Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Illumio Editorial
Illumio Editorial
19Mai 2021
23 min. lesen

Stoppen von Supply-Chain-Angriffen mit Zero-Trust-Segmentierung

Section 4 of the Biden Administration’s Executive Order on improving the nation’s cybersecurity focused on the supply chain. I wasn’t surprised.

Die Lieferkette ist aufgrund ihrer Komplexität besonders schwierig zu sichern.

Betrachten Sie den Automobilbau als Kontrast. In dieser Branche entwerfen Ingenieure jedes Teil: Autorahmen, Motorkomponenten, Teile und Unterkomponenten – speziell für jedes Fahrzeug. Jedes Element verfügt über Spezifikationen, die Langlebigkeit und Sicherheit gewährleisten.

Denken Sie umgekehrt an den Proof of Concept (POC) und den Beschaffungsprozess eines Wertpapierkäufers. In vielen Fällen erfordert die Einhaltung von Vorschriften Lösungen oder gewünschte Endzustände, die von einer beliebigen Anzahl von Produkten erfüllt werden können. Selten gibt es einen definierten Satz von Spezifikationen, nach denen der Lieferant baut. Wann hat Ihr Firewall-Anbieter das letzte Mal ein Produkt speziell für Sie angefertigt?

Sicher, Sie können die Konfiguration anpassen, aber sie ist nicht speziell für Ihren Zweck maßgeschneidert und sonst nichts. Stattdessen schafft der Lieferant ein Produkt mit der größtmöglichen Anwendbarkeit, um den größten Teil des Marktes zu erobern. Darüber hinaus befindet sich jeder Anbieter in einem Wettlauf um die schnelle Entwicklung, Veröffentlichung und Lieferung von Produkten, um mit einem schnelllebigen Markt Schritt zu halten.

Hinzu kommt (und genau wie in der Automobilindustrie) dass die Anbieter unter dem Druck stehen, Gewinne zu erzielen. Um das zu tun, muss etwas nachgeben. Im Fall von SolarWinds führte das Streben nach Gewinnen dazu, dass sie Kompromisse bei der Sicherheit eingingen. Das dürfen wir einfach nicht noch einmal zulassen.

Sicherheitsexperten verlassen sich auf andere Lösungen, um andere Produkte zu "beobachten", aber leider gibt es auch hier Herausforderungen. Auch im Fall von SolarWinds hatte die Endpunkterkennungslösung die SolarWinds-Software immer als Malware gekennzeichnet, so sehr, dass SolarWinds in einem Knowledge Base-Artikel empfahl, die Überwachungsfunktionen seiner Software zu deaktivieren.

Was sollten wir also tun?

Before the Executive Order, Jonathan Reiber of AttackIQ and I published a blog in Lawfare that outlined what we hoped to see from Biden’s Executive Order. One item that we didn’t explore is the Supply Chain. I’d like to examine a few thoughts here:

  1. Jedes Endpunktüberwachungstool muss über ein robustes Programm zur Überwachung von Drittanbietern verfügen, ohne jedoch Fehlalarme zu erzeugen. Dies wird für Endpunktanbieter teuer sein, aber die Vorteile könnten enorm sein! Leider wird es aufgrund der Kosten dieser Programme, gepaart mit der Preissensibilität der Kunden, schwierig sein, dies zu erreichen.
  2. Die Executive Order räumt ein, dass es der Softwareentwicklung an Transparenz mangelt, aber die Frage ist, wie der Schleier entfernt werden kann, um sicherzustellen, dass die Lieferkette eines Lieferanten nicht kompromittiert wurde. Dafür empfehle ich, das Rad nicht neu zu erfinden, sondern sich einen Blick auf einen unserer internationalen Kollegen zu werfen: Frankreich.
  3. The French Government developed an agency, ANNSI, that identifies critical infrastructure (not just government infrastructure), sets standards for protecting that infrastructure, and then audits vendors that supply the software that protects that infrastructure.
  5. Der Vorteil dieses Ansatzes besteht darin, dass Softwareanbieter die Regulierungsbehörde nicht als Konkurrenten betrachten und ANNSI keine Software "stiehlt". Stattdessen sorgt sie für die Sicherheit der französischen Infrastruktur, indem sie die Lieferanten prüft.
  7. Eine letzte Anmerkung zu ANNSI. Wie bereits erwähnt, wendet ANNSI seine Prinzipien nicht nur auf die staatliche Infrastruktur, sondern auch auf "kritische" Infrastrukturen an. Bei Illumio haben wir gesehen, wie sich diese Agentur in die französische Pharma-, Produktions-, Banken- und andere Infrastruktur einbringt, die für die französische Bevölkerung als "kritisch" gilt.
  9. It would have also helped in the Colonial Pipeline ransomware attack (which is obviously also critical infrastructure).

In vielerlei Hinsicht machen der Kapitalismus und unsere wilde amerikanische Unabhängigkeit die beiden oben genannten Punkte möglicherweise nicht möglich. Viele Amerikaner würden es nicht begrüßen, wenn die Regierung ihnen vorschreibt, wie sie ihr Geschäft zu führen haben. Was können wir also sonst noch tun?

Die Antwort ist einfach und wird von vielen Organisationen des privaten Sektors bereits umgesetzt: Zero Trust.

Die Einführung eines Zero-Trust-Frameworks stellt sicher, dass ein Angriff auf die Lieferkette in unterteilte Teile unterteilt wird.

The Biden Administration’s Executive Order agreed with this thesis. Section 4(i) states that critical infrastructure must have least privilege and network segmentation - in other words, they must apply the principles of Zero Trust.

Die Anwendung eines Zero-Trust-Frameworks macht es nicht überflüssig, die Lieferkette eines Unternehmens zu prüfen. Aber selbst wenn die Lieferkette vollständig auf bekannte Supply-Chain-Hacks überprüft wurde – Zero Trust schützt vor unbekannten Angriffen auf die Lieferkette.

Durch die Prüfung, wie ein Anbieter Software von Drittanbietern einbindet, um sicherzustellen, dass sie nicht fälschlicherweise als Malware gekennzeichnet wird, durch die Betrachtung von Software-Codierungspraktiken und die Verwendung komplexer Passwörter können Unternehmen zum Schutz der Lieferkette beitragen. Nichtsdestotrotz werden die heutigen schlechten Akteure (nationalstaatlich oder vom organisierten Verbrechen gesponsert) einen Weg finden. Die Frage ist, wie man den Explosionsradius begrenzen kann, wenn es passiert?

Die Antwort ist die Anwendung von Zero Trust – und die Executive Order von letzter Woche zeigt, dass die Regierung auf dem Weg ist!

Möchten Sie die Anforderungen der Executive Order des Weißen Hauses schneller erfüllen? Erfahren Sie hier , wie das geht, oder nehmen Sie an einem Workshop teil, in dem Sie lernen, wie Sie eine Zero-Trust-Architektur für Ihre Bundesbehörde entwerfen.

Verwandte Themen

Angriff auf die Lieferkette

Verwandte Artikel

Illumio Innovation Lookback: Was wir im Jahr 2024 gebaut haben
Segmentierung

Illumio Innovation Lookback: Was wir im Jahr 2024 gebaut haben

Entdecken Sie die Top-Innovationen von Illumio im Jahr 2024 in den Bereichen Zero Trust, KI-Automatisierung und Ransomware-Schutz.

Mehr lesen
Machen Sie sich bereit für die Gartner ITIOCS NA 2024 mit Illumio!
Segmentierung

Machen Sie sich bereit für die Gartner ITIOCS NA 2024 mit Illumio!

Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie mit Illumio zukunftssicher machen können, am Stand 206 auf der Gartner ITIOCS North America 2024 vom 10. bis 12. Dezember im Venetian in Las Vegas.

Mehr lesen
Russland-Ukraine-Krise: Wie man das Risiko durch Segmentierung mindert
Segmentierung

Russland-Ukraine-Krise: Wie man das Risiko durch Segmentierung mindert

Der Konflikt in der Ukraine zwingt Unternehmen auf der ganzen Welt dazu, ihre Bedrohungsmodellierung zu überdenken und Cyberrisiken neu zu bewerten.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren