Supply-Chain-Angriff
Was ist Supply-Chain-Angriff?
Supply-Chain-AngriffAngriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
Ein Supply-Chain-Angriff zielt auf die Entwicklungs-, Build- oder Verteilungs-Pipeline eines Anbieters, sodass bösartiger Code, Komponenten oder Updates als legitime Produkte gleichzeitig viele Opfer erreichen. Typische Techniken sind die Kompromittierung von Quellcode-Repositorien, das Einschleusen von Hintertüren in Build-Systeme, das Vergiften von Open-Source-Abhängigkeiten, der Missbrauch von Zugängen verwalteter Dienstleister und Manipulationen an Hardware in der Fertigung. Da das schädliche Artefakt signiert und vertrauenswürdig ist, erkennen klassische Perimeterabwehrmaßnahmen es selten. Schutz bieten Software-Bill-of-Materials (SBOM), signierte und reproduzierbare Builds, Dependency Pinning, Lieferantenrisikomanagement, Zero-Trust-Prinzipien, Segmentierung und kontinuierliches Monitoring auffälligen Verhaltens nach Updates.
● Beispiele
- 01
Angreifer schleusen eine Hintertür in das signierte Update eines Softwareanbieters ein und infizieren tausende Kunden durch normales Patchen.
- 02
Ein bösartiges Paket wird in einem öffentlichen Package-Registry mit einem ähnlichen Namen wie eine beliebte Bibliothek veröffentlicht.
● Häufige Fragen
Was ist Supply-Chain-Angriff?
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Supply-Chain-Angriff?
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
Wie schützt man sich gegen Supply-Chain-Angriff?
Schutzmaßnahmen gegen Supply-Chain-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Supply-Chain-Angriff?
Übliche alternative Bezeichnungen: Drittparteienangriff, Lieferantenkompromittierung.