Advarer mot angrep på leverandører: - Potensialet er massivt

- Ta utgangspunkt i at underleverandører kan bli kompromittert, skriver Nils F. Danielsen i Alv om leverandørkjedeangrep.

Nils F. Danielsen i Alv advarer mot avhengigheter, biblioteker og programvare du ikke selv lager - leverandørkjedeangrep. 📸: Alv
Nils F. Danielsen i Alv advarer mot avhengigheter, biblioteker og programvare du ikke selv lager - leverandørkjedeangrep. 📸: Alv Vis mer

Arbeidshverdagen for de fleste inneholder bruk av en rekke ulike programvarer og tjenester fra forskjellige leverandører.

De aller fleste stoler på tredjepartsprogramvare og -produkter, når det kommer til sikkerhet.

Tillit er jo bra, men for mye tillit kan også få konsekvenser med skadeomfang i drastisk skala, hvis først en tredjepart blir kompromittert av et hackerangrep.

Hva er et leverandørkjede-angrep?

Et leverandørkjedeangrep er et målrettet hackerangrep mot programvare og tjenester, hvor hovedmålet er å utføre skade mot kundene og brukerne av programvaren som blir angrepet.

Ved å finne sårbarheter i et hyllevareprodukt, kan angriperne potensielt bruke sårbarheten til å angripe alle brukere av produktet. Hackere utfører rett og slett angrep mot tredjeparter, for å videre kunne angripe disse virksomhetene målrettet.

Et klassisk eksempel på et leverandørkjedeangrep er om angripere klarer å kompromittere kildekode, byggeprosesser og oppdateringsmekanismer i et produkt. Hackerne kan da infisere «legitime» produkter med skadevare i en ny oppdatering på produktet, uten at leverandøren er bevisst på det. Leverandøren sender da ut oppdateringen til alle sine brukere av produktet. Oppdateringen vil i første øyekast virke legitim, men vil i virkeligheten infisere alle brukerne av produktet. Om produktet er benyttet av nok brukere, vil skadeomfanget kunne være gigantisk.

Dette var tilfellet med SolarWinds-angrepet i 2020, hvor hackere klarte å spre en skadelig programvareoppdatering til SolarWinds sine kunder, gjennom et leverandørkjedeangrep. SolarWinds hadde kunder som blant annet det amerikanske militære og etterretning.

«Dette er nettopp fordi skadepotensialet er så massivt.»

Hvorfor angriper hackerne leverandører?

Leverandører er, og vil fortsette å være, svært attraktive mål for ondsinnede hackere. Dette er nettopp fordi skadepotensialet er så massivt.

Den potensielle skaden er avhengig av hvor mange som benytter programvaren eller tjenesten til den hackede leverandøren, og konsekvensene kan bli multiplisert mange ganger i omfang.

NSMs nyeste trussel- og risikovurdering, Risiko 2023, påpeker også at flere, fremtidige angrepsforsøk på de største selskap og anlegg vil gå igjennom underleverandører (kilde 1). Dette er fordi virksomheter har blitt flinkere til å robustgjøre seg for angrep. Derfor går hackerne til angrep på mer juicy mål, som gjør mer skade for samme innsats.

Hvorfor er skadepotensialet så stort?

Mye av grunnen går på vår tillit til tredjeparter. Altfor lenge har virksomheter stolt på at underleverandører holder sine egne løsninger sikre, noe som hendelser de siste årene viser seg og ikke alltid være tilfelle.

I fjor sommer ble LastPass, leverandøren for en svært mye brukt passordmanager med over 25 millioner brukere, utsatt for et alvorlig hackerangrep. Konsekvensene rundt angrepet er trolig at passordhvelvene til LastPass sine brukere er på avveie.

Leverandører som leverer løsninger hvor hovedmålet er å forbedre sikkerheten, er heller ikke immune mot hackerangrep.

Nå skal det sies at passordmanagere i seg selv er en god løsning for å holde styr på og sikre ulike kontoer, men hvor mye tillit skal man ha til at slike leverandører holder hemmelighetene våre sikre for angrep?

Hvordan kan du beskytte deg mot leverandørkjedeangrep?

Når man tar i bruk programvare- og løsninger gjennom underleverandører, så er man veldig avhengig at disse løsningene er og holdes sikre.

Hvordan vet man at underleverandører er sikre nok, og hvordan skal man klare å beskytte seg mot leverandørkjedeangrep?

Her kommer noen tips:

  • Gjør en grundig vurdering av leverandøren, før man eventuelt tar i bruk programvaren eller tjenesten. Undersøk om leverandøren har eksisterende prosesser for å forsikre seg om at produktet eller tjenesten er sikker. Har leverandøren opplevd noen sikkerhetshendelser tidligere, som tilsier at prosessene for sikring av tjenesten ikke er gode nok?
  • Begrens tilliten til tredjeparter. En virksomhet bør prøve å etablere en zero trust-tilnærming til alle underleverandører. Dette er et rammeverk som spiller på tanken at virksomheten ikke skal stole blindt på noe eller noen.
  • Ta utgangspunkt i at underleverandører kan bli kompromittert, og bygg motstandsdyktighet mot dette. Om en tredjepart blir angrepet, og dette utgjør trusler mot din virksomhet, så er det viktig å ha en beredskapsplan på plass.
  • Ha kontroll på all tredjepartsprogramvare og biblioteker som blir brukt i virksomheten. Påse at tredjepartsprogramvare ikke har eksisterende, kjente sårbarheter, og pass på at de holdes oppdatert til enhver tid.