Cybercriminelen slagen er steeds vaker in om organisaties te infiltreren, niet door rechtstreeks hun kernsystemen aan te vallen, maar door gebruik te maken van de zwakke plekken bij hun leveranciers. Bovendien worden veel van deze incidenten zelfs niet openbaar gemaakt. Volgens Unit 42, het gespecialiseerde team voor dreigingsinformatie en incidentrespons van Palo Alto Networks, is meer dan 25% (specifiek 28%) van de in Europa geanalyseerde gevallen in het afgelopen jaar ontstaan door kwetsbaarheden bij derden.
Het is waarschijnlijk dat dit percentage nog hoger ligt, aangezien veel aanvallen die via externe leveranciers verlopen niet worden opgespoord of gerapporteerd als onderdelen van de supply chain, waardoor het moeilijk is om de reële omvang van het probleem in te schatten.
Chris George, Managing Director EMEA van Unit 42 bij Palo Alto Networks, wijst erop dat onderzoeken zich meestal richten op het beschermen van de getroffen organisatie en het zo snel mogelijk herstellen van de activiteiten, in plaats van het grondig onderzoeken van het initiële aanvalspunt. Hierdoor worden veel incidenten gerelateerd aan de supply chain niet als zodanig herkend, en zijn bedrijven zich niet volledig bewust van het risico dat binnen hun netwerk van leveranciers bestaat.
De perfecte storm: gebruik van AI, toenemende connectiviteit en overmatige afhankelijkheid van kwetsbare derden
De sectoren die het meest worden aangevallen via de supply chain omvatten technologie en financiёle diensten, vanwege de hoge waarde van de gegevens die zij beheren en hun uitgebreide netwerk van leveranciers. Evenzo worden juridische firma’s en professionele dienstverleners vaak doelwitten door hun toegang tot vertrouwelijke informatie van grote corporaties. Luxemerken staan eveneens op de radar van cybercriminelen, die proberen toegang te krijgen tot persoonlijke gegevens van vermogende klanten.
De belangrijkste oorzaken achter deze aanvallen zijn onder andere:
- Uitgebreide digitale ecosystemen: bedrijven maken deel uit van steeds grotere ecosystemen met honderden of duizenden leveranciers, wat het aanvalspaneel vergroot.
- Algoritme van de zwakste schakel: aanvallers maken gebruik van kleinere, minder beveiligde leveranciers om te profiteren van het vertrouwen dat grote bedrijven in hen stellen.
- Economische asymmetrie: het aanvallen van leveranciers is doorgaans makkelijker en sneller dan een directe aanval op een groot bedrijf, wat een zeer aantrekkelijke risico-batenverhouding biedt voor aanvallers.
- Versnelling door AI: ransomware-as-a-service, toegangsmakelaars en AI-tools voor reconnaissance, exploitatie en social engineering maken aanvallen op de supply chain goedkoper en eenvoudiger. Volgens Unit 42 ontstaat er een “perfecte storm” door het gebruik van AI, toenemende connectiviteit en de overmatige afhankelijkheid van kwetsbare derden.
Soorten aanvallen op de supply chain
- Software poisoning: manipulatie van de software-ontwikkelingscyclus door het wijzigen van code, libraries of dependencies voordat het product de eindgebruiker bereikt.
- Hardware manipulatie: het wijzigen van componenten tijdens productie of transport om kwaadaardige elementen te introduceren.
- Bedrijfsproces aanvallen: misbruik maken van de relatie tussen een bedrijf en haar leveranciers of partners om kwaadaardige inhoud te introduceren in ogenschijnlijk legitieme activiteiten.
Cyber-altruïsme als verdedigingsstrategie
Unit 42 beveelt het nemen van een reeks beschermende maatregelen aan, waaronder het in kaart brengen van alle digitale afhankelijkheden, het identificeren van alle leveranciers en verbindingen, het detecteren van zwakke schakels, het opsporen en corrigeren van kwetsbaarheden voordat aanvallers dat doen, en veiligheid verspreiden binnen de keten, door tools, training en beveiliging uit te breiden naar kleinere leveranciers en onderaannemers. Deze maatregelen zouden onderdeel moeten zijn van een strategie van “cyber-altruïsme,” gebaseerd op het pragmatische idee dat grote organisaties de beveiligingscapaciteiten delen met hun kleinere leveranciers, aangezien allen hetzelfde risico-niveau delen.