruktur 
  • Sammeln von Bedrohungsdaten, d.h. evidenzbasiertes und kontextbezogenes Wissen über mögliche Bedrohungen und die Bedrohungswerkzeuge, Ziele, Motive und das Angriffsverhalten der Angreifer 
  • Implementierung von Maßnahmen, um schädlichen Auswirkungen eines Sicherheitsvorfalls zu minimieren
  • Durchführung digitaler Forensik, um die Ursache eines Vorfalls zu finden, die Cyberabwehr des Unternehmens zu stärken und einen wiederholten Angriff zu verhindern

Das Ziel von SecOps ist es, Sicherheitsmaßnahmen frühzeitig und in jeder Phase des SDLC einzuführen, indem wichtige Sicherheitsaufgaben automatisiert werden. Dadurch können stärkere Sicherheitspraktiken entwickelt werden und alle SDLC-Prozesse von Anfang bis Ende sicher und geschützt ablaufen. Mit dem SecOps-Ansatz wird bei allen am SDLC beteiligten Personen eine sicherheitsorientierte Denkweise eingeführt. Der Grundgedanke ist, die Sicherheit bereits zu Beginn des SDLC zu berücksichtigen und nicht erst später während der Tests oder kurz vor der Freigabe. Ein „Big Bang“-Testansatz führt oft dazu, dass Schwachstellen nicht behoben werden und das Risiko eines Angriffs oder einer Sicherheitsverletzung steigt. Im Gegensatz dazu konzentriert sich SecOps auf die frühzeitige Erkennung, Priorisierung und Behebung von Schwachstellen. Aus diesem Grund warten die Teams nicht damit, das gesamte Programm auf einmal zu testen. Stattdessen überprüfen sie regelmäßig kleinere Arbeitseinheiten und beheben Probleme sofort – oft mit Hilfe von automatisierten Tools und Prozessen. 

Warum Unternehmen SecOps brauchen  

Bevor es SecOps gab, waren Sicherheit und Betrieb getrennt und sie haben entweder gar nicht oder nur wenig miteinander kommuniziert und zusammen gearbeitet. Das Entwicklungsteam erstellte die Systeme, das Betriebsteam betrieb und wartete sie, und das Sicherheitsteam sicherte sie ab. Dieser isolierte Ansatz hat sich in der Vergangenheit bewahrt, weil die Entwicklungszyklen länger waren, die Märkte weniger dynamisch und die Kunden weniger anspruchsvoll waren. Vor allem gab es kaum Sicherheitsbedenken. Die Zeiten haben sich jedoch geändert, sodass dieser veraltete Ansatz nicht mehr funktioniert. 

Heutzutage gehören Cyber Vorfälle zu den größten Sorgen globaler Unternehmen, 44% der Unternehmen machen sich mehr Sorgen über mögliche Cybersecurity Angriffe als über Unterbrechungen des betrieblichen Ablaufs (42%) oder Naturkatastrophen (25%). Zudem können Cyber Kriminelle erfolgreich in 93% der Unternehmensnetwerke eindringen, um Zugriff zu internen  Netzwerk Ressourcen zu erlangen. Diese Tatsachen zeigen, dass Unternehmen Sicherheit nicht länger als „nachträglichen“ Bestandteil des SDLC-Prozesses zu betrachten können. 

Wenn man mit der Durchführung von Sicherheitstests viel später im SDLC wartet, entstehen Sicherheitslücken, die das Unternehmen anfällig für alle Arten von Cyberangriffen machen. Entwicklungsteams müssen diese Lücken schließen, um das Unternehmen zu schützen. Dies erfordert jedoch Zeit und dadurch verlängern sich wiederum die Veröffentlichungszyklen und die Markteinführung verzögert sich. Einige prüfen die Schwachstellen nicht und veröffentlichen die Anwendung so, wie sie ist, um die Zeit bis zur Markteinführung zu verkürzen. Dies führt jedoch zu einem unsicheren Produkt, das Kunden und dem Ruf des Unternehmens schaden kann. 

Ein kombiniertes Sec+Ops-Team kann die Sicherheit in jeder Phase des SDLC überwachen und sicherstellen, dass das Endprodukt sicher ist. Der SecOps-Ansatz gewährleistet auch eine schnellere und proaktivere Sicherheitsreaktion und schützt so die Anwendung, das Unternehmen und seine Kunden. 

Aus all diesen Gründen sollten alle modernen Unternehmen die Einführung von SecOps in Betracht ziehen. 

Die Vorteile von SecOps 

Durch die Beseitigung der Silos zwischen dem Betriebs- und dem Sicherheitsteam und durch die Einrichtung eines speziellen SOC, SecOps: 

  • Sichere Technologie- und Entwicklungsumgebungen 
  • Macht Sicherheitslücken schnell sichtbar
  • Teamübergreifende Zusammenarbeit: Sicherheitsrelevante Probleme können damit schnell gelöst werden
  • Weniger Konfigurationsfehler und weniger Unterbrechungen der Anwendung, da  Codeänderungen mit Bereitstellungsregeln miteinander verknüpft werden
  • Informiert über Risikomanagement-Prozesse und trägt zur Stärkung der Unternehmenssicherheit bei

Durch SecOps wird die Sicherheit als auch den Betrieb optimiert, um ein Gleichgewicht zwischen Anwendungssicherheit, Leistung, Zuverlässigkeit und Integrität herzustellen. Dadurch wird der Betrieb effizienter und die Anzahl an Ausfallzeiten sowie Konformitätsfehler geringer. Somit wird eine sicherere Entwicklungsumgebung und einer verbesserten Erfahrung der User geschaffen. 


Mit einem SecOps-Ansatz können Teams die Sicherheit von Anfang an in die Entwicklungsumgebung integrieren und so sicherstellen, dass das Endprodukt frei von den meisten – und wenn möglich allen – Schwachstellen ist. Außerdem können sie Sicherheitsrichtlinien proaktiv überprüfen und anwenden, um Sicherheitsvorfälle zu verhindern und Probleme schnell zu beheben. Darüber hinaus können diese Richtlinien als „policies-as-code“ definiert und automatisch und global auf jede IT-Ressource angewendet werden. Dieser Ansatz schützt das Unternehmen kontinuierlich vor Bedrohungen und trägt gleichzeitig dazu bei, das Innovationstempo beizubehalten. 

SecOps verbessert die Kommunikation und den Informationsaustausch zwischen den Teams, so dass sie besser erkennen können, ob Schwachstellen vorhanden sind, Abhilfemaßnahmen in Echtzeit umsetzen können und anschließend auf Zwischenfälle reagieren können. Zudem wird die IT-Hygiene insgesamt verbessert. Außerdem können SecOps auch viele Sicherheitsprozesse automatisieren, um die Teams zu entlasten und gleichzeitig die Entwicklungsumgebung sicherer zu gestalten.

Schlüsselrollen in einem SecOps-Team 

Bei SecOps sind die Sicherheitsabläufe in den gesamten SDLC des Unternehmens integriert.
Außerdem ist Jede/r  für die Sicherheit verantwortlich, nicht nur das Sicherheitsteam. Jeder, der im SDLC eine Rolle spielt, ist in SecOps eingebunden und arbeitet bei jedem Schritt mit, um Schwachstellen so früh wie möglich zu finden und zu beheben. 

Mehrere spezielle Rollen helfen bei der Umsetzung der SecOps-Prinzipien und helfen bei der Umsetzung von SecOps in Unternehmen. Diese Funktionen sind:

  • SOC Manager 
  • Security Engineer 
  • Security Analyst 
  • Incident Responder 
  • Security Investigator 

Bewährte Praktiken zur Implementierung von SecOps 

Wie bereits erwähnt, wurde beim traditionellen Entwicklungsansatz nicht viel Wert auf die Sicherheit gelegt, da die Teams nur dann darüber nachdachten, wenn sie ein Problem entdeckten. Im Gegensatz dazu ist die Sicherheit bei SecOps in den SDLC integriert und schützt zuverlässig vor Cyber-Bedrohungen. Da SecOps eine so wichtige Rolle im SDLC spielt, ist es hilfreich, diese Best Practices bei der Integration dieses Ansatzes zu berücksichtigen: 

Definieren des SecOps-Bereichs 

Unternehmen sollten ihre Sicherheitsanforderungen und bestehenden Sicherheitslücken bewerten, um festzustellen, welche Funktionen in den Anwendungsbereich der SecOps fallen. Das Scoping ist nützlich, um Prioritäten zu setzen und festzustellen, ob bestimmte Sicherheitsaufgaben an ein externes Team oder Unternehmen ausgelagert werden können. 

SecOps-Schulungen anbieten

Effektive SecOps erfordern ein sachkundiges und qualifiziertes SecOps-Team, als ein einheitliches Team arbeiten kann und dessen Erfolg greifbar gemacht werden kann. Und dafür sind Schulungen unerlässlich. Für die Vermittlung dieser Schulungen kann das Unternehmen entweder externe Teams engagieren und Kurse von Dritten in Anspruch nehmen oder eigene SecOps-Kurse entwickeln. 

In SecOps-Tools investieren 

Die richtigen Arten von Sicherheitstools sind entscheidend für den Erfolg von SecOps. Diese Werkzeuge schützen die Organisation und stellen sicher, dass das SDLC reibungslos und sicher läuft. 

Durchführung von Übungen des roten und des blauen Teams 

Threat Intelligence ist ein wichtiger Bestandteil von SecOps. Die Fähigkeiten des SOC-Teams im Bereich der Bedrohungsanalyse können durch Übungen des roten und des blauen Team verbessert werden. Wenn diese Teams dann noch mit dem richtigen Werkzeugen ausgestattet sind, können sie das Unternehmen umfassend schützen. 

Die Herausforderungen von SecOps

Da Sicherheitsrisiken immens zugenommen haben und Unternehmen gezwungen sind, in einer komplexen Bedrohungslandschaft zu operieren, bietet SecOps zahlreiche Vorteile für Unternehmen jeder Größe. Und doch versäumen es viele, diese Methodik zu implementieren, um die Sicherheit während des gesamten SDLC zu erhöhen. Der Grund dafür ist, dass SecOps leider gewisse Herausforderungen mit sich bringt. Zum Glück können Unternehmen diese Herausforderungen mit automatisierten und hochmodernen Tools und Lösungen wie ForeNova NovaCommand und Managed Detection and Response meistern.

Ausbreitung hochentwickelter Cyber-Gangs 

Laut einer aktuellen Studie mit 500 CISOs und anderen Leitern im Security Bereich, gab die Mehrheit aller SecOps-Spezialisten an, dass Ransomware die größte Bedrohung für ihr Unternehmen darstellt. Dieses Ergebnis ist nicht überraschend, da 85 % von ihnen in den letzten 5 Jahren von einem Ransomware-Angriff betroffen waren und 98 % dieser Angriffe zu Betriebsausfällen, Datenverlusten und kostspieligen Geldstrafen führten. 

Neben den Ransomware-Banden machen sich viele Unternehmen auch Sorgen über Phishing, Social Engineering, Datenexfiltration und Angriffe auf die Lieferkette. All diese Bedrohungen in Kombination mit mehreren aufsehenerregenden Angriffen im Jahr 2021 gehören zu den größten Herausforderungen für SecOps-Teams. 

Fachkräftemangel

Unternehmen brauchen dringend erfahrenes SecOps Personal, um die zunehmenden, immer komplexer werdenden Sicherheitsbedrohungen abwehren zu können. Doch genau das schaffen viele Unternehmen nicht. Es besteht ein enormer Mangel an qualifiziertem Cybersicherheitspersonal, insbesondere in den Bereichen Endpunktsicherheit, Datensicherheit und Netzwerksicherheit. 

Außerdem ist die Fluktuationsrate bei den SecOps aufgrund der geringen Arbeitszufriedenheit und des hohen Burnouts sehr hoch. Durch diese Probleme und dem daraus resultierenden, ernsthaften Mangel an erfahrenen Personal, können reale Sicherheitsbedrohungen und Schwachstellen nicht ausreichend analysiert werden. Solche Engpässe hindern Unternehmen daran, Sicherheitsoperationen effektiv durchzuführen. In einer  SANS Umfrage aus dem Jahr 2021 gaben 61 % der Befragten an, dass der Mangel an Fachkräften ihr größtes SecOps-Problem ist. Durch diese Engpässe können Unternehmen Sicherheitsoperationen nicht effektiv durchgeführen. 

Komplexe hybride Umgebungen 

Moderne IT Umgebungen von Unternehmen sind nicht länger durch Perimeter-Firewalls und On-Premise Ressourcen eng definiert. Stattdessen verfügen viele Unternehmen heute über hybride Umgebungen, die sowohl lokale als auch Cloud-basierte Ressourcen sowie Remote-Mitarbeiter, mobile Geräte und sogar Schatten-IT umfassen. 

Diese neuartigen Entwicklungen stellen Unternehmen weltweit vor zahlreiche Sicherheitsherausforderungen. Zum einen muss das Sicherheitspersonal darüber nachdenken, wie es sowohl lokale als auch Ressourcen in der Cloud schützen kann. Sie müssen auch die User schützen, von denen viele von außerhalb des Sicherheitsbereichs der Unternehmens arbeiten. Alle diese Faktoren sind leichter gesagt als getan. 

Fehlende Automatisierung 

Wenn die IT Infrastruktur größer und komplexer wird, wird es gleichzeitig schwieriger die Unternehmenssicherheit manuell abzusichern. Die Überprüfung und die Bearbeitung von Warnmeldungen, die von Sicherheitstools wie SIEM-Plattformen ausgelöst wurden, gehört zu dieser Absicherung. Alle scheinbar einfachen Aufgaben sind für die Durchführung von Cybersicherheitsmaßnahmen unerlässlich. 

Automatisierte Lösungen können die Anzahl an manuellen Aufgaben verringern und die Effektivität von SecOps erhöhen. Mit guten, automatisierten Tools können SecOps-Teams auch mit großen Mengen an Ereignissen und Protokolleinträgen, die von überwachten Systemen erzeugt werden, Schritt halten. Diese Tools können ihnen zudem helfen, Warnungen zu sortieren und entsprechend zu handeln, um Bedrohungen abzuwehren und das Unternehmen kontinuierlich zu schützen. 

Bewältigung dieser Herausforderungen mit der NovaCommand Security Plattform und Managed Detection and Response (MDR) 

ForeNovas NovaCommand und MDR sind zwei leistungsfähige Möglichkeiten zur Überwindung von SecOps-Einschränkungen und zur Erzielung von SecOps-Vorteilen. NovaCommand kompensiert beschränkte Ressourcen von Unternehmen und reduziert die Arbeitsbelastung für SecOps-Teams. Diese einheitliche Sicherheitsplattform bietet eine RESTful API, mit der SecOps-Spezialisten effektive Playbooks erstellen und automatisch auf Bedrohungen reagieren können. 

Unterstützt von Tausenden von Netzwerksignalen und über 800 KI-Modellen überwacht NovaCommand Bedrohungen – auch versteckte – im gesamten Netzwerk. Darüber hinaus werden die Datenerfassung und -verarbeitung automatisiert, und Warnmeldungen werden innerhalb von Minuten oder Stunden statt Tagen bearbeitet. Es lässt sich auch in bestehende Lösungen integrieren, um nahtlose SecOps zu gewährleisten. Damit bietet NovaCommand einen umfassenden und kontinuierlichen Schutz für alle Arten von Organisationen. 

Organisationen, die nicht über die Ressourcen oder Mittel verfügen, um eine formelle SecOps-Funktion einzurichten, können auch von den Vorteilen des ForeNova’s Managed Detection and Response Services profitieren. MDR setzt erstklassige Sicherheitstechnologien und -experten ein, um eine kontinuierliche Überwachung von Unternehmensendpunkten, Netzwerken, Cloud und Identitäten rund um die Uhr zu gewährleisten. 

  • Es erkennt und reagiert sogar auf versteckte und hoch komplexe Cyberangriffe, während es gleichzeitig die Arbeitsbelastung der IT-Teams verringert und den Mangel an Fachkenntnissen im Unternehmen ausgleicht. Unternehmen, die ForeNova MDR einsetzen, können ihre Sicherheitsabläufe stärken und ihre Assets vor einer sich ständig erweiternden Bedrohungslandschaft schützen. 

Wichtige SecOps Tools 

Ein „mehrschichtiger“ Sicherheitsansatz ist für den Erfolg von SecOps unerlässlich. Zusätzlich zu den Standard-Perimeter-Verteidigungssystemen wie Firewalls und VPNs benötigen die heutigen SecOps-geführten Unternehmen auch ausgefeiltere Tools, um die Verteidigung zu verstärken, Ressourcen zu schützen und proaktiv auf Cyber-Bedrohungen und Risiken zu reagieren.

Dazu gehören: 

  • DNS Security Plattformen um zu verhindern, dass Angreifer die DNS des Unternehmens auszunutzen, um Unternehmensressourcen zu kompromittieren und Daten zu exfiltrieren oder darauf zuzugreifen 
  • Anti-Phishing Tools zur Analyse und Entschärfung von E-Mail-basierten Bedrohungen 
  • Plattformen zur Datenerfassung um sensible Daten zu entdecken und zu sichern 
  • Network Detection and Response (NDR) um den typischen Netzwerkverkehr auf verdächtige Verhaltensweisen zu analysieren und zur Erkennung und Reaktion auf Bedrohungen im Netzwerk durch maschinelles Lernen und durch Datenanalysen
  • Tools zur Erfassung und Speicherung von Paketen um Datenpakete zu analysieren und das gesamte Ausmaßes eines Cyberangriffs oder einer Datenverletzung zu untersuchen
  • Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) sollten neben SIEM-Plattformen (Security Information and Event Management) und EDR-Tools (Endpoint Detection and Response) ebenfalls ein Schlüsselelement des mehrschichtigen Sicherheitsansatzes in SecOps sein. Dadurch können Sicherheitsteams Bedrohungen nach einer ersten Kompromittierung, aber noch vor einem Einbruch, erkennen und beseitigen und so die Abwehr des Unternehmens – auch gegen fortgeschrittene Bedrohungen – stärken.

Unternehmen haben auch die Möglichkeit Sicherheitsrichtlinien als Code zu implementieren, um ihre Assets vor Bedrohungen zu schützen. Außerdem sollten sie Tools einführen, die die Verfolgung von Sicherheitsvorfällen standardisieren und die automatische Identifizierung, Priorisierung und Behebung von Vorfällen über eine einzige zentrale Plattform unterstützen. 

Automatisierte Tools sind ein entscheidendes Element eines SecOps-Programms. Durch die Automatisierung werden menschliche Analysten von manuellen Aufgaben entlastet und können sich stattdessen auf wichtige SecOps-Strategien konzentrieren. Zudem können sie dadurch verschiedene Arten von Bedrohungen priorisieren und die bestmöglichen Abhilfestrategien für bestehende und neue Risiken umsetzen. 

Zumindest sollte ein SecOps-Programm automatisierte Tools für die folgenden Punkte erhalten: 

  • Erkennung, Reaktion und Analyse von Zwischenfällen 
  • Analyse der Landschaft  
  • Gamifizierung von Sicherheitsschulungen 

Fazit

SecOps hat sich schnell zu einer wichtigen SDLC-Praxis in allen Arten von Unternehmen entwickelt. In den kommenden Jahren werden sich Unternehmen verstärkt auf das proaktive Threat Hunting konzentrieren, Erfolgsmetriken für ihre SOCs entwickeln sowie KI und maschinelles Lernen als Grundlage für ihre SecOps-Strategien nutzen. Sicherheits- und Betriebsteams werden diese Funktionen nutzen, um sich optimal untereinander abzustimmen und ihren Kunden sicherere Lösungen zu bieten. 

Was sind Angriffe auf Lieferketten (Suppy Chain Angriffe)?

Im Dezember 2020 wurde bekannt, dass der amerikanische Softwareentwickler SolarWinds Opfer eines schweren Cyberangriffs wurde. Der Angreifer installierte eine Hintertür in den Software-Updates seiner Orion-Plattform. Durch diese Hintertür erlangten die Angreifer einen direkten Zugang zu den Computer Netzwerken von 18.000 Orion Kunden. Dazu gehören die höchsten Ränge der US-Regierung und einige der größten Unternehmen der Welt.

“Aus softwaretechnischer Sicht kann man wohl mit Fug und Recht behaupten, dass dies der größte und raffinierteste Angriff ist, den die Welt je gesehen hat.“

Microsoft Präsident Brad Smith.

Der SolarWinds Vorfall ist ein Beispiel für einen schnell wachsende und gefährliche Art von Cyber Attacken, bekannt unter dem Begriff Supply Chain Angriffe oder Angriffe auf die Lieferkette.

Was sind Angriffe auf die Lieferkette?

Ein Angriff auf die Lieferkette ist ein Cyberangriff, bei dem sich ein Bedrohungsakteur illegal Zugang zum Computernetzwerk eines Unternehmens verschafft, indem er einen Drittanbieter oder Partner mit Zugang zum Netzwerk ins Visier nimmt.

Wie Angriffe auf die Lieferkette ablaufen

Angriffe auf die Lieferkette nutzen das Vertrauensverhältnis zwischen einem Unternehmen und seinen Dritten aus. Die Angreifer ermitteln zunächst die Lieferanten und Partner der IT-Infrastruktur eines Ziels, z. B. dessen Software und Netzwerkgeräte. Die Drittpartei wird dann angegriffen und das an die Zielorganisation gelieferte Produkt wird manipuliert. Dadurch erhalten Angreifer ungehinderten Zugang zum Zielnetz. Die dritte Partei dient als Angriffsvektor (Eintrittspunkt), um in höherwertige Ziele einzudringen. Dabei handelt es sich meist um große Unternehmen und Regierungsbehörden. Die Angreifer operieren innerhalb des Zielnetzes, um größere Angriffe durchzuführen, wie zum Beispiel Ransomware Angriffe, Datenexfiltration und Cyberspionage.

Arten von Angriffen auf die Lieferkette

Software Supply Chain Angriffe

In einem Software Supply Chain Angriff, nutzen die Bedrohungsakteure die Software-Anbieter ihrer Ziele aus. Das geschieht durch die Beeinträchtigung von Phasen im Lebenszyklus der Software Entwicklung. So wie bei dem SolarWinds Angriff werden Software Updates häufig zur Zielscheibe. Die Angreifer verschaffen sich zunächst Zugang zum Update-Server der Software und injizieren bösartigen Code in das Software-Update-Paket. Wenn das Zielunternehmen die veränderten Updates anschließend herunterlädt und installiert, erhalten die Angreifer einen direkten Zugang zum Netzwerk. Durch die scheinbar vertrauenswürdigen digitalen Signaturen der Software-Updates können sie sich der Erkennung durch Sicherheitstools leicht entziehen. Der SolarWinds-Angriff ist einer der weitreichendsten Angriffe auf die Software-Lieferkette in der Geschichte.

Supply-chain-update

Managed Service Provider (MSPs) werden häufig als Dreh- und Angelpunkt für die Angriffe auf die Software-Lieferkette genutzt. MSPs sind Drittparteien, die die IT-Infrastruktur und die Netzwerkgeräte anderer Unternehmen aus der Ferne verwalten. Sie stellen Software und Hardware in der Umgebung ihrer Kunden bereit, wodurch sie einen umfassenden Zugang und Einblick in das Netzwerk erhalten. Das macht MSPs attraktiv für Angreifer, um ihre Kunden zu infiltrieren. Ein Beispiel eines Angriffs auf ein MSP ist der Kaseya Ransomware Angriff im Jahr 2021.

Hardware Supply Chain Angriffe

Hardware Supply Chain Angriffe ist eine weniger verbreitete Art der Angriffe auf die Lieferketten.  Bei einem Angriff auf die Hardware-Lieferkette werden die Komponenten von Netzwerkgeräten manipuliert. Sie sind daher schwierig durchzuführen und erfordern häufig einen staatlichen Akteur. Obwohl hardwarebasierte Angriffe selten sind, können die Folgen schwerwiegend sein. Manipulierte Bauteile sind extrem schwer zu entdecken und können jahrelang verborgen bleiben.  Beispielsweise können Netzwerkgeräte mit Chips ausgestattet sein, die Daten kopieren und aus dem Netzwerk senden. Unternehmen, die Opfer von Angriffen auf die Hardware-Lieferkette werden, können unter groß angelegten Datenverletzungen und langfristiger Spionage leiden. 

Angriffe auf die Lieferkette sind auf dem Vormarsch

Angriffe auf die Lieferkette gehören zu den am schnellsten wachsenden Cyber-Bedrohungen. In den letzten Jahren erregten spektakuläre Angriffe die Aufmerksamkeit der Öffentlichkeit.

Supply-chain-attack

(Quelle der Infographik: ENISA)

Warum nehmen die Angriffe auf die Lieferketten zu?

Die Cybersicherheitstechnologien haben sich in den letzten Jahren als Reaktion auf die fortschrittlichen Tools und Techniken der Angreifer rasch weiterentwickelt. Große Unternehmen und Regierungsbehörden, die die Hauptziele von Angriffen auf die Lieferkette sind, haben mehrschichtige Abwehrsysteme aufgebaut. Viele dieser Unternehmen und Regierungsbehörden haben eigene und engagierte IT Security Teams und/oder nehmen Managed Security Services (MSS) in Anspruch. Diese Maßnahmen stärken die Sicherheitslage dieser Organisationen und machen es viel schwieriger, in sie einzudringen. Die Angreifer müssten neue Werkzeuge und Techniken entwickeln und neue Angriffsstrategien planen. Das kostet Zeit und Geld und verringert die Chancen eines Angriffs.

Kleinere Drittanbieter und Partner hingegen verfügen in der Regel über weniger fortschrittliche Cybersicherheitstechnologien. Möglicherweise haben auch kein eigenes Sicherheitsteam. Dies macht Drittorganisationen zu idealen Sprungbrettern, von denen aus ein Angriff gestartet werden kann.

Beispiele von Angriffen auf die Lieferketten

Neben dem SolarWinds-Angriff gab es eine Reihe bemerkenswerter Angriffe auf die Lieferkette, die auf Software- und Hardware-Lieferanten abzielten.

Der Ransomware Angriff auf Kaseya

Kaseya-supply-chain-attack

Im Juli 2021 wurde der IT-Softwareentwickler Kaseya Opfer eines Ransomware-Angriffs auf die Lieferkette. Die Ransomware-Gruppe REvil nutzte einen Fehler in Kaseya VSA aus, einer bei MSPs beliebten Software zur Fernüberwachung und -verwaltung. Die Schwachstelle ermöglichte es dem Angreifer, die Authentifizierung zu umgehen und Code auf VSA-Servern auszuführen. Der Angriff betraf etwa 60 direkte Kaseya VSA-Kunden und 1.500 Downstream-Kunden.

Codecov

Codecov-supply-chain-attack

Im April 2021 meldete das US-Technologieunternehmen Codecov, dass es Opfer eines Angriffs auf die Lieferkette geworden war. Der Hackergruppe gelang es, die Software-Testplattform des Unternehmens zu verändern, die weltweit über 29 000 Kunden nutzen. Auf diese Weise konnten die Angreifer sensible Informationen wie Quellcodes und Geheimnisse von CodeCovs Kunden stehlen.

Massenmanipulation von Hardware durch die NSA

hardware-supply-chain-attack

Im Mai 2014 brachte das Buch „No Place to Hide“ (Kein Ort zum Verstecken) Licht ins Dunkel der Massenüberwachung durch die NSA. In dem Buch wird behauptet, dass die NSA routinemäßig Netzwerkgeräte wie Router und Server, einschließlich derer von Cisco, empfangen oder abgehört hat. Die NSA hat die Geräte mit Backdoor-Überwachungstools ausgestattet, bevor sie an Kunden in aller Welt ausgeliefert wurden.

Schutz vor Angriffen auf die Lieferkette mit NDR

Da die Produkte von Drittanbietern als vertrauenswürdig gelten, reichen Abhilfemaßnahmen allein nicht aus, um Angriffe zu verhindern. Benötigt wird ein Tool, das die Aktivitäten des Angreifers aufspüren kann, sobald er in das Netzwerk eingedrungen ist.

Dabei handelt es sich um das Tool Network Detection and Response.

Network Detection and Response (NDR) ist eine Netzwerksicherheitstechnologie, die den Netzwerkverkehr analysiert, um Cyber-Bedrohungen zu erkennen. NDR Lösungen wie NovaCommand sind so genannte anomaliebasierte Erkennungswerkzeuge. Diese Tools nutzen maschinelles Lernen, um Grundlinien normaler Netzwerkaktivitäten zu erstellen und zu lernen. Die KI-gestützte Verhaltensanalyse analysiert den Netzwerkverkehr in Echtzeit und vergleicht die Ergebnisse mit diesen Baselines. Erkannte Anomalien werden mit Aktivitäten auf anderen Netzwerkgeräten korreliert, um mehr Kontext zu liefern. Bei Bedrohungen der Lieferkette kann NDR speziell die Infrastruktur der Lieferkette, wie z. B. Software-Server, überwachen, um unregelmäßiges Verhalten zu erkennen. Glaubwürdige Bedrohungen werden zur weiteren Untersuchung und Reaktion auf Vorfälle gemeldet oder durch Automatisierung behoben.

Mit dieser Methode zur Erkennung von Bedrohungen werden die hochgradig ausweichenden Techniken von Bedrohungsakteuren genau identifiziert. Diese werden von signaturbasierten Sicherheitstools wie Antiviren- und Anti-Malwaresoftware nicht erkannt.

Generic-cybersecurity-image

Empfehlung zur Erkennung von Anomalien zum Schutz vor Angriffen auf Lieferketten

Die CISA empfiehlt, dass „eine Organisation ihre kritischen Daten identifizieren und einen Grundriss des Datenflusses zwischen Prozessen oder Systemen erstellen sollte. Verteidiger können Analysen, einschließlich solcher, die auf maschinellem Lernen/künstlicher Intelligenz basieren, einsetzen, um spätere Anomalien in Datenströmen zu erkennen, die frühe Indikatoren dafür sein können, dass ein Bedrohungsakteur eine Schwachstelle ausnutzt.“

Wie man auf einen Angriff auf die Lieferkette reagiert, von Gartner, Inc.

Gartner stellt fest, dass „Angriffe auf die Lieferkette mehrere Angriffstechniken nutzen können. Spezialisierte Technologien zur Erkennung von Anomalien, einschließlich Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und User Behaviour Analytics (UBA), können den breiteren Bereich der Sicherheitsanalyse mit zentralisierten Log Management/SIEM-Tools ergänzen.“