KI und Transparenz in der Lieferkette sind der Schlüssel zur Eindämmung von OT-Sicherheitsbedrohungen

May 30, 2024

ipopba – stock.adobe.com

Die unerbittlichen Cyberangriffe auf kritische Informationsinfrastrukturen (CII) wie Versorgungsunternehmen, Transport und Fertigung lassen nicht nach. Bedrohungsakteure und Gegner haben herausgefunden, dass die diesen kritischen Ressourcen zugrunde liegende Betriebstechnologie (OT) anfällig für Cyber-Bedrohungen ist.

Sie haben auch herausgefunden, dass ein erfolgreicher Angriff verheerende Folgen für die Bürger eines Landes haben und zu politischer und wirtschaftlicher Unsicherheit führen kann. Der Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021 führte dazu, dass Flüge gestrichen wurden und Millionen Amerikaner nicht in der Lage waren, Treibstoff für ihre Autos zu kaufen. Auch der Angriff auf das ukrainische Stromnetz im Jahr 2016 hatte dazu geführt, dass 700.000 Menschen mitten im Winter ohne Strom waren.

Singapur ist gegen diese Bedrohungen nicht immun. Als ein Land, das auf hochgradig vernetzte Technologien angewiesen ist, um seine Wasser-, Energie-, Transport-, Petrochemie- und Produktionskapazitäten aufrechtzuerhalten, wird Singapur in Kombination mit der sich entwickelnden grenzüberschreitenden Cyber-Bedrohungslandschaft als potenzielles Ziel angesehen. Die Motivation der Angreifer könnte politischer Natur sein, wie es bei den Angriffen auf das ukrainische Stromnetz der Fall war, oder rein finanzieller Natur, wie es beim Angriff auf die Colonial Pipeline der Fall war, aber die Auswirkungen können lähmend sein, wenn Singapur nicht vorbereitet ist.

Die Bildung des Operational Technology Cybersecurity Expert Panel (OTCEP) durch die Regierung Singapurs ist ein bedeutender Schritt nach vorne. Durch die Nutzung der kombinierten Erfahrung von Branchenexperten aus der ganzen Welt hat Singapur erstklassige Richtlinien und Verfahren entwickelt und dieses Fachwissen mit den für seine kritischen Systeme verantwortlichen Stakeholdern geteilt.

Der Angriff auf SolarWinds im Jahr 2020 hat die Schwachstellen in der Software-Lieferkette deutlich gemacht, die von Bedrohungsakteuren ausgenutzt werden könnten. Es zeigte sich, wie attraktiv es für Bedrohungsakteure ist, einen vertrauenswürdigen Anbieter anzugreifen, um Zugang zu ihren beabsichtigten Zielen zu erhalten – in diesem Fall mehrere US-Militär- und Regierungsbehörden.

Insgesamt verschafften sich die Angreifer Zugriff auf über 18.000 Unternehmens- und Regierungssysteme großer Telekommunikationsunternehmen, Energieversorger und der meisten US-Fortune-500-Unternehmen. Glücklicherweise entschieden sich die Angreifer nur dafür, einen winzigen Bruchteil dieser Brückenköpfe auszunutzen – Schätzungen der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) zufolge sind es weniger als 100 –, aber dennoch war es ein ordentlicher Arbeitstag, nachdem ein einzelnes Softwareunternehmen kompromittiert wurde.

Laut Sonatype haben seit diesem aufsehenerregenden Vorfall die Angriffe auf die Software-Lieferkette mit einer alarmierenden Rate von 742 % zugenommen. Die Regierungen in den USA und Europa haben die Dringlichkeit dieser Bedrohung erkannt und rasch neue Gesetze und Richtlinien erlassen. Ich gehe davon aus, dass auch andere Regionen diesem Beispiel folgen werden. Kein Land ist immun, da Software-Lieferketten grenzüberschreitend sind und daher Zusammenarbeit von entscheidender Bedeutung ist.

Ich wurde gefragt, was mich mehr beunruhigt: Ransomware oder Supply-Chain-Angriffe. Normalerweise antworte ich „die Kombination“, weil sie sich nicht gegenseitig ausschließen. Ransomware ist die Nutzlast; Die Lieferkette ist der Angriffsvektor. Angreifer beginnen, ihre Strategien zu „mixen und anzupassen“, wie wir beim Kaseya-Angriff im Jahr 2021 gesehen haben.

Kaseya, ein Hersteller von Software, die von vielen Anbietern verwalteter Sicherheitsdienste verwendet wird, war der unbeabsichtigte Träger für die Verbreitung von Ransomware an über 800 kleine und mittlere Unternehmen (KMU). Glücklicherweise betreiben die meisten KMUs keine OT-Systeme, aber die Wirksamkeit eines Hybridangriffs blieb den Bedrohungsakteuren und Gegnern in Singapur sicherlich nicht verborgen.

Die Gewährleistung der Sicherheit der Software-Lieferkette ist heute ein entscheidender Aspekt der gesamten Geschäftsstrategie, insbesondere für Unternehmen in CII-Sektoren. Transparenz in der gesamten Softwarelieferkette und Kenntnis aller eingebetteten Software von Drittanbietern können dazu beitragen, Leben zu retten und die kritischen Prozesse und Geräte zu schützen, auf die die Gesellschaft angewiesen ist.

Angesichts des Aufkommens bahnbrechender Technologien ist es für Betreiber und Lieferanten von OT-Systemen von entscheidender Bedeutung, bereit für Innovationen zu sein.

Betrachten Sie die Rolle der künstlichen Intelligenz (KI) in der Cybersicherheit – wird sie ein Held oder ein Bösewicht sein? Forscher haben gezeigt, wie Bedrohungsakteure generative KI-Systeme wie ChatGPT nutzen können, um die Software-Lieferkette zu vergiften. Während Entwickler möglicherweise auf KI zurückgreifen, um Softwarepakete in gemeinsamen Repositories zu empfehlen, enthalten die Vorschläge, die sie zurückerhalten, häufig „Halluzinationen“ – realistisch klingende Pakete, die tatsächlich nicht existieren. Ein Angreifer muss lediglich ein bösartiges Paket erstellen, es nach der Halluzination benennen und darauf warten, dass ahnungslose Entwickler es in die von ihnen erstellte Software integrieren.

Die Tatsache, dass Bedrohungsakteure KI nutzen, ist ein weiterer Grund, neue Technologien zu nutzen, um ihren Strategien entgegenzuwirken und Angriffe zu verhindern, anstatt auf sie zu reagieren. KI bietet leistungsstarke Analysefunktionen zur Ausführung von Aufgaben, für die andernfalls große Cybersicherheitsteams viel Zeit mit Aufgaben verbringen müssten, die besser für eine Maschine geeignet sind.

Der einzig praktikable Ansatz zur kontinuierlichen Schwachstellenverfolgung in Echtzeit für die vielen Millionen Produkte und Schwachstellen, die jedes Jahr bekannt gegeben werden, ist beispielsweise der Einsatz von maschinellem Lernen und natürlicher Sprachverarbeitung. Es ist einfach keine Aufgabe für Menschen, die woanders weitaus mehr Wert schaffen können.

Für die Zukunft ist mit weiteren Regulierungsinitiativen und einem wachsenden Interesse des privaten Sektors an der gleichen Transparenz zu rechnen, die Regierungen jetzt fordern. Software-Bill of Materials (SBOM) als eine Form der Softwarebescheinigung ist mittlerweile eine allgemeine Erwartung, und Tools zur Generierung und Verwaltung von SBOMs erfreuen sich zunehmender Beliebtheit. Eine bessere Transparenz der Sicherheit der Software-Lieferkette wird zu einem Ziel auf Vorstandsebene werden, da Unternehmen versuchen, Risiken zu quantifizieren und zu begrenzen.

Das Tempo, mit dem die generative KI-Technologie voranschreitet, und die schlechten Abwehrmechanismen, die wir derzeit in den meisten Software-Lieferketten sehen, erfordern globale Aufmerksamkeit. Das OTCEP-Forum bietet OT-Cybersicherheitsexperten aus der ganzen Welt eine ideale Gelegenheit, ihre Erfahrungen auszutauschen und Best Practices zur Verbesserung der OT-Cyber-Resilienz Singapurs zu erlernen.

Eric Byres ist Mitglied des Operational Technology Cybersecurity Expert Panel der Cyber ​​Security Agency of Singapore, das sich aus Cybersicherheitsexperten aus der ganzen Welt zusammensetzt. Er ist außerdem Chief Technology Officer von aDolus Technology, einem Forschungs- und Entwicklungsunternehmen für Cybersicherheit, das sich auf die Verbesserung der Cybersicherheit der Software-Lieferkette für OT konzentriert.