36 Software Supply Chain Attacks /invite Alexandra Paulus
Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede
ist von Cyber-Operationen via Software Supply Chains, also
Softwarelieferketten. Eine Organisation wird nicht über ihre eigene
Infrastruktur angegriffen,
1 Stunde 28 Minuten
Podcast
Podcaster
Beschreibung
vor 1 Jahr
Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede
ist von Cyber-Operationen via Software Supply Chains, also
Softwarelieferketten. Eine Organisation wird nicht über ihre eigene
Infrastruktur angegriffen, sondern über eine Kompromittierung eines
externen Dienstleisters, von dem sie abhängig ist. Eine Software
Supply Chain kann zum Beispiel Managed Service Provider umfassen,
die z.B. Netzwerke für Unternehmen managen oder Mobile Device
Management Dienste bereitstellen. Aber auch Angriffe auf
Update-Verteilungsmechanismen gehören zu Software Supply Chain
Risiken. Die sind eine besondere Herausforderung, weil Verteidigung
dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain
Anbieter potenziell viele Kundinnen und Kunden haben: Hack once,
penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein
Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen
kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der
Stiftung Neue Verantwortung, die kürzlich darüber eine Studie
geschrieben hat Shownotes Alexandra Paulus bei der Stiftung Neue
Verantwortung,
https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit
Government’s Role in Increasing Software Supply Chain Security,
https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf
NIS 2 directive,
https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333
EU Cyber Resilience Act,
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Improving the Nation's Cybersecurity: NIST’s Responsibilities Under
the May 2021 Executive Order,
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
‘The Internet Is on Fire’, A vulnerability in the Log4j logging
framework has security teams scrambling to put in a fix,
https://www.wired.com/story/log4j-flaw-hacking-internet/ Conti
ransomware uses Log4j bug to hack VMware vCenter servers,
https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/
Exploring a crypto-mining campaign which used the Log4j
vulnerability,
https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability
Percepticon, Folge 24 Solarwinds,
https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/
Kaseya supply chain attack impacts more than 1,000 companies,
https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/
Supply chain cyberattack with possible links to North Korea could
have thousands of victims globally,
https://cyberscoop.com/3cx-hack-supply-chain-north-korea/
Percepticon, Folge 22 Security by design /invite Dennis Stolp,
https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/
Chinese Hackers Targeted Global Firms Via Supply Chain,
https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/
BSI IT-Sicherheitskennzeichen,
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
MSC Label Debatte.,
https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel
XKCD Comic “Dependency”, https://xkcd.com/2347/ National
Telecommunications and Information Association,
https://ntia.gov/page/software-bill-materials Verfahren gegen
Lilith Wittmann eingestellt – weil CDU connect ungeschützt war,
https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
Governance von 0-Day-Schwachstellen in der deutschen
Cyber-Sicherheitspolitik SWP-Studie 2019,
https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen
OECD, Encouraging vulnerability treatment,
https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
Atlantic Council,
ist von Cyber-Operationen via Software Supply Chains, also
Softwarelieferketten. Eine Organisation wird nicht über ihre eigene
Infrastruktur angegriffen, sondern über eine Kompromittierung eines
externen Dienstleisters, von dem sie abhängig ist. Eine Software
Supply Chain kann zum Beispiel Managed Service Provider umfassen,
die z.B. Netzwerke für Unternehmen managen oder Mobile Device
Management Dienste bereitstellen. Aber auch Angriffe auf
Update-Verteilungsmechanismen gehören zu Software Supply Chain
Risiken. Die sind eine besondere Herausforderung, weil Verteidigung
dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain
Anbieter potenziell viele Kundinnen und Kunden haben: Hack once,
penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein
Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen
kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der
Stiftung Neue Verantwortung, die kürzlich darüber eine Studie
geschrieben hat Shownotes Alexandra Paulus bei der Stiftung Neue
Verantwortung,
https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit
Government’s Role in Increasing Software Supply Chain Security,
https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf
NIS 2 directive,
https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333
EU Cyber Resilience Act,
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Improving the Nation's Cybersecurity: NIST’s Responsibilities Under
the May 2021 Executive Order,
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
‘The Internet Is on Fire’, A vulnerability in the Log4j logging
framework has security teams scrambling to put in a fix,
https://www.wired.com/story/log4j-flaw-hacking-internet/ Conti
ransomware uses Log4j bug to hack VMware vCenter servers,
https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/
Exploring a crypto-mining campaign which used the Log4j
vulnerability,
https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability
Percepticon, Folge 24 Solarwinds,
https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/
Kaseya supply chain attack impacts more than 1,000 companies,
https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/
Supply chain cyberattack with possible links to North Korea could
have thousands of victims globally,
https://cyberscoop.com/3cx-hack-supply-chain-north-korea/
Percepticon, Folge 22 Security by design /invite Dennis Stolp,
https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/
Chinese Hackers Targeted Global Firms Via Supply Chain,
https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/
BSI IT-Sicherheitskennzeichen,
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
MSC Label Debatte.,
https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel
XKCD Comic “Dependency”, https://xkcd.com/2347/ National
Telecommunications and Information Association,
https://ntia.gov/page/software-bill-materials Verfahren gegen
Lilith Wittmann eingestellt – weil CDU connect ungeschützt war,
https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
Governance von 0-Day-Schwachstellen in der deutschen
Cyber-Sicherheitspolitik SWP-Studie 2019,
https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen
OECD, Encouraging vulnerability treatment,
https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
Atlantic Council,
Weitere Episoden
37 Minuten
vor 2 Monaten
24 Minuten
vor 5 Monaten
1 Stunde 3 Minuten
vor 7 Monaten
29 Minuten
vor 8 Monaten
51 Minuten
vor 9 Monaten
Abonnenten
Berlin
Kommentare (0)