Mart ayında 3CX tarafından ifşa edilen bir tedarik zinciri saldırısını araştıran araştırmacılar, bunun alışılmadık ve endişe verici bir kaynağı olduğunu keşfettiler: başka bir şirketin tedarik zinciri saldırısı. “Başlangıç” saldırısının kökü beklenenden daha fazla ortadan kaldırıldığında, 3CX senaryosu, yazılımlarının güvenliğinin ne kadar kontrollerinin dışında olabileceğinin imaları göz önüne alındığında bilgi güvenliği uzmanlarını sarstı – ve her şeyi doğru yapmanın, , bazı durumlarda, bu kadar çok karşılıklı bağımlılığın olduğu bir dünyada yeterli olmayabilir. Geniş ölçekte böyle bir saldırı, bir kaynaktan yayılan ve bağlı bir topluluktan diğerine yayılan yayılan bir virüse benzeyebilir. Kötü aktörlerin çevrenizde ne kadar derine gömülmüş olabileceğini düşünmek rahatsız edici.
Nasıl bu hale geldi
Son yıllarda hızlanan dijitalleşme oranı ve genişleyen bir tehdit ortamı, yetenek geliştirme oranını geride bıraktı. (ISC) tarafından yayınlanan 2022 “Siber Güvenlik İşgücü Çalışması”2 Ocak ayında, “dünya çapında 3,4 milyon siber güvenlik çalışanı açığı” olduğunu kaydetti. Yakın zamanda yapılan başka bir ankette, beş şirketten dördünden fazlası, beşten az kurum içi güvenlik analistine sahip olduğunu veya kendi güvenlik operasyon merkezlerini (SOC) çalıştırmak için yeterli olmadığını bildirdi. Sonuç olarak, kuruluşlar, temel hizmetleri sağlamak için giderek daha fazla dış satıcılara yöneliyor.
3CX saldırısı, bir kuruluşun yazılım tedarik zincirinde güvenlik açıklarının nasıl ortaya çıkabileceğine ışık tutan en son saldırıdır. Neustar Uluslararası Güvenlik Konseyi tarafından Temmuz 2022’de yapılan bir ankette, bilgi güvenliği uzmanlarının yaklaşık dörtte üçü (%73), üçüncü taraf sağlayıcılarla artan entegrasyon nedeniyle kendilerinin veya müşterilerinin bir şekilde veya önemli ölçüde riske maruz kaldığına inanıyor.
Risk Yönetimi için Yeni Kurallar
Kuruluşlar, tedarik zinciri ekosistemlerindeki riski azaltmak için bir dizi önlem uygulayabilir.
Başlamak için, potansiyel yeni ortaklara uyguladıkları güvenlik kontrollerini anlamaları için standartlaştırılmış bilgi toplama (SIG) anketleri sunulabilir. Durum tespiti sırasında ek perspektif sağlamak için üçüncü taraf değerlendirme hizmetleri de kullanılabilir.
Bir sözleşme kazanan tedarikçiler, en az yılda bir kez gerekli olan düzenli denetimlerle, açıkça tanımlanmış güvenlik standartlarını karşılamaktan sorumlu tutulmalıdır. Bu, işletmelerin tedarikçilerin yükümlülüklerini yerine getirip getirmediğini ve mevcut en iyi uygulamaları yansıtmak için gerekli kontrolleri sürdürüp sürdürmediğini belirlemesine yardımcı olabilir.
Daha da önemlisi, kuruluşlar her zaman iş ortağı ekosisteminin tam bir resmini korumalıdır. Daha katı önleyici tedbirler almak ve sözleşmeye bağlı olarak ortakları, işiniz için uyguladığınıza eşit veya daha yüksek güvenlik standartlarına uymaya zorlamak, iş ortağı ilişkilerinin risk vektörü haline gelmemesini sağlamaya yardımcı olacak önemli adımlardır.
Bunlar oldukça etkili risk azaltma önlemleri olabilse de, riski tamamen ortadan kaldırmayacaklardır. Kuruluşların ayrıca, tedarik zinciri ortakları tarafından sağlananlar da dahil olmak üzere güvenliği ihlal edilmiş sistemler etrafında görünürlük, tespit ve hafifletme için güçlü bir stratejisi olmalıdır. Güvenliği ihlal edilmiş tüm sistemlerin ortak bir noktası vardır: Bilgi sağlamak veya ek kötü amaçlı içerik indirmek için güvenliği ihlal edilmiş makineler, daha fazla talimat için periyodik olarak efendilerine işaret eder. Katmanlı uç nokta, ağ ve koruyucu DNS güvenlik çözümleri, işaretlemeyi proaktif olarak izlemek, engellemek ve güvenlik operasyonlarına bildirim sağlamak için kullanılabilir.
İlerlemeye Devam Etmek İçin İşbirliği Gerekli
Tedarik zinciri riskini azaltma sorumluluğunun yükü, tarihsel olarak mağdurun üzerinde olmuştur ve kendi kaderlerini önleme külfeti, ilk etapta güvenli olmayan yazılımları serbest bırakmaktan sorumlu taraflar yerine bireysel işletmelerdedir. Bu paradigmanın değişme zamanı geldi ve Biden yönetiminin yakın zamanda duyurduğu ve bu dinamiği yeniden ayarlamayı amaçlayan Ulusal Siber Güvenlik Stratejisi doğru yönde atılmış önemli bir adım.
Strateji, üçüncüsü “güvenliği ve dayanıklılığı artırmak için piyasa güçlerini şekillendirmek” olan beş sütun etrafında toplanmıştır. Burada, son kullanıcıların üzerindeki ağır güvenlik yükü kaldırılır ve savunmasız yazılımları pazara sunan satıcılarla paylaşılır. Strateji, çok sık olarak, “yazılım üreticilerinin, sözleşme yoluyla sorumluluğu tamamen reddetmek için pazar konumlarından yararlanabildiklerini” belirtiyor.
Bu dayanak, geliştirme yaşam döngüsü uygulamalarının güvenliği ürün geliştirmenin çok daha erken bir aşamasına dahil edecek şekilde iyileştirildiği sektörde halihazırda kaydedilen ilerlemeyi pekiştiriyor. Amacı, yatırımı teşvik etmek ve satıcıları tasarım gereği güvenli ilkeleri izlemeye ve sürüm öncesi testlere katılmaya teşvik etmektir. Bu uygulamalar, piyasaya giren ürünlerin bütünlüğünü sağlamada uzun bir yol kat edecektir.
Günümüzün hiperaktif tehdit ortamında, tedarik zinciri satıcılarının ihlalleri belirlemek ve ele almak için kurumsal müşterileriyle birlikte çalışması zorunludur. Sağlam tasarıma yatırım yapan ve şeffaflık taahhüdünde bulunan satıcılar, müşterilerinin maruz kaldıkları riskleri azaltmalarına ve güvenle çalışmalarına yardımcı olacaktır. İyi bir siber güvenlik hijyeni herkesin sorumluluğundadır, bu nedenle yeni bir paylaşılan hesap verebilirlik dinamiği oluşturmak yalnızca iyi bir fikir değil, aynı zamanda yapılacak doğru şeydir.