In den letzten Tagen ihrer Amtszeit hat die Biden-Administration eine wichtige Durchführungsverordnung (Executive Order, EO) erlassen, die sich auf die Stärkung von Schlüsselbereichen des Ansatzes der Bundesregierung zur Cybersicherheit in Bezug auf Risiken wie Softwarebeschaffung, Lieferketten und die Notwendigkeit besserer Erkennungs- und Reaktionsinstrumente konzentriert.
Die Notwendigkeit sicherer Lieferketten ist seit langem bekannt, wurde aber im vergangenen Jahr vielleicht am deutlichsten, als die Lieferketten der Hisbollah infiltriert wurden, was dazu führte, dass Kommunikationsgeräte bei ihrer Verwendung explodierten. Weitere Beispiele sind der bekannte SolarWinds-Angriff, die Mirai-Botnet-Angriffe (Malware, die für große verteilte Denial-of-Service-Angriffe verantwortlich ist) und der Ransomware-Angriff auf ein amerikanisches Ölversorgungssystem durch Colonial Pipeline im Jahr 2021. Und schließlich die Wasserbehörde von Aliquippa, Pennsylvania, deren in Israel entwickeltes Unitronics-Gerät als Kommunikationsschnittstelle zu kritischen Infrastrukturen genutzt wurde, um die "teilweise Kontrolle" über die Wasserregulierungsbehörden zu erlangen.
Hier treffen das Risikomanagement der Lieferkette und Cyberrisiken aufeinander. Auch wenn einige dieser Beispiele extrem erscheinen mögen, kann man sich leicht vorstellen, wie das Eindringen in die Software-Lieferkette von Behörden mit Taktiken wie dem Einschleusen von Schadcode verheerende Folgen haben kann. Noch nie war es so klar wie heute, dass Cyber-Risiken aufgrund der gegenseitigen Abhängigkeiten von Software, Regierungssystemen und kritischer Infrastruktur auch physische Auswirkungen haben können.
Die Versorgungskette der US-Regierung ist ein komplexes und ausgedehntes Netzwerk von Anbietern, Lieferanten und Dienstleistern, die eine entscheidende Rolle bei der Unterstützung der strategischen Ziele des Landes spielen, einschließlich des Schutzes der kritischen Infrastruktur des Landes, wie z. B. der Abwasserentsorgung, der Energieerzeugung und der Produktion. Dieses komplizierte Netz miteinander verbundener Einheiten bietet jedoch auch eine riesige Angriffsfläche mit zahlreichen Einfallspunkten für potenzielle Cyber-Bedrohungen. Die Verbreitung von Systemen und Geräten mit Internetzugang innerhalb dieser Versorgungskette verschärft das Risiko noch weiter, dass jede angeschlossene Anlage potenziell als Einfallstor für gegnerische Akteure dienen könnte, um das breitere Netzwerk zu infiltrieren. Wir hatten Glück, dass die Technologie für kritische Infrastrukturen einzigartige Fähigkeiten zur Verwaltung und zum Betrieb erfordert, so dass es nicht zu einer Verbreitung von Angriffen auf kritische Infrastrukturen gekommen ist.
Angesichts des Umfangs und der Wichtigkeit der von der US-Regierung verwendeten Software ist die Herausforderung für die Cybersicherheit immens. Nationalstaatliche Angreifer können ausgeklügelte Taktiken, Techniken und Verfahren anwenden, wie z. B. die Einführung von Software-Hintertüren in unternehmenskritische Regierungssysteme. Sie können kleinere Zulieferer innerhalb der Lieferkette ins Visier nehmen und deren schwächere Sicherheitsvorkehrungen ausnutzen, um sich Zugang zu verschaffen, der es ihnen ermöglicht, bösartigen Code einzuschleusen.
Der Erlass sieht wichtige Verfahren vor, um die Sicherheit von Software zu gewährleisten, die in Regierungsbehörden eingesetzt wird. Sie fordert Softwareanbieter auf, der Critical Infrastructure and Security Agency (CISA) maschinenlesbare Bescheinigungen über ihre Softwareentwicklungspraktiken sowie eine Liste ihrer Softwarekunden aus der zivilen Bundesverwaltung (FCEB) vorzulegen. Innerhalb von 30 Tagen nach Veröffentlichung dieser Anforderung wird das Ministerium für Innere Sicherheit ein Programm zur Überprüfung und Validierung aller Bescheinigungsformulare entwickeln.
Die neue Anordnung des Präsidenten verlangt auch, dass die Behörden alle Informationssysteme in einem zentralen Register erfassen, das entweder vom CISA, dem Verteidigungsministerium oder einem "nationalen Verwalter" geführt wird. Die Parteien werden ihre Verzeichnisse gegebenenfalls austauschen, um Lücken oder Überschneidungen bei der Aufsicht zu ermitteln.
Diese Schlüsselanforderungen geben der Regierung ein starkes Instrument an die Hand, um die Integrität der von den FCEB-Behörden verwendeten Software zu gewährleisten, sowie eine hilfreiche Bestandsaufnahme, wo diese Software eingesetzt wird, und ein Verständnis des vollen Umfangs dieser Angriffsfläche. Dies ist eine wesentliche Voraussetzung, um die Risiken in der Lieferkette wirksam zu mindern und den Erfolg von Regierungsaufträgen zu gewährleisten.
Dieser Erlass ist ein positiver Schritt und eine Anerkennung der Bedeutung eines vielschichtigen Ansatzes für die Sicherheitsstrategie in der Software-Lieferkette, der solide Risikobewertungen von Anbietern, eine kontinuierliche Überwachung und die Einführung fortschrittlicher Sicherheitsrahmenwerke umfasst. Gründliche Risikobewertungen von Anbietern erfordern umfassende Sicherheitsprüfungen aller Anbieter und Lieferanten innerhalb der Lieferkette, um die Cybersicherheitspraktiken der Anbieter, die Einhaltung von Industriestandards und die allgemeine Risikolage zu bewerten. In dieser Hinsicht werden die Anforderungen für die Bescheinigung und ein zentrales Register dazu beitragen, die Wahrscheinlichkeit zu minimieren, dass Angreifer Schwachstellen einschleusen und ausnutzen können.
Um die Wirksamkeit dieser neuen Anforderungen zu erhöhen, sollten sich die Behörden auch weiterhin auf die Übernahme bestehender Cybersicherheitsmodelle wie das National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 und das Zero Trust Framework der Regierung konzentrieren. Innerhalb der Lieferkette funktioniert eine Zero-Trust-Architektur nach dem Prinzip, dass keine Einheit - ob intern oder extern - standardmäßig vertrauenswürdig sein sollte. Durch die Umsetzung der Zero-Trust-Prinzipien können die Behörden das Risiko eines unbefugten Zugriffs und der Abwanderung innerhalb der Software-Lieferkette erheblich verringern.
Censys ist einzigartig positioniert, um unseren Regierungskunden bei der Bewältigung dieser Cybersicherheitsherausforderungen mit leistungsstarken Tools für internetweites Scannen, Asset Discovery und Schwachstellenmanagement zu helfen, die Einblicke in die Internet-Exposition bieten, die ihre einzigartige Angriffsfläche umfasst. Durch die Bereitstellung eines umfassenden Echtzeit-Überblicks über die gesamte digitale Infrastruktur einer Organisation ermöglicht Censys eine Visualisierung des Cyber-Terrains, die Risiken hervorhebt, Reaktionsmaßnahmen priorisiert und eine proaktive Verteidigungsplanung ermöglicht.
Wir von Censys begrüßen die Schritte, die das neue EO unternimmt, um die wachsenden Risiken und Herausforderungen im Zusammenhang mit der Software-Lieferkette der Regierung und anderen Schwachstellen zu bewältigen. Wir freuen uns auf die Zusammenarbeit mit unseren Kunden in der Bundesregierung, um diese Probleme erfolgreich anzugehen.
