3min

In het 2022 AppSec Trends report wordt het beveiligen van de Software Supply Chain, de toeleveringsketen van software, als eerste trend genoemd. Bezorgdheid over de tekortkomingen van softwareleveranciers om veilige software te bouwen/leveren is echter niet nieuw.  

Eind 2000 heeft het Build Security In initiatief van het Amerikaanse Department of Homeland Security’s (DHS) een werkgroep opgericht met vertegenwoordigers uit de industrie, academici en de overheid. Streven van deze werkgroep was het ontwikkelen van software die beter bestand was tegen aanvallen, die minder kwetsbaar was en die risico’s bij gebruik zoveel mogelijk verkleinde. Toch is er nog steeds niet veel veranderd, behalve dat het gebruik van open-source software (OSS) significant is toegenomen.

Hoewel er geprobeerd is aandacht te krijgen voor risico’s binnen de software supply chain, kreeg het weinig bijval. Wat miste waren belangrijke, triggerende gebeurtenissen die veel aandacht in de pers kregen en die het gedrag van de softwarekoper zouden veranderen. Inmiddels is die houding, door een aantal grote aanvallen, zoals Log4J en de  SolarWinds Sunburst aanval, veranderd. In 2021 hadden organisaties – mede door Log4J – te maken met 50% meer (pogingen tot) cyberaanvallen.

De SolarWinds Sunburst-aanval was strategisch. Want niet alleen SolarWinds, maar ook de duizenden mensen (meer dan 75% van de Fortune 1000 is klant) die hun systeem gebruikten, ondervonden nadelige gevolgen. De over het hoofd geziene software tools en systemen, die de aanval mogelijk hadden gemaakt, hadden in dit geval een grote impact op de medewerkers en het klantenbestand.  

Wat vinden decision-makers hiervan? Hoe reageren zij? Onderzoek toont aan dat 29% het beveiligen van de software supply chain als een zeer hoge prioriteit beschouwt. 42% van hen gelooft dat open-source software de primaire toegang vormt voor aanvallers. 

Het hergebruiken van code heeft grote voordelen voor de software-industrie, omdat het de tijd en de kosten die nodig zijn om software te ontwikkelen, verkleint en ontwikkelaars sneller functionaliteit kunnen toevoegen. De keerzijde is dat hergebruik grote problemen oplevert door het complexe systeem van onderlinge afhankelijkheden – die vaak ook moeilijk te traceren zijn. Als softwarecode wordt gebruikt zonder de juiste security checks, dan kunnen ontwikkelaars onbedoeld veiligheidsrisico’s in hun software binnenhalen.  

Ontwikkelaars kunnen dus per ongeluk zelf een risico vormen door het gebruik van onveilige open-source componenten of libraries. Open-source software handmatig doorlichten duurt te lang voor de doorsnee developer. Wat je nodig hebt is transparantie en een geautomatiseerde methode om de risico’s van componenten te beoordelen. Fortify geeft een 360-graden beeld van de risico’s van apps. Hierdoor kunnen dev teams open-source software blijven gebruiken, maar wel veilig en met de snelheid die ze nodig hebben.  

Externe bedreigingen, zoals de Sunburst aanval, richten zich op het opzettelijk injecteren van kwaadaardige code in afhankelijkheden. De aanvaller richt zich op de softwareleverancier, maar de aanval treft zijn klant. In een recent rapport definieert de European Union Agency for Cybersecurity (ENISA) de vier belangrijkste kenmerken van een supply chain-aanval: 

  1. Aanvalstechnieken die worden gebruikt om de leverancier te compromitteren 
    – misbruik maken van een zwakke plek in de software of configuratie, brute-forcing van inloggegevens, of social engineering
  2. Assets van leveranciers waarop de aanval is gericht
    – als het doelwit softwarecode is, gaat het erom dat de gebruiker deze code downloadt en uitvoert.
    – als het doelwit data is, gaat het erom dat deze data gebruikt kan worden in phishing attacks. Als de data een private key is, zou het gebruikt kunnen worden voor het maken van digitale certificaten (in een man-in-the-middle aanval).
  3. Aanvalstechnieken die worden gebruikt om de gebruiker te compromitteren
    – bij het downloaden van schadelijke code via een automatische software-update, maakt de aanval gebruik van een bestaande vertrouwensrelatie.
  4. Assets van gebruikers waarop de aanval is gericht
    – dit is het belangrijkste doelwit van de aanval. Het omvat bijvoorbeeld het stelen en wijzigen van data, het uitvoeren van betaalopdrachten, of het versturen van spam.

Het is volledig te begrijpen waarom het beveiligen van de software supply chain één van de trends in applicatiebeveiliging in 2022 is. Met het oog op de toename van opzettelijke en onbedoelde dreigingen voor de toeleveringsketen, moeten regels vastgesteld worden om het developmentproces te beveiligen. Alleen zo kan de keten software aan hun klanten aanbieden, die geen opening biedt voor kwaadaardige of kwetsbare code. De vertrouwensrelatie met hun klanten zou anders aanzienlijk kunnen worden beïnvloed, zoals bij Solarwinds het geval was..

Dit is een ingezonden bijdrage van CyberRes. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.