Kuruluşların üçüncü taraf yazılım ve hizmetlere artan güvenmesi, daha fazla güvenlik açıkına ve tespit edilmesi zor risklere sahip bir ortam yaratmıştır. Saldırganlar, tedarik zincirinden ödün vererek verimliliği ve karlılığı artırabileceklerini ve çabalarını buna göre odakladıklarını bilirler.
Bulutun metalaştırılması sadece bu zorluğu daha da kötüleştirdi. Şirketler, genellikle daha geniş ağlarına nasıl bağlandıklarını tam olarak anlamadan, güvendikleri bulut tabanlı hizmetlerin sayısını hızla artırıyor.
Tedarik zinciri baskısı üzerine düzenlemeler nasıl birikiyor?
Siber esnekliğin güçlendirilmesine yardımcı olmak için AB, DORA ve NIS2 gibi düzenlemeler getirmiştir. Her ikisi de daha çok tedarik zincirlerini güvence altına almaya odaklanıyor ve işletmeleri siber güvenlik uygulamalarından sorumlu tutmaya çalışıyor.
Dora, özellikle BT hizmet sağlayıcılarına hitap ederek finansal kuruluşlara ve tedarikçilerine uygunluk için açık bir yol sağlayan çok kuralcı bir yaklaşım benimser. Operasyonel sürekliliği korumak için daha geniş çabaların bir parçası olarak üçüncü taraf risklerini anlamayı şiddetle vurgulamaktadır.
Düzenleme, finans sektöründe operasyonel esnekliği artırmayı amaçlamaktadır. Finansal şirketler, operasyonları için en önemli riski oluşturan sistemleri ve verileri belirlemeli ve saldırı yollarını izlemek için geriye doğru çalışarak bunu tedarik zincirlerine genişletmelidir.
NIS2 ayrıca kritik altyapı için tedarik zinciri riskini vurgulamaktadır. Risk yönetimi gereksinimleri, Dora’dan daha az spesifik olmasına rağmen, tedarik zinciri güvenliği etrafında daha güçlü politikalar içerir. Yine, operasyonel esneklik burada birincil hedeftir ve kritik hizmetlerin saldırı altındayken bile çalışmaya devam edebilmesini sağlar.
Tedarik zinciri güvenliğine riske dayalı bir yaklaşım benimsemek
Tüm kuruluşlar tedarik zinciri güvenlik açıklarından risk altındadır ve tedarik zinciri riski için herkese uyan tek bir çözüm yoktur.
Bütçelerden bağımsız olarak, her kuruluş tedarik zincirlerini güvence altına almak için riske dayalı bir yaklaşım benimsemelidir. Bu, çabaları en kritik varlıklara, iş yüklerine ve ağlara odaklamak anlamına gelir – bir ihlal durumunda önemli operasyonel ve itibar hasarına neden olacak her şey.
Bunlar belirlendikten sonra, güvenlik ekipleri potansiyel saldırı yollarını ve en büyük güvenlik açığı alanlarını keşfetmek için geriye doğru çalışabilir. Bu saldırı yolları daha sonra şirketin dışında üçüncü taraflara kadar izlenebilir. Bu, bulut tabanlı muhasebe bordro yazılımından sistem erişimi olan yüklenicilere veya temizleyicilere kadar bir dizi bağlantıyı kapsar. Bir dereceye kadar ağ erişimi olan tedarik zincirinin herhangi bir kısmı, bir saldırıda sömürülme potansiyeline sahiptir.
Ardından, tedarikçilere gelen tüm ve giden bağlantıların görünürlüğü ile bir sonraki adım, kaynaklar arasında erişimi yönetmek ve kısıtlamaktır. Sıfır bir güven yaklaşımı uygulamak bu sürecin önemli bir parçasıdır. “Hiçbir şeye güvenin, her şeyi doğrulamak” modeli, tedarik zincirinden örtük güveni ortadan kaldırır ve tehdit aktörlerinin daha fazla doğrulama yapmadan hedeflerini kolayca ihlal edememelerini sağlar.
AB sıfır güven yaklaşımını zorunlu kılmamış olsa da, Dora ve NIS2 uyumluluğunun birçok yönü doğal olarak stratejiye hizalanmıştır. Sistem erişimini yalnızca temel, doğrulanmış kullanıcılara kilitleyerek, yaklaşım tehdidi genişletilmiş bir dijital tedarik zincirinden büyük ölçüde azaltır.
Esneklik önlemeden daha ulaşılabilir
Bir olayın meydana gelmesini önlemek ideal olsa da, her zaman mümkün değildir. Kötü amaçlı yazılımların zaten kurulmuş olan meşru yazılımlar aracılığıyla itildiği meşhur Solarwinds tedarik zinciri saldırısı gibi, durması çok zordur. Bununla birlikte, mikrosegmentasyon gibi proaktif ihlal tutma önlemleri, bir saldırının operasyonel etkisini azaltabilir.
Esneklik, önlemeden daha ulaşılabilir bir hedeftir. En büyük tehditlerinin nerede olduğunu anlayarak, kuruluşlar savunmalarına öncelik verebilirler.
Sıfır güven yoluyla sıkı doğrulama süreçleri ile uygulanan çevreyi güvenli bölgelere bölmek, ağa erişmek için güvenilir üçüncü taraflardan yararlanmak isteyen saldırılara karşı etkili bir engel sağlayacaktır. Ve sisteme daha önce girmiş olan saldırıların, kritik varlıklara erişmek için yanal harekete kolayca ulaşması önlenecektir.
Bu, tehdit aktörlerini ve kötü amaçlı yazılımların ağ boyunca kolayca hareket etmesini durdurur ve DORA ve NIS2 tarafından vurgulanan esnek, pragmatik güvenlik yönetimini ve riske dayalı yaklaşımı destekler.