skip to Main Content

Supply chain-aanvallen:
wat doe je eraan?

Remco Niesten, Product Architect

“Een alarmerende gedachten is dat er vergelijkbare virussen lang onontdekt zijn gebleven. Dit zet aan tot vragen: zijn er vandaag de dag nog meer virussen die nog onopgemerkt rondgaan op het internet?”

Alkmaar, 28 september 2021

Supply chain-aanvallen: wat doe je eraan?

Het dreigingslandschap in IT is de afgelopen jaren in een versneld tempo nog complexer geworden dan het al was. Er zijn met regelmaat virussen gevonden die zo geavanceerd zijn dat onderzoekers enkel kunnen concluderen dat hier ‘statelijke actoren’ achter zitten. Zo was bijvoorbeeld Stuxnet uit 2010 gericht op het saboteren van het Iraanse nucleaire programma.

Een geheel ander voorbeeld in het dreigingslandschap zijn de Spectre- en Meltdown-kwetsbaarheden uit 2018 én de diverse varianten die daarop volgden. Besturingssystemen en hypervisors bewaken dat processen enkel binnen het voor hen toegewezen werkgeheugen acteren. De kwetsbare plekken die hier uitgebuit kunnen worden zitten in de fysieke processoren en specifiek in het gebied van het cachegeheugen verantwoordelijk voor optimalisatie van performance. Dit is slechts tot op zekere hoogte in software te patchen.

“Een alarmerende gedachten is dat er vergelijkbare virussen lang onontdekt zijn gebleven. Dit zet aan tot vragen: zijn er vandaag de dag nog meer virussen die nog onopgemerkt rondgaan op het internet?”

Alkmaar, 28 september 2021

Supply chain-aanvallen: wat doe je eraan?

Het dreigingslandschap in IT is de afgelopen jaren in een versneld tempo nog complexer geworden dan het al was. Er zijn met regelmaat virussen gevonden die zo geavanceerd zijn dat onderzoekers enkel kunnen concluderen dat hier ‘statelijke actoren’ achter zitten. Zo was bijvoorbeeld Stuxnet uit 2010 gericht op het saboteren van het Iraanse nucleaire programma.

Een geheel ander voorbeeld in het dreigingslandschap zijn de Spectre- en Meltdown-kwetsbaarheden uit 2018 én de diverse varianten die daarop volgden. Besturingssystemen en hypervisors bewaken dat processen enkel binnen het voor hen toegewezen werkgeheugen acteren. De kwetsbare plekken die hier uitgebuit kunnen worden zitten in de fysieke processoren en specifiek in het gebied van het cachegeheugen verantwoordelijk voor optimalisatie van performance. Dit is slechts tot op zekere hoogte in software te patchen.

Wat verder zeker opgemerkt moet worden is dat er geld verdiend wordt aan het uitbuiten van kwetsbaarheden. Voor criminele organisaties is het lonend om tijd en geld te stoppen in de ontwikkeling van nieuwe methoden om zo via IT andere te bespioneren, te saboteren of af te persen. Precies dat maakt supply chain-aanvallen zo interessant.

Supply chain-aanvallen
Supply chain-aanvallen zijn aanvallen op informatiebeveiliging, gericht op IT-leveranciers, met als doel de afnemers te raken. Actuele voorbeelden die veel in ons vakgebied en de media zijn besproken zijn Solarwinds en Kaseya. De aanvallen bij deze partijen waren extra schadelijk, omdat ze IT-dienstverleners raken die software-omgevingen van klanten beheren. Hierdoor kregen de cybercriminelen dus gemakkelijk toegang tot de digitale kroonjuwelen van heel veel klanten.

Er zijn verschillende werkwijzen voor supply chainaanvallen. Enkele voorbeelden zijn:

  • Solarwinds
    Door in te breken in de systemen, hebben hackers een malafide code toegevoegd aan de broncode van de Solarwinds-software, die vervolgens via officiële kanalen is gedistribueerd.
  • Kaseya
    Hier betrof het de uitbuiting van een kwetsbaarheid in de remote beheersoftware om ransomware uit te rollen. Deze zwakke plek is, zover nu bekend, niet door hackers geïntroduceerd en was simpelweg een fout in de software.
  • DigiNotar
    Hier wonnen hackers per ongeluk de jackpot. Het bedrijf had een systeem voor het signeren van certificaten in een kluis staan zonder netwerkverbinding. Dit vonden medewerkers erg omslachtig werken en heeft men ervoor gekozen om het systeem tóch aan een netwerk te verbinden. De hackers konden waarschijnlijk hun eigen ogen niet geloven, maar waren met deze toegang wel in staat om eigen SSL-certificaten te maken die door alle webbrowsers werden vertrouwd.

Maar wat kunnen we leren van deze bekende supply chain-aanvallen?

  1. Vertrouw nooit op de informatiebeveiliging van één leverancier
    Dit kan je onder andere realiseren met de volgende maatregelen: antivirusprogramma’s, altijd bij zijn met
    updates, een robuuste firewall (bijvoorbeeld Forti- Gate) en scannen op kwetsbaarheden.
  2. Als leverancier van IT-dienstverlening anticiperen op gerichte aanvallen
    Als leverancier ben je een doelwit voor cybercriminelen en zijn er veel kwetsbaarheden om uit te buiten. Het is daarom belangrijk om hier actie op te nemen.
  3. Als afnemer van IT-dienstverlening altijd een plan B hebben
    Bij een aanval moet je ervan uitgaan dat je je data en volledige productieomgeving kwijt kan raken. Dit kan voor bedrijven een flinke klap zijn, dus zorg dat je hier goed op voorbereid bent.
  4. Het vroegtijdig herkennen en acteren
    Bij een digitale inbraak is het van belang dit zo vroeg mogelijk te ontdekken, zodat je hier snel op in kan spelen. Zo kan je opgelopen schade flink beperken.

“Voor criminele organisaties is het lonend om tijd en geld te stoppen in de ontwikkeling van nieuwe methoden om zo via IT andere te bespioneren, te saboteren of af te persen.”

Wat Uniserver voor jou kan betekenen…
Om jezelf zo goed mogelijk te kunnen wapenen in het dreigingslandschap, biedt Uniserver diverse diensten als oplossing. Een goed voorbeeld hiervan is Back-IT 365. Het nieuwe werken is vandaag de dag niet meer weg te denken en een groot deel van het Nederlandse bedrijfsleven maakt gebruik van clouddiensten uit de Microsoft 365 suite. Back-IT 365 gaat verder waar de verantwoordelijkheid van Microsoft stopt en maakt
dagelijks automatische back-up van de gehele Microsoft 365 tenant. Hierdoor heb je controle over je eigen data en kan je er zeker van zijn dat deze data ten alle tijden terug te zetten is.

Een andere dienst die van toepassing is, is Veeam Cloud Connect Back-up (VCCB). Hierbij voorziet Uniserver jou van een beveiligde back-up als je niet werkt vanuit de Uniserver-omgeving. Er wordt dan een kopie van jouw data gemaakt in de Uniserver cloud. Wij maken daarbij gebruik van ‘insider protection’. Dit is het bewaren van verwijderde back-ups voor een bepaalde hoeveelheid dagen. Als een klant dan gehackt wordt, heeft Uniserver de data op een disk bewaard. Zelfs als de cybercriminelen toegang krijgen tot het Veeam-beheer en alle back-updata verwijdert, kun je de data terughalen.

Ook Storage-as-a-Service S3 (StaaS S3) geeft bescherming tegen dataverlies. Dit komt door gebruik te maken van ‘object locking’. De software die de API gebruikt om data naar S3 te schrijven, bijvoorbeeld Veeam, kan een commando geven om bestanden die opgeslagen worden ‘immutable’ te maken. Oftewel

dat deze bestanden niet meer aangepast of verwijderd kunnen worden. Dus als de klant gehackt wordt en de aanvaller probeert de data te verwijderen die in de StaaS S3 staat opgeslagen met object lock, wordt dit geweigerd.

Verder worden uitwijkdiensten ook regelmatig genoemd als middel tegen ransomware, echter zijn deze eigenlijk minder relevant. De diensten zijn bedoeld als vangnet voor de situatie waarbij een productieomgeving fysiek voor langere tijd niet beschikbaar is. Het is weliswaar interessant dat de zeer korte RPO van de onderliggende technieken kan helpen om het dataverlies te minimaliseren, maar dit helpt je enkel als je binnen enkele uren nadat het ‘te laat’ is erachter komt wat er aan de hand is.

Tot slot nog even over back-up in het algemeen bij Uniserver. Sinds de bekende hack bij de Universiteit van Maastricht krijgen wij vaak de vraag: staan bij Uniserver de back-ups ‘offline’? Dit komt voort uit het feit dat de cybercriminelen bij de Universiteit toegang kregen tot de back-ups waardoor zij in een onontkoombare wurggreep terecht kwamen en genoodzaakt waren de afpersers te betalen. Nou is het zo dat de back-ups bij Uniserver niet offline staan, maar wél veilig! Door gebruik van Veeam is het voor aanvallers niet mogelijk om vanuit het productiesysteem van de klant de back-ups te bereiken. Kortom jouw data staan bij ons veilig.

Wil je meer weten over onze diensten? Of hoe je jezelf kan beschermen tegen supply chain-aanvallen? Neem dan vandaag nog contact met ons op!

Terug naar alle artikelen

Wij brengen de kracht
van de cloud naar de
Nederlandse markt!

Wat we doen
Back To Top
Uniserver