Rakipler, aşağı akış hedeflerini sessizce tehlikeye atmak için yukarı akış yazılımı, donanım ve satıcı ilişkilerine sızıyor. Bir CI/CD boru hattına enjekte edilen kötü niyetli bir güncelleme, ister açık kaynaklı kodda gizlenmiş bir haydut bağımlılık veya kurcalanmış donanım bileşenleri olsun, bu saldırılar güvenilir kanalları silahlandırarak geleneksel savunmaları atlar.
Üçüncü taraf riskinin sürekli izlenmesi
“Daha fazla tedarik zinciri saldırıları yüzeyinde, üçüncü taraf güvenlik tüm işletmeler için gerekli hale geliyor. Kuruluşlar tedarikçilerini araştırmalı, iyi siber güvenlik hijyeni uygulamalarını sağlarken, aynı zamanda ortaklarına saldırılar meydana geldiğinde maruz kalmayı sınırlamak için çalışıyorlar” dedi.
Artan ulusal güvenlik endişelerine ve hükümet kısıtlamalarına rağmen, Çin askeri bağlantılı şirketler ABD dijital tedarik zincirine derinden gömülü. Bu kuruluşlar, ABD işletmelerini ve kritik endüstrileri potansiyel siber güvenlik tehditlerine maruz bırakarak temel dijital altyapı sağlamaya devam etmektedir.
Bu genişletilmiş saldırı yüzeyi, kötü amaçlı aktörler için birçok giriş noktası sunar ve CISOS’un güvenlik odağını organizasyonel sınırlarının ötesine genişletmesini gerektirir.
En büyük değişikliklerden biri, bir kerelik satıcı değerlendirmelerini tedarikçi güvenlik açıkları, maruziyetler ve olağandışı davranışlar hakkında gerçek zamanlı bilgilerle değiştirerek üçüncü taraf riskleri sürekli olarak izlemeye kayma.
SBOMS uyumluluktan operasyonel gerekliliğe geçer
Devsecops, tedarik zinciri esnekliğinin temel taşı olarak ortaya çıkmıştır, kuruluşlar CI/CD boru hatlarına daha derin bir şekilde yerleştirilir, bağımlılık taramasını otomatikleştirir ve yazılım geliştirme arasında bütünlüğü sağlamak için imzalı yapıları uygular. Bunu tamamlayan Yazılım Malzeme Yasası (SBOMS), uyum artışlarından operasyonel araçlara geçiş yapıyor ve güvenlik ekiplerinin yeni sıfır günleri ortaya çıktığında maruziyetlerini belirlemelerini sağlıyor.
Bu, daha geniş düzenleyici momentumla uyumludur: ABD’nin siber güvenliğini ve NIST’in Güvenli Yazılım Geliştirme Çerçevesi’ni (SSDF) iyileştirme konusundaki girişimler gibi girişimler sektörler arasında SBOM’ların daha fazla şeffaflık ve zorunlu olarak benimsenmesini zorlamaktadır.
Siber esnekliğin güçlendirilmesine yardımcı olmak için AB, DORA ve NIS2 gibi düzenlemeler getirmiştir. Her ikisi de daha çok tedarik zincirlerini güvence altına almaya odaklanıyor ve işletmeleri siber güvenlik uygulamalarından sorumlu tutmaya çalışıyor.
AI sadece bir risk değil, bu bir savunma aracı
Bu arada, AI ölçekte tehdit tespiti için kullanılmaktadır ve özellikle kod ve paket depolarında, ortaya çıkmadan önce potansiyel uzlaşmaları tanımlayan öngörücü yetenekler sunmaktadır. Sıfır Güven ilkeleri, satıcı sistemlerini, kimliği uygulamak, cihaz duruşunu ve genişletilmiş işletme boyunca davranış tabanlı erişim kontrollerini içerecek şekilde dahili ağların ötesine geçiyor.
Muhtemelen en yıkıcı eğilim, tedarik süreçlerini, satıcı iletişimini ve yöneticiler arasındaki mesajları hedefleyen ikna edici kimlik avı ve taklit saldırıları yaratmak için üretken AI kullanan rakiplerdir.
Logacılık’ın 500 küresel tedarik zinciri lideri araştırması,% 97’sinin zaten bir tür genai kullandığını göstermektedir. Ancak sadece üçte biri özellikle tedarik zinciri görevleri için tasarlanmış araçları kullanıyor. % 43’ü Genai uygulanırken verilerinin nasıl kullanıldığı veya paylaşıldığı konusunda endişelendiklerini söylüyor. % 40’ı daha verdiği cevaplara güvenmiyor.
CISO’lar ayrıca, kurcalanmış cihazlar ve özellikle kritik altyapı ve yüksek güvence altındaki ortamlarda tehlikeye atılan ürün yazılımı artışı ile donanım düzeyinde tehditlerin yeniden canlanmasıyla karşı karşıya.
Gerçek zamanlı tedarik zinciri görünürlüğü
Gerçek zamanlı görünürlük, IoT telemetrisi ve blockchain tabanlı izlenebilirlik tarafından desteklenen pazarlık edilemez hale geliyor ve savunuculara küresel tedarikçi ağlarında neler olduğuna dair daha net bir görünüm kazandırıyor. Örneğin, otomotiv sektöründe BMW, şeffaflığı artırmayı ve kurcalamayı önlemeyi amaçlayan çok aşamalı uluslararası tedarik zincirlerinde bileşenlerin ve hammaddelerin izlenebilirliğini sağlamak için blockchain teknolojisini uygulamıştır.
“Tedarik zinciri güvenliği, kuruluşların güvenlik açıklarının acımasız barajı, sıfır gün istismar kampanyaları, fidye yazılımı ve hem covid hem de son sonrası dünyada çalışma zorlukları nedeniyle arka brülöre koymuş olabileceği nispeten yeni bir kavramdır. Tedarik zinciri stratejisine duyulan ihtiyacı anlamak ve bir sorun, en büyük zorluk ve geliştirme, işbirliğine dayanacak ve işbirliği gerektirecek. Organizasyon ve iş modeli, ”Eclypsium’daki Tehdit Araştırma ve İstihbarat Direktörü Nate Warfield.
Tedarik zinciri saldırılarına karşı savunmak teknik kontrollerden daha fazlasını gerektirir, stratejik, sistemik bir değişim gerektirir. CISOS için bu, görünürlüğü genişletmek, güveni sürekli olarak doğrulamak ve her katmanı koddan bileşene, satıcıdan uç noktaya kadar sertleştirmek anlamına gelir.