Yazılım tedarik zinciri saldırılarının giderek artmasıyla birlikte 2025, kuruluşların geride kalmak yerine üçüncü taraf risklerini yönetme konusunda adım atmaları ve liderlik etmeleri için çok önemli bir yılı işaret ediyor. Verizon’un “2024 Veri İhlali Araştırma Raporu”na göre saldırganlar, ihlal başlatmak için güvenlik açıklarından yararlanmalarını 2022’ye kıyasla 2023’te %180 artırdı. %15’i veri sorumluları, barındırma iş ortağı altyapıları veya yazılım tedarik zincirleri gibi bir tedarikçiyi veya üçüncü tarafı içeriyordu. .
Dolayısıyla şu soru hala geçerliliğini koruyor: “Kuruluşlar üçüncü taraf yazılım tedarik zincirindeki güvenlik risklerini yönetmede neden daha iyi değil?”
Kuruluşların gelecek yıl içinde nasıl proaktif bir duruşa geçebileceklerine ilişkin görüşlerim ve tahminlerim aşağıdadır.
Önce Zorlukları Anlayın
2024’teki üçüncü taraf yazılımlarla ilgili saldırılara bakıldığında, bazı kalıcı zorluklar kuruluşların dayanıklılığı güçlendirmek için odaklanması gereken alanları öne çıkarıyor:
• Kapsamlı Yazılım Envanterinin Eksikliği – Çoğu kuruluş, üçüncü taraf yazılımlarına ilişkin görünürlükten yoksundur: kurulduğu yer, desteklediği temel iş süreçleri ve güvenlik durumu. Bu bağlam eksikliği, güvenli yapılandırmayı, telafi edici kontrollerin uygulanmasını ve hafifletmeye yönelik risk temelli bir yaklaşımı engelleyerek yazılımı istismara açık hale getirir.
• Güvenlik Açığı Yönetimi ve Sorumluluk Konusunda Mücadeleler – Yeni açıklanan yazılım güvenlik açıklarına ayak uydurmak, BT ekipleri (masaüstü bilgisayarları, sunucuları ve bulut ortamlarını yönetmek) ile üçüncü taraf yazılım kullanıcıları (son kullanıcılar, geliştiriciler ve iş ekipleri) arasındaki belirsiz sorumluluk nedeniyle daha da kötüleşen bir zorluk olmaya devam ediyor. Bu boşluk yama uygulamayı geciktirir ve yazılımın kritik iş süreçlerindeki rolünün anlaşılmasını sınırlar. Kuruluşlar, yazılım risk yönetimini reaktif yamalamanın ötesinde sola kaydırana kadar saldırganlara karşı savunmasız kalacaklar.
• Yazılımın Yayılması ve Yönetişimiyle İlgili Zorluklar – Yazılımın yayılması saldırı yüzeyini genişletmeye devam ederek onu tahmin edilemez ve savunulması zor hale getiriyor. Yazılım envanterlerinin yönetişimi ve rasyonelleştirilmesi olmadan kuruluşlar, sürekli büyüyen bir tehdit ortamına karşı reaktif savunma döngüsünü sürdürerek riski etkili bir şekilde yönetmekte zorlanacaklardır.
Artık bazı zorluklar tanımlandığına göre, kuruluşların yeni yılda üçüncü taraf yazılım riskleriyle başa çıkmak için benimseyebilecekleri birkaç stratejiyi burada bulabilirsiniz.
Çeşitli Ekipler Arasında Ortak Bir Operasyon Resmi Geliştirin – Ortak bir görüş olmadan, Üçüncü Taraf Risk Yönetimi, güvenlik açığı yönetimi, güvenlik mimarisi ve siber savunma gibi ekipler aşağıdakileri sağlayacak uyum ve operasyonel perspektiften yoksundur:
- Belirli yazılım parçaları için sorunu tanımlayın
- Yönetmek için işbirliği noktalarını belirleyin
- Risk sonuçlarını ölçülebilir, test edilebilir ve raporlanabilir yöntemlerle ölçün
Görünürlük tek başına yazılım güvenliği riskinin önüne geçmek için yeterli değildir, ancak satıcı bildirimleri ve acil durum yamaları gibi reaktif yanıtlardan organize, proaktif bir duruşa geçmek için önemlidir. Siber güvenlik aşırı kullanılan askeri benzetmelerle dolu olsa da, doğru olanı şu: Etkili birleşik operasyonlar için ortak bir çalışma tablosu şarttır. Birleşik bir bakış açısıyla ekipler etkili bir şekilde işbirliği yapabilir ve liderler, yazılım tedarik zinciri risklerini yönetmek için koordineli, öngörülebilir ve sürdürülebilir bir yaklaşım sağlayan yapılar oluşturabilir. Bunların hiçbiri kurumsal güvenlik deneyimi olanlar için devrim niteliğinde bir düşünce değil, ancak bunu güçlendirmek için benzersiz içgörülere ihtiyaç var.
Yalnızca Reaktif CVE Analizine Güvenmeyin
Reaktif CVE analizine büyük ölçüde güvenen kuruluşlar çoğu zaman kendilerini, çoğu kritik bağlamdan veya kendi özel ortamlarıyla ilgisinden yoksun olan sürekli güvenlik açıkları akışı altında bunalmış halde buluyor. CVE odaklı araçlar, bilinen sorunları izlemek için yararlı olsa da, yanlışlıkla uyarı yorgunluğuna katkıda bulunabilir ve güvenlik açığı yönetimi iş yüklerini artırabilir. Bu araçlar, proaktif risk azaltmayı teşvik etmek yerine, dikkati en etkili tehditlere öncelik vermekten uzaklaştırabilir. Yazılımdaki gizli güvenlik sorunlarını ortaya çıkarmak için davranışsal analizlere odaklanan daha stratejik bir yaklaşıma geçiş, ekiplerin en önemli güvenlik açıklarını ele almasına ve genel güvenlik duruşunu güçlendirmesine olanak sağlayabilir.
Kapsamlı Yönetim ve İzleme Yoluyla Yazılım Güvenliğini Artırın
• Titiz Yazılım Envanterlerini Benimseyin: Üçüncü taraf ve niş uygulamalar da dahil olmak üzere kuruluş içinde kullanılan tüm yazılımlara ilişkin kapsamlı görünürlük sağlayın.
• Sürekli Risk İzlemeyi Benimseyin: Yazılımı güvenlik açıkları, yanlış yapılandırmalar ve davranışsal riskler açısından düzenli olarak değerlendirin.
• Talep Satıcısı Şeffaflığı: Güvenli SDLC uygulamalarına öncelik veren ve istismar edilebilir güvenlik açıklarının azaltılabilmesi için yazılım tarafından gerçekte hangi savunmasız bileşenlerin kullanıldığına odaklanan ayrıntılı Yazılım Malzeme Listeleri (SBOM’lar) sağlayan yazılım tedarikçileriyle çalışın.
• Davranış Analizinden Yararlanın: Aşırı izinlerin kötüye kullanımını veya güvenli olmayan işlevleri erken, hatta istismar yayılmadan önce tespit etmek için yazılım etkinliğini izleyin.
Çözüm
2025’te yazılım riskini anlama, rasyonelleştirme ve yönetme yeteneği, saldırganların önünde kalabilmek için gerekli hale gelecek. Görünürlük, hesap verebilirlik ve stratejik önceliklendirmeye dayalı olarak üçüncü taraf yazılım risklerini yönetmeye yönelik proaktif, birleşik bir yaklaşımı benimseyen kuruluşlar, yalnızca güvenlik açıklarını azaltmakla kalmayacak, aynı zamanda daha fazla dayanıklılığı da teşvik edecektir.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!