Alv Logo
Del

Stadig flere selskaper angripes gjennom underleverandører

Arbeidshverdagen for de fleste inneholder bruk av en rekke ulike programvarer og tjenester fra forskjellige leverandører. De aller fleste stoler på tredjepartsprogramvare– og produkter, når det kommer til sikkerhet. Tillit er jo bra, men for mye tillit KAN også få konsekvenser med skadeomfang i drastisk skala, hvis først en tredjepart blir kompromittert av et hackerangrep.

Hva er et leverandørkjedeangrep?

Et leverandørkjedeangrep er et målrettet hackerangrep mot programvare og tjenester, hvor hovedmålet er å utføre skade mot kundene og brukerne av programvaren som blir angrepet. Ved å finne sårbarheter i et hyllevareprodukt, kan angriperne potensielt bruke sårbarheten til å angripe alle brukere av produktet. Hackere utfører rett og slett angrep mot tredjeparter, for å videre kunne angripe disse virksomhetene målrettet.

Et klassisk eksempel på et leverandørkjedeangrep er om angripere klarer å kompromittere kildekode, byggeprosesser og oppdateringsmekanismer i et produkt. Hackerne kan da infisere «legitime» produkter med skadevare i en ny oppdatering på produktet, uten at leverandøren er bevisst på det. Leverandøren sender da ut oppdateringen til alle sine brukere av produktet. Oppdateringen vil i første øyekast virke legitim, men vil i virkeligheten infisere alle brukerne av produktet. Om produktet er benyttet av nok brukere, vil skadeomfanget kunne være gigantisk.

Et klassisk eksempel på et leverandørkjedeangrep er om angripere klarer å kompromittere kildekode, byggeprosesser og oppdateringsmekanismer i et produkt.

Dette var tilfellet med SolarWinds-angrepet i 2020, hvor hackere klarte å spre en skadelig programvareoppdatering til SolarWinds sine kunder, gjennom et leverandørkjedeangrep. SolarWinds hadde kunder som blant annet det amerikanske militære og etterretning.

Hvorfor angriper hackerne leverandører?

Leverandører er, og vil fortsette å være, svært attraktive mål for ondsinnede hackere. Dette er nettopp fordi skadepotensialet er så massivt. Den potensielle skaden er avhengig av hvor mange som benytter programvaren eller tjenesten til den hackede leverandøren, og konsekvensene kan bli multiplisert mange ganger i omfang. NSMs nyeste trussel - og risikovurdering, Risiko 2023, påpeker også at flere, fremtidige angrepsforsøk på de største selskap og anlegg vil gå igjennom underleverandører (kilde 1). Dette er fordi virksomheter har blitt flinkere til å robustgjøre seg for angrep. Derfor går hackerne til angrep på mer juicy mål, som gjør mer skade for samme innsats.

Kilde 1: https://nsm.no/regelverk-og-hjelp/rapporter/risiko-2023

Derfor går hackerne til angrep på mer juicy mål, som gjør mer skade for samme innsats.

Hvorfor er skadepotensialet så stort?

Mye av grunnen går på vår tillit til tredjeparter. Altfor lenge har virksomheter stolt på at underleverandører holder sine egne løsninger sikre, noe som hendelser de siste årene viser seg og ikke alltid være tilfelle. I fjor sommer ble LastPass, leverandøren for en svært mye brukt passordmanager med over 25 millioner brukere, utsatt for et alvorlig hackerangrep. Konsekvensene rundt angrepet er trolig at passordhvelvene til LastPass sine brukere er på avveie. Leverandører som leverer løsninger hvor hovedmålet er å forbedre sikkerheten, er heller ikke immune mot hackerangrep.

https://www.digi.no/artikler/lastpass-innbrudd-hos-passord-tjeneste-var-verre-enn-fryktet/525360

Nå skal det sies at passordmanagere i seg selv er en god løsning for å holde styr på og sikre ulike kontoer, men hvor mye tillit skal man ha til at slike leverandører holder hemmelighetene våre sikre for angrep?

Hvordan kan du beskytte deg mot leverandørkjedeangrep?

Når man tar i bruk programvare - og løsninger gjennom underleverandører, så er man veldig avhengig at disse løsningene er og holdes sikre. Hvordan vet man at underleverandører er sikre nok, og hvordan skal man klare å beskytte seg mot leverandørkjedeangrep?

Her kommer noen tips:

  • Gjør en grundig vurdering av leverandøren, før man eventuelt tar i bruk programvaren eller tjenesten. Undersøk om leverandøren har eksisterende prosesser for å forsikre seg om at produktet eller tjenesten er sikker. Har leverandøren opplevd noen sikkerhetshendelser tidligere, som tilsier at prosessene for sikring av tjenesten ikke er gode nok?
  • Begrens tilliten til tredjeparter. En virksomhet bør prøve å etablere en zero trust-tilnærming til alle underleverandører. Dette er et rammeverk som spiller på tanken at virksomheten ikke skal stole blindt på noe eller noen.
  • Ta utgangspunkt i at underleverandører kan bli kompromittert, og bygg motstandsdyktighet mot dette. Om en tredjepart blir angrepet, og dette utgjør trusler mot din virksomhet, så er det viktig å ha en beredskapsplan på plass.
  • Ha kontroll på all tredjepartsprogramvare og biblioteker som blir brukt i virksomheten. Påse at tredjepartsprogramvare ikke har eksisterende, kjente sårbarheter, og pass på at de holdes oppdatert til enhver tid.

Lurer du på noe relatert til leverandørkjedeangrep må du gjerne ta kontakt med oss, eller send meg en melding direkte på LinkedIn.

Del
Les også
Les mer

Hvordan phishing bruker sosial manipulasjon

Hva er phishing og hvorfor fungere det så bra? Hva er det som egentlig gjør det så effektivt?

Hvordan phishing bruker sosial manipulasjon

Informasjonssikkerhet
- 10/4/2023
Les mer

IT-sikkerhet enkelt forklart

Hvorfor er det så vanskelig å forstå hva IT-sikkerhet er og handler om? Kanskje fordi noen vanlig dødelige aldri har satt seg ned for å prøve og forklare det, etter...

IT-sikkerhet enkelt forklart

Informasjonssikkerhet
Kristin Bjerke - 2/8/2023
Les mer

Slik har vi jobbet for å gjøre NRK tryggere

Dette innlegget oppsummerer noe av det Anders har vært med på å oppnå i løpet av hans tid i NRK, og vil forhåpentligvis også si noe om hvorfor informasjonssikkerhet har...

Slik har vi jobbet for å gjøre NRK tryggere

Informasjonssikkerhet
Kundehistorier
Marcus Sahlin Pettersen - 12/1/2022