Software Supply Chain Attacks: An Illustrated Typological Review
Aufgrund ihrer erhöhten Relevanz im aktuellen Sicherheitsdiskurs, ihrer potenziell zerstörerischen und strategischen Auswirkungen und ihrer zunehmenden Nutzung durch böswillige Akteure stehen Angriffe auf Software-Lieferketten im Mittelpunkt dieses CSS Cyberdefense Reports von Sean Cordey. Das Ziel des Berichts ist es, einen Überblick über Angriffe auf Software-Lieferketten zu geben und das Bewusstsein für die Arten von Angriffen, ihre Verwendung und ihre potenziellen Auswirkungen zu schärfen.
Die meisten Elemente des modernen Lebens, von der Wirtschaft bis zu den sozialen Gewohnheiten, sind heute durch den Einsatz digitaler Technologien und den Konsum von Waren und Dienstleistungen gekennzeichnet, die von komplexen, vernetzten, länderübergreifenden und zuweilen anfälligen Lieferketten abhängen. Kritische Abhängigkeiten und erhöhte (Cyber-)Bedrohungen in Verbindung mit strategischer Wettbewerbsfähigkeit machen die Frage der Sicherheit von Lieferketten zunehmend zu einer Frage der nationalen und internationalen Sicherheit.
An der Schnittstelle von Lieferketten und Cyber sind die Themen Angriffe auf Software-Lieferketten und breitere Elemente der Schadensbegrenzung und des Schutzes angesiedelt, die unter den Begriff Cyber-Lieferketten-Risikomanagement fallen. Aufgrund ihrer erhöhten Relevanz im aktuellen Sicherheitsdiskurs, ihrer potenziell zerstörerischen und strategischen Auswirkungen und ihrer zunehmenden Nutzung durch böswillige Akteure (staatlich und kriminell) stehen Angriffe auf Software-Lieferketten im Mittelpunkt dieses CSS Cyberdefense Reports. Das übergreifende Ziel dieses Berichts ist es, einen anschaulichen Überblick über Angriffe auf die Software-Lieferkette zu geben und das Bewusstsein für die Arten von Angriffen, ihre Verwendung und ihre potenziellen Auswirkungen zu schärfen.
Der Bericht beginnt mit einer Terminologieanalyse, die auch die wichtigsten Eigenschaften erläutert, die den Konzepten von Lieferketten, Software-Lieferketten und Angriffen auf Software-Lieferketten zugrunde liegen. Als nächstes konzentriert sich der Bericht auf die Überprüfung der verschiedenen Bedrohungs-Frameworks, die SSCAs adressieren und beschreiben. Dazu gehört die detaillierte Beschreibung der vielfältigen Akteure, Auswirkungen und Vermögenswerte, die an SSCAs beteiligt sind. Der Abschnitt veranschaulicht auch die grosse Vielfalt an Bedrohungsvektoren und -techniken, die über den gesamten Lebenszyklus einer Software hinweg verwendet werden können, um eine SSCA durchzuführen. Der Bericht beschreibt dann die zugrunde liegenden Annahmen, unterstützenden Faktoren und Trends hinter SSCAs. Genauer gesagt enthält es einen Überblick über die erklärten betrieblichen Vorteile von SSCAs, das chaotische Software-Ökosystem, das SSCAs lebensfähig und schwer zu erkennen macht, und die Änderungen im gegnerischen Verhalten zur Nutzung von SSCAs. Der letzte Abschnitt untersucht das grössere Spektrum und die Auswirkungen von Angriffen auf die Softwarelieferkette, einschliesslich Randfällen und falsch klassifizierten SSCAs. Der Bericht schliesst mit einem letzten Unterabschnitt, der sich mit den potenziellen politischen und praktischen Implikationen einer genauen Unterscheidung, Klassifizierung und Charakterisierung bestimmter Arten von Cyberangriffen befasst.