Eine SBOM ist erst die halbe Miete: Supply Chain Security braucht Kontext-Informationen zu Bedrohungslagen und zur Priorisierung von Abwehrmaßnahmen.
Cybersecurity braucht den Zusammenhang
Anfang Juni 2023 veröffentlichte der Bundesverband IT-Sicherheit e.V. (TeleTrusT) den Leitfaden „Cloud Supply Chain Security„. Als TeleTrusT-Mitglied waren wir inhaltlich und redaktionell an der Entstehung beteiligt. Und zwar gerne. Denn Supply Chain Security ist und bleibt das Top-Thema für Betreiber kritischer Infrastrukturen. Insofern war es uns ein besonderes Anliegen, die asvin-Expertise bei der Visualisierung und Priorisierung von Schwachstellen auf der Software-Lieferkette und in Cloud-Umgebungen einzubringen.
Die Intransparenz der Software-Supply-Chain, lange Zeit ein vernachlässigbares Sicherheitsrisiko, ist seit Beginn des Ukraine-Krieges und der Zunahme von Angriffen staatlicher Cyberkrimineller zum Hochrisikofaktor geworden.. Inzwischen ist erwiesen, dass insbesondere Baugruppen und deren Software von kleineren, oft wenig bekannten Zulieferern den Angreifern als Einstieg in die ansonsten meist gut geschützte OT (Operational Technology) dienen. Die Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT Services Dritter und sind daher von Anwendern schwer zu verhindern.
Zur Lösung dieses Problems hat asvin eine neuartige Methode zur Erkennung und Priorisierung von Risiken in OT Systemen parat: „Risk by Context“. Das entsprechende Produkt „Eagle Eye“ macht operationale Faktoren und Cybersicherheitsfaktoren über kontextuelle Beziehungen sichtbar und ermöglicht somit eine Gewichtung von Risiken. Hierbei kommen mathematische Verfahren zur Bewertung von topologischen Zusammenhängen zum Einsatz. Die Methode ermöglicht es zudem, unbekannte Cybersicherheitsrisiken (z.B. Zero-Day-Exploits, Firmware-Stände) in die Risiko-Bewertung einzubeziehen. Damit sind CISO´s in der Lage, Risiko-Betrachtungen über den Horizont bekannter CVEs und Angriffspfade zu erweitern. Zudem lassen sich Risiko-Zustände in einem komplexen System simulieren, beispielsweise um die Risiko-Auswirkung bei der Hinzunahme oder Entfernung von Teilnehmern vorhersagen zu können. Durch die optimierte Aufbereitung von Risiken ist der Ressourcen-Einsatz (Personal und Material) bei der Risiko-Minimierung deutlich optimierbar.
Der jetzt veröffentlichte TeleTrusT-Leitfaden beschreibt eine Reihe von Schutzmaßnahmen wie Provider Assessment oder Setup und Pflege einer Software Bill of Materials (SBOM). Asvin ermöglicht mit Eagle Eye und Risk by Context nun direkt den nächsten Schritt nach Verfügbarkeit einer SBOM. Denn eine Software-Stückliste liefert zwar alle Elemente der Lieferkette, stellt OT-Sicherheitsverantwortliche damit aber zunächst nur vor eine Reihe zusätzlicher Probleme: Welche Elemente sind betroffen oder bedroht? Welche Vulnerabilitäten sind kritisch, sollten also priorisiert behoben werden?
Wer diese Fragen beantworten kann, minimiert Risiken. Beispiel Challenger-Katastrophe 1986: Sie hätte verhindert werden können, wenn damalige Technologie bereits in der Lage gewesen wäre, die durchaus vorhandenen Parameter in Beziehung zu setzen, stichhaltige Rückschlüsse zu ziehen und Konsequenzen abzuleiten. Alle Umstände, die zur Explosion führten, waren vor dem Start bekannt. Weil aber niemand ihre tödliche Kombination erkennen konnte, wurde Startfreigabe erteilt. Sieben Astronauten starben, das Shuttle-Programm der NASA musste für zweieinhalb Jahre gestoppt werden. Heute haben wir diese Kontext-Informationen, Infos dazu hier: https://asvin.io/risk-by-context/