Hoe kun je aanvallen op de software supply chain het beste bestrijden?

Aanvallen op de software supply chain nemen onrustbarend toe en worden wellicht de volgende wereldwijde pandemie. Bekende technologiebedrijven waaronder Intel, Microsoft, MSI, CircleCI en 3CX zijn bekende slachtoffers van deze aanvallen, samen met andere bedrijven zoals SolarWinds, Asus, Codecov, Docker Hub en AP Moller-Maersk. Niemand is immuun.

In een recent rapport van Gartner staat dat 45% van de bedrijven wereldwijd tegen 2025 te maken zullen krijgen met aanvallen op hun software supply chain. Uit een ander marktrapport blijkt dat er een toename is van 742% (dat is geen typefout - zevenhonderdtweeënveertig procent!) aan aanvallen op de software supply chain in de afgelopen drie jaar.

Software supply chain-aanvallen zijn er in verschillende uitvoeringen. Sommige richten zich op onbeschermde sleutels voor code signing en verkopen deze vervolgens op het dark web, of misbruiken ze om malware te ondertekenen.

Anderen benutten kwetsbaarheden in de levenscyclus van software-ontwikkeling en bouwen een infrastructuur om in het geheim malware direct in het softwareproduct van een bedrijf te plaatsen. Ook zijn er aanvallen waarbij een organisatie onbewust met malware geïnfecteerde software van derden (zoals open source-software) in hun productaanbod opneemt.

Ook al variëren de aanvalstechnieken, hun impact op het aangevallen bedrijf niet. Deze impact kan bestaan uit verlies van klantvertrouwen, reputatieschade, omzetverlies en/of het lekken van vertrouwelijke klant- of bedrijfsdata.

Zoektocht naar preventie

Net als een medicijnresistent virus dat continu muteert, vereist deze wereldwijde pandemie een veelzijdige aanpak voor een effectieve preventie. Overheden en brancheorganisaties hebben daar al een aantal aanbevelingen voor gedaan.

In 2021 vaardigde de Amerikaanse regering bijvoorbeeld de United States Executive Order # 14028 Improving the Nation's Cybersecurity uit, wat resulteerde in het schrijven van de Software Supply Chain Security Guidance van het National Institute of Standards and Technology (NIST). Het Amerikaanse ministerie van Defensie reageerde ook met de Securing the Software Supply Chain Recommended Practices Guide for Developers. Het Amerikaanse Office of Management and Budget heeft ook een memorandum M-22-18 uitgegeven, dat ‘elk federaal agentschap verplicht om beveiliging te bieden voor informatie verzameld of onderhouden door of namens een agentschap'. Dit heeft directe gevolgen voor leveranciers van software aan de Amerikaanse overheid en getuigt van de veiligheid van de software en diensten die zij leveren.

De Verenigde Staten staan niet alleen in hun reacties op deze groeiende pandemie. De Europese Unie en haar lidstaten, het Verenigd Koninkrijk, Japan en steeds meer andere landen komen met soortgelijke richtlijnen.

Verschillende remedies

In de tussentijd zijn er verschillende remedies ontwikkeld om software supply chain-aanvallen tegen te gaan. Elk heeft zijn waarde bij het detecteren en voorkomen van aanvallen, maar zelden zal er één voldoende zijn. Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST), Software Composition Analysis, Secure Code Signing en SBOM's zijn slechts enkele voorbeelden van de beschikbare remedies.

Soms hanteren organisaties een lappendekenaanpak bij de beveiliging van hun software supply chain. Het ene team kan bijvoorbeeld zwaar leunen op een bepaalde techniek, terwijl een ander team van de organisatie op iets anders vertrouwt. Dit gebrek aan organisatiebrede coördinatie kan de infrastructuur kwetsbaar maken voor aanvallen en zelfs leiden tot een vals gevoel van veiligheid bij de securityverantwoordelijken.

Denk onder andere aan code signing, een beveiligingstechniek die al ruim 30 jaar beschikbaar is voor bedrijven. Dat werkte goed totdat aanvallers ontdekten dat ze gewoon privésleutels voor het ondertekenen konden stelen. Bedrijven reageerden door de sleutels voor code signing te verplaatsen naar een veilige opslag, zoals een hardware security module (HSM). Maar aanvallers omzeilden dit door andere methoden in te zetten, zoals phishing, om toegang te krijgen tot de inloggegevens die werden gebruikt voor de toegang tot privésleutels.

Nu moeten organisaties niet alleen hun privésleutels veilig opslaan, maar ook een veilig proces voor code signing implementeren. Deze moet bestaan uit sterke beveiliging voor de sleutels, op rollen gebaseerde toegang en controle, gecentraliseerde definitie van de security policies en onweerlegbare logboeken van alle activiteiten gerelateerd aan code signing.

Net als bij een muterend virus en de medische aanpak om meerdere behandelingen in gang te zetten die in de loop van de tijd evolueren, moet de softwarebranche hetzelfde doen om aanvallen op de software supply chain effectief te bestrijden.

Niet blind ondertekenen

DigiCert biedt klanten een bedrijfszekere, veilige oplossing voor het ondertekenen van codes, DigiCert Software Trust Manager. Deze stelt organisaties in staat om code signing centraal te beheren, ongeacht waar het ontwikkelteam zich bevindt, welke programmeertaal of platform het team gebruikt, of het type software dat men ontwikkelt (cloud-native, embedded device, mobiel toepassingen, enz.). Het heeft verschillende kwetsbaarheden in het proces van code signing gedicht die aanvallers in het verleden hebben misbruikt.

Als iemand echter een stuk software ondertekent, wordt ervan uitgegaan dat de betreffende software vrij is van bugs, malware en andere kwetsbaarheden en dat er niet mee is geknoeid. Maar ook dat het ontwikkelteam precies weet welke componenten erin zitten (wat trouwens een nieuwe wettelijke vereiste is die de behoefte aan SBOM's stimuleert).

Veel klanten hebben ons verteld hoe belangrijk detectie van softwarebedreigingen voor hen is en waarom het belangrijk is dit te integreren in hun security workflows. Ook willen ze dat het gemakkelijk toegankelijk is voor verschillende softwareteams die een breed scala aan applicaties ontwikkelen en dat het geen invloed mag hebben op de productiviteit van de ontwikkelaars (zoals het vertragen van CI/CD-pijplijnen).

Securityteams willen ook een enkele omgeving om in te werken en bedrijfsbreed beleid voor te schrijven. Onder andere voor het ondertekenen van code, voor het vereisen van diepe binaire scans voor bedreigingen en kwetsbaarheden en het creëren van uitgebreide SBOM's om te voldoen aan nieuwe regelgeving.

ReversingLabs ondersteunt DigiCert Software Trust Manager Threat Detection

DigiCert is onlangs gaan samenwerken met ReversingLabs, gespecialiseerd in software supply chain security. Deze samenwerking verbetert softwarebeveiliging door de geavanceerde binaire analyse en bedreigingsdetectie van ReversingLabs te combineren met DigiCert's oplossing voor code signing op bedrijfsniveau. DigiCert’s klanten profiteren van betere software-integriteit via een diepgaande analyse die aantoont dat hun software vrij is van bekende bedreigingen zoals malware, software-implantaties, geknoei met software en onthulde kwetsbaarheden, voordat ze deze veilig ondertekenen.

DigiCert heeft technologie van ReversingLabs geïntegreerd in de nieuwe Software Trust Manager Threat Detection. Deze nieuwe mogelijkheid wordt verkocht en ondersteund door DigiCert. Het is geïntegreerd in de workflows van Software Trust Manager, waardoor de betreffende teams één interface voor controle en monitoring hebben.

Software Trust Manager Threat Detection biedt een enkele workflow die centraal te beheren is voor de hele organisatie. Het genereert ook een uitgebreide SBOM voor intern ontwikkelde software en software van derden, zoals open source en commercieel gelicentieerde software.

Naarmate aanvallen op de software supply chain toenemen, worden dreigingsdetectie en het genereren van SBOM steeds belangrijker en de focus van overheids- en marktregelgeving.

Net als bij het bestrijden van de COVID-19-pandemie, waarbij meerdere tools, behandelingen en preventieve maatregelen zijn benut, moeten organisaties verschillende securitymaatregelen omarmen om zich effectief te beschermen tegen aanvallen op de software supply chain. De samenwerking tussen DigiCert en ReversingLabs is een belangrijke stap om dit te realiseren.