CEO’su Marc Gaffan tarafından
Dijital tedarik zinciri saldırganların hedefinde, ve CISA endişeli. Haziran ortasında, “federal bilgi ve bilgi sistemlerini korumak için federal, yürütme organı, departmanlar ve kurumlara zorunlu bir emir” olan Bağlayıcı Operasyonel Direktif yayınladılar. CISA özellikle internete bağlanan cihazlarla ilgileniyor. Sipariş, yönlendiricileri, anahtarları, güvenlik duvarlarını, VPN’i, yük dengeleyicileri ve bant dışı sunucu yönetimi arabirimlerini kapsar. Ayrıca SolarWinds gibi uzaktan yönetim araçlarını da kapsar.
Dijital tedarik zincirinin kırılganlığı, 2020’de SolarWinds hack’iyle gündeme geldi. Rus saldırganlar, ABD Sağlık, Hazine ve Dışişleri Bakanlıkları da dahil olmak üzere 18.000 kuruluşu etkileyen bir yazılım güncellemesini ele geçirdi.
Kuruluşunuza sızmaya kararlı bir tehdit aktörü, internete açık varlığınıza doğrudan saldırıp saldırmadıklarını veya ortamınıza erişim sağlayan üçüncü taraf bir dijital hizmetin güvenlik açığından yararlanıp yararlanmadıklarını (örneğin, sarkan bir Azure’u ele geçirme) umursamaz web sitenizdeki bir komut dosyasında başvurulan bir uygulama tarafından çağrılan blob).
CISA’nın direktifi, dijital tedarik zincirinin giderek iç içe geçen doğasının, tehdit korumasına yönelik kökten farklı bir yaklaşım gerektirdiğini kabul ediyor. Bir kuruluşun diğer varlıkları ile aynı düzeyde yayılan bağımlılık ağını tanımlamalı ve sinyali gürültüden ayırmalıdır.
Belki de CISA’nın amacını kanıtlayan başka bir siber güvenlik hikayesi, Haziran ayına hakim oldu. Progress Software’in popüler yönetilen dosya aktarım çözümü MOVEit, bir aydan kısa bir süre içinde üç ayrı SQL enjeksiyon güvenlik açığına maruz kaldı.
Kuruluşlar, büyümeyi hızlandırmak, operasyonları ölçeklendirmek ve verimliliği artırmak için giderek daha fazla üçüncü taraf web hizmetlerine, satıcılara ve platformlara güveniyor. Yaptıkları aynı zamanda saldırı yüzeylerini genişletmektir. Bir iş ortağının güvenlik sorunları, bağlantılı bir dijital tedarik zincirinde hızla sizin sorununuz haline gelir. MOVEit, etkilenen bir kuruluşun nasıl yüzlerce başka kuruluş için sorunlara yol açabileceğinin en son örneğidir. Bir aydan kısa bir süre içinde üçüncü SQL enjeksiyon güvenlik açığı, bu hizmetlerin nasıl sık sık hedef alındığını ve genellikle kırılgan olduğunu gösteriyor.
Saldırı Yüzey Keşfi
Veriler gibi dijital bağlantılar da her gün büyür ve değişir. Bu bağlantılar, IP adreslerini, bulut altyapısını, SaaS uygulamalarını ve yönetilen platformları (MOVEit gibi) içerir.
saldırı yüzeyi keşfi için manuel süreçlerin tamamlanması 80 saatten fazla sürebilir, bu da onları modern dijital ortamların ölçeği ve dinamizmi karşısında kullanışsız ve verimsiz hale getirir. Otomasyondan yararlanmak, bir kuruluşun saldırı yüzeyini ele almanın tek yoludur.
Otomatikleştirilmiş görevler, inanılmaz derecede dinamikten sıradan olana kadar geniş bir yelpazede çalışır. Tabii ki, AI ve ML bunun büyük bir parçası. Gelişmiş AI algoritmaları ve makine öğrenimi modelleri, bir ağ veya sistemle ilgili tüm alanları, alt alanları ve IP adreslerini ortaya çıkarabilir. Erişimleri, tüm etki alanlarını, IP bloklarını ve bulut altyapısını tanımlamak ve ilişkilendirmek için interneti ve genel bulut platformlarını endekslemeye kadar uzanır. Web, Etki Alanı Adı Sistemi (DNS), Bulut, Hizmet Olarak Yazılım (SaaS) ve Şirket İçi genelinde sürekli eşlemeyi kaplarlar. Etki alanı kayıt şirketlerinin ve küresel sertifikaların izlenmesine bile yardımcı olurlar.
Risk değerlendirmesi
Otomasyon, keşif kadar değerlendirmenin de merkezinde yer alır. Keşfedilen varlıklar, Bulut, PKI, Web, DNS dahil olmak üzere belirli kategorilere göre değerlendirilir ve tüm ortamda ölçekte otomatikleştirilir.
Varlıkları ve bağlantıları otomatik olarak değerlendiren güvenlik ekipleri, 3. taraf web hizmetlerine bağlı olmaktan kaynaklanan harici riskler, güvenlik duruşunu etkileyen harici bağımlılıklar ve DNS zincirleri gibi riskli bağlantı güvenlik açıklarını belirleyebilir.
Uyarı yorgunluğu gerçek bir problemdir. Bir risk değerlendirmesi bağlam sağlamalı ve en kritik, etkili tehditlere odaklanmalıdır. Tedarik zinciri içinde keşfedilen tüm güvenlik açıkları, kendilerine bağlanan birinci taraf varlıklar için oluşturdukları riskleri hesaplarken dikkate alınmalıdır. Herhangi bir saldırı yüzeyi çözümü, güvenlik açıklarını düzeltmek ve riskleri ortadan kaldırmak için net adımlarla birlikte, bu güvenlik açığı değerlendirmelerinden kuruluş ve her bir varlık için önceliklendirilmiş bir risk puanı elde etmelidir.
Bir risk değerlendirmesi, işletmeye gelebilecek potansiyel zarara dayalı olarak tehditleri dinamik olarak önceliklendirmelidir. Bu faktörler arasında hassas veri erişimi, iş bağlamı, marka itibarı ve bağımlılıkların operasyonel etkisi yer alır.
Azaltma
Her zaman olduğu gibi, saldırı yüzeyinin güvenliğini sağlamaya yönelik bir strateji, teknoloji ve insan süreçlerinin bir kombinasyonunu gerektirir. Teknoloji, öncelikle bilgi toplamak ve sentezlemek için kullanılacak, süreçler ise insanların önleyici veya düzeltici eylem olmasına olanak sağlamaya odaklanacak.
Hiçbir kuruluş, tehdit azaltmayı tamamen otomatikleştirme konusunda siber güvenlik satıcısına güvenmez. Sürecin bu noktasında önemli olan, karar vermek ve harekete geçmek için gereken bağlama ve netliğe sahip olmaktır. Bir SOC ekibinden süreçlerinizi ve prosedürlerinizi benimsemesini isteyemez veya bekleyemezsiniz; onları onlarınkine entegre etmelisiniz. Akıllı iş akışları, düzeltme görevlerini güvenlik operasyonlarının çalışma şekliyle uyumlu hale getirir, böylece bilet yönlendirmek için daha az, kritik riskleri çözmek için daha fazla zaman harcarlar.
Çözüm
Siber güvenlik ekipleri, dijital tedarik zincirlerini kontrol altına almak için yoğun bir baskı altındadır. Zorluk çok büyük. Ekiplerden, üzerinde kontrol sahibi olmadıkları varlıkları belirlemeleri ve güvenceye almaları isteniyor. Bu varlıklar ortaklara ve onların ortaklarına aittir. Ekipler, dijital tedarik zincirleri etrafında politikalar ve uygulamalar geliştirip uygulayabilmeleri için önce onları destekleyecek doğru araçları bulmaları gerekir.
reklam