Transportunternehmen und das Cyberrisiko 3 Fragen an Trellix, Spezialist für Cybersicherheit

GEODIS sprach mit Mo Cashman, einem der engagierten Leiter von Trellix im Bereich der Cybersicherheit, über sein Verständnis von Cyberrisiken für Logistik- und Transportunternehmen, und wie man darauf reagieren sollte, um diese zu kontrollieren. Daneben teilt er seine Ansichten zur Datenhoheit und Datensicherheit mit uns. Trellix ist der Name des neuen weltweiten Cybersicherheitsriesen, der aus der Fusion von McAfee Enterprise und FireEye (Oktober 2021) hervorgegangen ist.

Welche Maßnahmen gegen Cyberangriffe sollte ein Logistik- und Transportunternehmen ergreifen, um seine Kunden zu schützen?

Die Transportbranche ist wie die meisten digitalen Unternehmen einer Reihe übereinstimmender Commodity-Bedrohungen ausgesetzt. Aufgrund der Kritikalität für Infrastruktur und Wirtschaft sowie ihrer Cloud-nativen Anwendungen sehen wir jedoch Ransomware und Angriffe auf Cloud-native Anwendungen, die deren Widerstandsfähigkeit bedrohen.

In letzter Zeit war die Nutzung von Ransomware as a Service eine effektive Möglichkeit, den Geschäftsbetrieb von Unternehmen zu stören. Der Transportsektor war im letzten Quartal zweithäufigstes Ziel von Ransomware (Quelle: Trellix Threat Intelligence).

Es ist wichtig zu verstehen, dass Ransomware nicht erst bei der Verschlüsselung beginnt. Bei den meisten Ransomware-Bedrohungen handelt es sich heute um mehrstufige Angriffe. Um sich davor zu schützen, verfügen die meisten Unternehmen bereits über die entscheidenden Kontrollfunktionen wie . Allerdings fehlen ihnen oft die für Bedrohungen erforderlichen Erkennungs- und Reaktionsprozesse im SOC, um einen laufenden Angriff zu erkennen, oder Investitionen in XDR-Funktionen, um die Erkennung zu verbessern und Incident-Response-Prozesse als Reaktion auf Vorfälle zu proben, die für die Widerstandsfähigkeit gegen Ransomware entscheidend sind.

Ein weiterer wichtiger Angriffsvektor für Transportunternehmen sind Cloud-native APIs und Anwendungen. Heute gehören mehr als 80 % des gesamten Internetverkehrs zu API-basierten Diensten. Cloud-Anwendungen (SaaS, PaaS oder IaaS) haben die Art und Weise verändert, wie APIs im Allgemeinen von Softwareentwicklern entworfen, verwendet und genutzt werden. APIs haben sich zum Rückgrat der meisten modernen Anwendungen entwickelt, die wir heute nutzen. Die Reichweite und Popularität einiger dieser Cloud-Anwendungen sowie der Schatz an kritischen Daten, die sie enthalten, machen APIs zu einem lukrativen Ziel für Bedrohungsakteure. Die Vernetzung von APIs birgt weitere potenzielle Risiken für Unternehmen, da sie zu einem Einstiegsvektor für breitere Angriffe auf die Lieferkette werden. In den meisten Fällen bleiben Angriffe auf APIs unbemerkt, da sie im Allgemeinen als vertrauenswürdige Kanäle gelten und nicht von dem gleichen Maß an Governance und Sicherheitskontrollen profitieren.

Wie reagieren? In diesem Zusammenhang sollte es für Unternehmen eine Priorität sein, Einblick sowohl in die Anwendungsnutzung zu erhalten mit der Möglichkeit, genutzte APIs zu untersuchen, um letztendlich über ein risikobasiertes Inventar der verwendeten APIs und eine Governance-Richtlinie zur Kontrolle des Zugriffs sowohl über diese Dienste zu verfügen, als auch über nicht nutzerbasierte Entitäten innerhalb der Infrastruktur, wie z. B. Servicekonten und Anwendungsprinzipien, die APIs in das breitere Unternehmensökosystem integrieren.

Für Entwickler sollte die Entwicklung eines effektiven Bedrohungsmodells für ihre APIs und die Implementierung eines Zero-Trust-Zugriffskontrollmechanismus Priorität haben, ebenso wie eine effektive Sicherheitsprotokollierung und Telemetrie für eine bessere Reaktion auf Vorfälle und die Erkennung böswilliger Nutzung.

Ein Transportunternehmen muss Kundendaten schützen und die Verfügbarkeit aufrechterhalten, um den Kundenanforderungen gerecht zu werden. Dazu sind bessere Ransomware- und Cloud-Sicherheitskontrollen wichtige Instrumente, mit dem Ziel, das Schutzniveau zu verbessern.

Wichtige Sicherheitsaspekte, die bei der Codierung zu berücksichtigen sind:

1. Fehlkonfiguration von APIs, die zu einer unerwünschten Offenlegung von Informationen führt.
2. Nutzung moderner Authentifizierungsmechanismen wie Oauth/Golden SAML, um Zugriff auf APIs zu erhalten und in Zielumgebungen zu bestehen.
3. Die Entwicklung traditioneller Malware-Angriffe zur Verwendung vermehrter Cloud-APIs wie der Microsoft Graph-API für das Landing und die Erweiterung, denn wir haben bereits Beweise dafür beim Angriff auf Solarwinds sowie bei anderen Bedrohungsakteuren wie APT40/ GADOLINIUMgesehen.
4. Potenzieller Missbrauch der APIs, um Angriffe auf Unternehmensdaten zu starten, wie Ransomware auf Cloud-Speicherdienste wie OneDrive usw.
5. Die Verwendung von APIs für softwaredefinierte Infrastrukturen bedeutet ebenfalls einen potenziellen Missbrauch, der zur vollständigen Übernahme der Infrastruktur oder Einrichtung einer Schatteninfrastruktur für böswillige Zwecke führt.

Wie kann ein Logistik- und Transportunternehmen angesichts der Bereitstellung von IoT-Lösungen in der gesamten Lieferkette beziehungsweise im Kontext eines erweiterten Ökosystems das Cyberrisiko kontrollieren?

Zero-Trust und Cyberresilienz sind zwei Sicherheitsprinzipien, die Transportunternehmen als Strategie für ihr Risikomanagement nutzen sollten.

Die NIST Special Publication definiert Zero-Trust als eine sich entfaltende Reihe von Cybersicherheitsparadigmen, die die Verteidigung weg von statischen, netzwerkbasierten Perimetern zu einem Fokus auf Benutzer, Assets und Ressourcen verlagert. Zero-Trust verlangt, dass Assets kein implizites Vertrauen entgegengebracht werden sollte, wenn dies ausschließlich auf der Grundlage des physischen oder netzwerkbasiertes Segments beruht. Dies gilt z. B. insbesondere für IoT-Geräte.

Cyberresilienz ist wiederum die Fähigkeit eines Unternehmens, die Sicherheitslage kontinuierlich anzupassen, Bedrohungen schnell zu erkennen und darauf zu reagieren, um effektiv unter feindlichen Bedingungen zu arbeiten. Cyberresilienz erfordert heute eine Zero-Trust-basierte Sicherheitsarchitektur, die mit anderen Absicherungspraktiken wie Geschäftskontinuität und Informationsschutz zusammenarbeitet, um eine widerstandsfähige Organisation zu gewährleisten. Transportunternehmen im Bereich der Fertigung oder im Gesundheitswesen gelten in vielen Ländern der Welt als kritische Infrastruktur. Ihre Fähigkeit, einen Cyberangriff zu überstehen, der auf operative Technologie oder in der Cloud gehostete Dienste abzielt, wird sowohl für den Geschäftserfolg als auch für die Resilienz von entscheidender Bedeutung sein.

Da es sich bei Zero-Trust um ein Architekturprinzip und eine Strategie handelt, kann die Implementierung umfangreich sein. Hier sind jedoch einige gute Ansatzpunkte:

Implementieren Sie eine kontinuierliche Überwachung über alle Unternehmenssysteme hinweg Die Überwachung sollte nicht nur aus der Erfassung und Speicherung von Protokollen bestehen, sondern auch eine proaktive Überwachung auf potenziell bösartige Aktivitäten im gesamten Unternehmen, auf Änderungen und Schwachstellen in kritischen Systemen oder Diensten und auf anomale Benutzeraktivitäten beinhalten.

Sammeln Sie möglichst viele Informationen über die Assets und Dienste des Unternehmens. Die Erkennung und das Verständnis von Assets sollten über IT-verwaltete Systeme und Endgeräte hinausgehen. Nach den Zero-Trust-Prinzipien sind alle Datenquellen und Rechendienste Ressourcen. Daher sollten sich die Erkennung und das Verständnis von Assets auch auf Cloud-Services, BYOD, vertragseigene OT-Automatisierungssysteme sowie Mitarbeiter- und Lieferantensysteme erstrecken, die auf Unternehmensressourcen und Unternehmensdaten zugreifen.

Eliminieren Sie vertrauenswürdige Zonen und Mikrosegment-Ressourcen. Ein wichtiges Zero-Trust-Prinzip besteht darin, keinen Zugriff auf Unternehmensressourcen zu gewähren, der ausschließlich auf der Grundlage des Standorts oder Netzwerksegments beruht. Dies ist besonders wichtig zwischen Arbeitsplatz- und Industriesystemen, erstreckt sich aber auch auf Netzwerke mit Fernzugriff von Lieferanten oder Mitarbeitern sowie auf die Mikrosegmentierung zwischen kritischen Geschäfts- und Sicherheitssystemen.

Wie bewerten Sie die Sicherheit und Souveränität von Daten, die zunehmend in Cloud-Infrastrukturen gespeichert werden, sich im Besitz großer amerikanischer und bald auch chinesischer Unternehmen befinden, und für die es nach wie vor nur schwache Kontrollmittel gibt?

Dies ist ein schwieriges Thema, für das wir meiner Ansicht nach einen dreistufigen Ansatz benötigen.

Erstens gebührt dem Schutz von Kundendaten vor Diebstahl von außen, unabhängig von den Hosting-Plattformen oder dem Eigentum der Cloud–Infrastruktur, meiner Meinung nach höchste Priorität. Diese Aufgabe liegt in der gemeinsamen Verantwortung des Dateneigentümers (Transportunternehmen) und Cloud-Dienstleisters. Transportunternehmen müssen sicherstellen, dass Anwendungen, die für die Nutzung auf Cloud-Plattformen entwickelt wurden, sicher sind und der Zugriff auf Anzeichen einer Sicherheitsverletzung überwacht wird. Cloud-Dienstleister müssen sicherstellen, dass die IaaS- und PaaS-Komponenten sicher sind und die erforderlichen Zertifizierungen von Drittanbietern vorliegen, um angemessene Kontrollen nachweisen zu können.

Zweitens müssen Daten- und Anwendungseigentümer einen Privacy-by-Design-Ansatz für die Entwicklung von Anwendungen sicherstellen, die IoT-Systeme unterstützen. Die Minimierung der Datenerfassung auf ausschließlich notwendige Elemente, der Schutz von Daten durch Verschlüsselung und die Einhaltung lokaler Datenschutzbestimmungen wie der DSGVO oder Popia sind für das Risikomanagement von entscheidender Bedeutung.

Zu guter Letzt sollten staatliche Stellen, Cloud-Anbieter und die Industrie zusammenarbeiten, um sicherzustellen, dass ein gemeinsames Verständnis der digitalen Grenzen und Lösungen den regulatorischen Anforderungen gerecht werden kann, ohne die Datenhoheit oder den Datenschutz zu gefährden.