Detta är det kanske mest lömska och skadliga av alla cyberbrott

Supply Chain Attacks är en metod för cyberkriminella att med ett enda intrång ta sig in i ytterligare kanske tusentals andra företags IT-system. Genom att använda betrodda vägar lurar de kriminella vanliga IT-säkerhetsskydd – och kan slå till mot företags mest välbevakade delar. – Den här typen av attack tar sig igenom alla kontroller eftersom det kommer från en källa man litar på. Det är fruktansvärt lömskt, säger Nils von Greyerz, Senior System Engineer på IT-säkerhetsföretaget SentinelOne. 

En Supply Chain Attack går ut på att bryta sig in i någon annans leverantörskedja. Man introducerar därefter skadlig kod i något som ska levereras till andra. Det vanligaste sättet är genom uppdateringar.

Ett mjukvaruföretag kan han tusentals kunder som använder deras programvara – som helt naturligt och automatiskt uppdateras med nya funktioner och för att reparera buggar. Kundföretagen har konfigurerat sina IT-säkerhetssystem för att acceptera och exekvera dessa uppdateringar.

– När de cyberkriminella tar sig in i mjukvaruföretagets IT-system och planterar sin skadliga kod i uppdateringarna, kommer dessa rakt in i kundföretagens enheter vid nästa uppdatering, förbi alla brandväggar och virusskydd, förklarar Nils von Greyerz.

Bakdörr öppnas på kommando

Den skadliga koden kan innehålla bakdörrar som öppnas på order från de cyberkriminella som plötsligt kan få tillgång till den mest känsliga informationen hos tusentals företag. Det kan handla om att stjäla information om samhällsviktig infrastruktur för militära ändamål, olika typer av industrispionage eller för att få kontroll över verktyg för att styra politiska skeenden i ett land.

Ofta vet offren inte ens om att attacken pågår och det finns flera exempel på hur brottet uppnått sitt syfte och avslutats av förövarna innan det upptäcks. Då kan det också vara svårt att veta vilken information som stulits.

– Att skydda sig mot en Supply Chain Attack är en stor utmaning eftersom det är någon vi litar på som fört in den skadliga koden. Här måste man generellt ha en ”No Trust Approach”, där man helt enkelt inte litar på någon, inte ens sina samarbetspartners och leverantörer, säger Nils von Greyerz.


Nils von Greyerz, Senior System Engineer på IT-säkerhetsföretaget SentinelOne.

SentinelOne kan erbjuda skydd

Det finns verktyg för att öka skyddet mot dessa attacker. Det handlar om mjukvara som övervakar processer och skeenden som pågår på servrar och andra enheter i en organisation.

– I alla intrång så finns indikationer någonstans över att något har hänt. Utmaningen är att få fram den datan. Vår lösning SentinelOne Singularity hjälper till att hitta och visualisera denna typ av information, för att man ska kunna förstå att man har blivit utsatt för ett intrång. Vi erbjuder också rätt verktyg för att kunna följa upp och åtgärda när man upptäcker något misstänkt, säger Nils von Greyerz.

SentinelOne Singularity arbetar med endpoint-protection och AI för att övervaka processer och tillgängliggöra avvikelser. Sker något oväntat slår systemet larm.

– Tittar man på hela flödet istället för unika händelser har man mycket större chans att förstå att man är under attack. Det kan man göra med SentinelOnes lösning, avslutar Nils von Greyerz.

Om SentinelOne 

SentinelOne erbjuder marknadens enda IT-säkerhetslösning som med hjälp av AI arbetar med att förebygga, upptäcka och oskadliggöra cyberattacker mot endpoints, containers, cloud workloads och IoT-enheter i en enda autonom XDR-plattform.

Med lösningen SentinelOne Singularity får organisationer full insyn i allt som händer på nätverket i realtid, för att kunna motverka cyberattacker i varje steg av hotets livscykel.