YORUM
Aralık 2020’de SolarWinds saldırısı dünya çapında şok dalgaları yarattı. Saldırganlar, SolarWinds’in yazılım geliştirme ortamına yetkisiz erişim elde etti, Orion platform güncellemelerine kötü amaçlı kod enjekte etti ve Sunburst adında bir arka kapı oluşturarak potansiyel olarak ulusal güvenliği tehlikeye attı. Saldırı, aralarında devlet kurumları ve büyük şirketlerin de bulunduğu 18.000 kuruluşu etkiledi ve ihlalden sorumlu olan kötü niyetli aktörler, saldırıyı gerçekleştirmeye hazırlanıyor olabilir. Saldırıyı 2019’dan beri gerçekleştiriyoruz.
Üç yıl geçmesine ve hükümetlerin ve diğer kuruluşların güvenlikle ilgili en iyi uygulamaları ve mevzuatı yeniden değerlendirmesine rağmen, bu hikayede yeni gelişmeler ortaya çıkmaya devam ediyor. Bu, böylesine şiddetli bir saldırının tekrar yaşanmasını önlemek için daha fazlasının yapılması gerektiğini gösteriyor.
SolarWinds Saldırısına İlişkin Yeni Bilgiler Ortaya Çıkarılıyor
Saldırıyla ilgili son gelişmeler, tedarik zinciri güvenliğinin yüksek vasıflı saldırganlara karşı ne kadar savunmasız olduğunun altını çiziyor. Yeni içgörüler aynı zamanda hızlı ve etkili siber güvenlik uygulamalarının ülke çapındaki tehditlere karşı korunmadaki kritik rolünü de vurguluyor.
Nisan 2023’te ABD Adalet Bakanlığı’nın Mayıs 2020’de SolarWinds ihlalini tespit ettiresmi duyurudan altı ay önce ve SolarWinds’e anormallik hakkında bilgi verdi. Aynı dönemde Volexity, ABD’deki bir düşünce kuruluşundaki bir veri ihlalinin izini kuruluşun Orion sunucusuna kadar sürdü. Eylül 2020’de Palo Alto Networks, Orion ile ilgili anormal aktivite tespit etti. Her durumda SolarWinds’e bilgi verildi ancak şüpheli bir şey bulunamadı.
Ekim 2023’te, SEC, SolarWinds ve CISO’sunu suçladı dolandırıcılık ve iç kontrol başarısızlıkları ile şirketi “[defrauding] SolarWinds’in yatırımcıları ve müşterileri, şirketin zayıf siber güvenlik uygulamalarını ve artan – ve artan – siber güvenlik risklerini gizleyen yanlış beyanlar, ihmaller ve planlar aracılığıyla.” Bu suçlamalar, SolarWinds’teki sistemik sorunlara işaret ediyor ve şirketin siber güvenlik duruşu ve titizliği hakkında sorular ortaya çıkarıyor.
Birlikte ele alındığında, bu açıklamalar SolarWinds olayının başlangıçta anlaşılandan daha önemli ve uzun süreli bir etkiye sahip olduğunu gösteriyor. Ayrıca tedarik zinciri güvenliğini iyileştirmenin karmaşıklığının da altını çiziyorlar.
Federal Yanıtlar ve Düzenleyici Eylem
Bu ihlale yanıt olarak düzenleyiciler, tedarik zinciri güvenliğini artıracak yeni düzenlemeleri değerlendirirken SolarWinds’in güvenlik uygulamalarını araştırmaya başladı. Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal İstihbarat Direktörlüğü Ofisi’nden (ODNI) oluşan Siber Birleşik Koordinasyon Grubu (UCG), Ulusal Savunma Bakanlığı’nın desteğiyle kuruldu. Güvenlik Ajansı (NSA). UCG, bu tür tehditlere karşı işbirliğine dayalı bir yaklaşımın örneğini teşkil etmektedir.
Ocak 2022’de, CISA acil durum direktifleri yayınladı Federal kurumları güvenlik açıkları ve alınacak önlemler konusunda bilgilendirmek. Ayrıca tavsiyeler ve raporlar aracılığıyla rehberlik de sağladı. CISA’nın çabaları, katılımcıların gerçek zamanlı saldırı bilgilerini paylaşabileceği “tüm hükümeti kapsayan” bir güvenlik operasyonları merkezini güçlendirerek tehdit görünürlüğünü genişletti. Saldırıdan etkilenen kuruluşlar o zamandan beri olay müdahale planlarını uygulamaya koydu, izlemeyi geliştirdi ve satıcı risk yönetimini geliştirdi.
Ve Haziran 2022’de, Başkan Biden imzaladı İç Güvenlik Bakanlığı ile eyalet, yerel, kabile ve bölgesel yönetimler arasındaki iş birliğini teşvik eden 2021 Eyalet ve Yerel Yönetim Siber Güvenlik Yasası’nın yasalaşması.
Geleceğe Hazırlık ve İşbirlikçi Önlemler
SolarWinds saldırısı dünya çapında kapsamlı siber güvenlik mevzuatı çağrılarına yol açtı. Hükümetler siber güvenlik çerçevelerini güçlendirmeli, bilgi paylaşımını iyileştirmeli ve kritik altyapılar için denetim ve risk yönetimi uygulamalıdır. Kuruluşların da üçüncü taraf tedarikçilerle çalışmaya başlamadan önce kapsamlı durum tespiti süreçleri de dahil olmak üzere sağlam satıcı risk yönetimi programları oluşturmaları gerekir.
Özel şirketler ile devlet kurumları arasındaki bilgi paylaşımı hâlâ önemini koruyor ve tespit ve müdahale için hızlı ve etkili süreçler gerektiriyor. Kamu-özel sektör ortaklıkları, ortaya çıkan tehditlere ilişkin içgörülerin paylaşılması konusunda teşvik edilmektedir. Saldırının ardından dünyanın dört bir yanındaki kuruluşların bilgi paylaşımına ve işbirliğine daha fazla önem vermesi gerekiyor. Siber güvenlik tedarikçilerinin, karmaşık tehditlere karşı kolektif savunmayı güçlendirmek için tehdit istihbaratı paylaşım platformlarına ve daha geniş ortaklıklara daha fazla yatırım yapması gerekiyor.
SolarWinds olayı yazılımın önemini vurguluyor tasarım gereği güvenlik. Saldırganlar, güvenli kodlama uygulamalarının yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçası olması gerektiğini vurgulayarak geliştirme sürecindeki zayıf noktalardan yararlandı. Kuruluşların güvenli kodlama standartlarına, düzenli kod incelemelerine, güvenlik açığı değerlendirmelerine ve sızma testlerine öncelik vermesi gerekir.
Öyle olsa bile kodun nasıl geliştirildiği, güncellendiği ve dağıtıldığı süreci siber saldırıları ortadan kaldırmayacaktır. Bu nedenle birçok kuruluşun güvenlik denetimi, uç nokta güvenliği, yama yönetimi ve ayrıcalık yönetimi süreçlerini iyileştirmesi gerekiyor. Sıfır güven yaklaşımının uygulanması Ağlar içindeki yanal hareketi sınırlandırabileceği ve güvenliği ihlal edilmiş sistemlerden kaynaklanan potansiyel hasarı en aza indirebileceği için önemlidir.
İyileştirilmesi gereken bir diğer alan ise penetrasyon testiAğlardaki potansiyel güvenlik açıklarını aktif olarak araştıran. Bir işletme için seçeneklerden biri bir kırmızı takım — saldırganlar bulmadan önce ağ savunmalarını test eden ve saldırganların yararlanabileceği potansiyel kusurları veya açıklıkları bulan siber güvenlik personeli.
Çözüm
SolarWinds saldırısı, kuruluşların gelişen siber tehditlere karşı tetikte olmaları gerektiğinin sürekli bir hatırlatıcısıdır. Kuruluşlar bilgi sahibi olarak, iş birliği yaparak ve siber güvenlik uygulamalarını sürekli iyileştirerek SolarWinds gibi tedarik zinciri ihlallerine karşı savunmalarını geliştirebilir ve 2023 ve sonrasında dijital ekosistemlerini koruyabilirler.