Birçoğu yıllardır tedarik zinciri saldırılarına dikkat çekiyor. İşletmeniz dinlemeye hazır mı?
Tehdit aktörleri, tedarik zincirine saldırmanın sadece akıllı bir strateji değil, aynı zamanda kazanan bir strateji olduğunu bilirler.
Amerikan Target mağazası 2013’te POS (satış noktası) sistemlerinde kart ayrıntılarını çalmak için tasarlanmış bir Truva atı bulduğunda, hiç kimse güvenli ortamına giden yolun ısıtma, havalandırma ve iklimlendirme (HVAC) tedarikçisi olduğunu beklemiyordu. Fazio Mekanik Hizmetleri. Fazio gibi daha küçük, daha az güvenli bir şirketin daha büyük, daha güvenli bir şirketin sistemine erişimi olduğundan, saldırganlar kötü amaçlı yazılım yüklemek ve kimlik bilgilerini çalmak için en az direnç gösterilen yolu seçti. Sonuç olarak, 40 milyon kredi ve banka kartı bilgisi çalındı ve Target, saldırıdan kurtulmak için toplam 202 milyon dolar harcadı.
Bu saldırı, tedarik zinciri saldırılarına karşı koruma sağlamada bir dönüm noktasıydı.
Tedarik zinciri saldırısı nedir?
Tedarik zinciri saldırısı, esasen, saldırganların hedef şirketlerini tehlikeye atmasının başka bir yoludur. Hedeflerine – hangi sistemler kemiklerine kadar güvenli olabilir – doğrudan saldırmak yerine, o şirketin tedarik zincirindeki en zayıf halkaya yönelirler: ana hedefleri kadar güvenli bir sisteme sahip olmayabilecek bir satıcı. Fidye yazılımı kullananlar da dahil olmak üzere birçok tehdit grubu, 2013’ten önce bu saldırı planına yöneliyordu ve bu tür saldırıların sayısı yıllar içinde katlanarak arttı.
Son iki yılda meydana gelen birçok yüksek profilli saldırı, tedarik zinciri saldırıları olmuştur. Sofistike bir bilgisayar korsanlığı grubu, ağ izleme yazılımı Orion’un güncellemelerine gömülü bir arka kapı aracılığıyla FireEye ve Microsoft gibi özel şirketlerin ve birkaç ABD federal kurumunun da dahil olduğu 18.000 müşterisini etkilemeden önce 2019 gibi erken bir tarihte SolarWinds’in üretim ortamındaydı.
Hatalı biçimlendirilmiş bir yazılım güncellemesi, 2021’de Kaseya’nın müşterilerini de etkiledi. Şirketin uzaktan izleme ve yönetim yazılımı VSA, birkaç yönetilen hizmet sağlayıcının (MSP) sistemlerine REVil fidye yazılımı yükleyen bir yama dağıttı ve ardından bu yazılımlar, müşterilerinin sistemlerine daha fazla bulaştı.
SolarWinds ve Kaseya’daki ihlaller, genellikle yazılım tedarik zinciri saldırısı, burada yazılımda bir zayıflık bulundu ve tehdit aktörleri tarafından yalnızca tek bir giriş noktası kullanarak olabildiğince çok kuruluşu etkilemek ve onlara ulaşmak için kullanıldı. Bu tür saldırıların tespit edilmesi çok zordur çünkü kuruluşların meşru tedarikçilerinden gelen yazılımlara duydukları güveni kötüye kullanır. Tipik olarak bu yolu izleyen saldırganlar, genellikle güçlü bir teknik yeteneğe ve gelişmiş kalıcı tehdit (APT) aktörleri gibi bu tür bir saldırıyı gerçekleştirme araçlarına sahiptir.
CISA’ya (Siber Güvenlik ve Altyapı Güvenliği Ajansı) göre yazılım tedarik zinciri saldırılarının üç yaygın tekniği vardır:
- Ele geçirilen güncellemeler
- Kod imzalamayı baltalamak
- Açık kaynak kodundan taviz verme
Öte yandan, Hedef ihlali, MITRE terimleriyle, bir “güvenilir ilişki” saldırısı olarak sınıflandırılabilir; burada saldırganlar, tedarik zincirindeki daha az güvenli bir üçüncü tarafa sızarak üçüncü taraf (bu durumda) arasında kurulu bir bağlantıyı kötüye kullanır. , Fazio) ve hedef şirket (Hedef).
Yazılım tabanlı tedarik zinciri saldırıları varsa, donanım tabanlı bu tür saldırılar da vardır. A donanım tedarik zinciri saldırısı çekilmesi zor olduğundan ve milyonlarca dolar yatırım gerektirebileceğinden çok nadirdir. Adından da anlaşılacağı gibi, bu tür bir saldırı, ağ cihazları, sunucular gibi fiziksel ve donanım bileşenleri ile dizüstü bilgisayarlar, cep telefonları, tabletler veya akıllı saatler gibi herhangi bir taşınabilir bilgi işlem cihazına müdahale edilerek gerçekleştirilebilir.
2018’de Bloomberg tarafından bir donanım tedarik zinciri saldırısının açıklandığı bildirildi. Sektörde bir dünya tedarikçisi olan Supermicro’nun anakartlarında “pirinç”. Bloomberg gazetecilerinin konuştuğu araştırmacılara göre, mikroçip, sunucuları satın alan kuruluşlara uzun vadeli erişim (isterseniz bir arka kapı) sağlamak için kullanılıyor. Bomba raporunun hemen ardından, daha önce Supermicro’nun teknolojisine ve Supermicro’nun kendisine güvenen çok sayıda şirket iddiaların doğruluğunu yalanladı. Birkaç yıl sonra Bloomberg, Çin’in iddia edilen siber casusluk tarihinin derinliklerine inen ek bir parçayla haberlerinin arkasında durdu.
Bu blogun amacı doğrultusunda, donanım tedarik zinciri saldırı azaltmalarını hariç tutuyoruz. Ayrıca, müşterilere aktarılan risklere değil, satıcılarından işletmelere yönelik risklere odaklanıyoruz.
Tedarik zincirinizin güvenliğini sağlama
Kuruluşunuzu tedarikçilerinizin oluşturabileceği risklerden şu şekilde koruyabilirsiniz:
1. Satıcılarınızın kim olduğunu bilin.
Her şey burada başlar, çünkü kuruluşlar tedarikçilerinin kim olduğunun ve kendi tedarik zincirlerinin nasıl çalıştığının farkında olmazsa, zincirde tehdit aktörlerinin yararlanabileceği olası riskleri ve/veya güvenlik açıklarını arayamazlar.
2. Sistemlerinizin güvenliğini sağlamak için bütünsel bir yaklaşım benimseyin.
İnternetten gelen tehditler uç noktada durdurulmalıdır. Tedarik zinciri saldırılarıyla mücadele etmek istiyorsanız bu uç noktaların güvenliğini sağlamak isteğe bağlı değildir. Bu nedenle, etkili bir uç nokta algılama ve yanıt (EDR) sistemine ve ağdaki şüpheli etkinlikleri izlemenin yönetilen bir algılama yanıtı (MDR) çözümü gibi bir yoluna yatırım yapmayı düşünün.
Ağınızı bölümlere ayırmak, saldırganların ağınızda yatay olarak hareket etmesini sınırlar ve daha hassas verilere yetkisiz erişimi engeller.
3. Bir olay müdahale (IR) planı/felaket kurtarma planı geliştirin.
Bir IR’yi bir araya getirmek göz korkutucu ve bunaltıcı görünebilir, ancak aşırı derecede karmaşık olması gerekmez. Neyse ki, bir kuruluşun kendi ihtiyaçlarına uyacak şekilde uyarlayabileceği hazır çerçeveler vardır. Hangi çerçeveyi temel alacağınızı bilmiyorsanız, NIST’in (Ulusal Standartlar ve Teknoloji Enstitüsü) bu olay işleme kılavuzuna bir göz atın.
Bir şey olduğunda paydaşlarınız ve müşterileriniz arasında şeffaf ve zamanında iletişim sağlayın, böylece işletmeniz gerekirse sorunu hafifletmek için adımlar atabilir.
4. Yama için bir planınız olsun.
Kuruluşunuzda bir yama stratejisi belirleyin. Örneğin, indirilen bir yamanın üretimde devreye alınması planlanmadan önce, bir uzmana veya bir uzman grubuna riskleri değerlendirmesini ve oturumu kapatmadan önce yamayı test etmesini sağlayın. Ve onay beklenirken ayrı bir grup, bir hata durumunda gerekli olan ve etkilenen sistemlerin geri yüklenmesi gereken temel dosyaların çevrimdışı yedeklerini oluşturur.
5. Çevrimdışı yedeklemeler oluşturun ve test edin
Yedeklerden bahsetmişken, asla çalıştıklarını varsaymayın. Yaptıklarından emin olmak için onları test etmeniz gerekir, bu da başka bir ortama tam geri yükleme yapmak anlamına gelir.
6. En az ayrıcalık ilkesini uygulayın.
Her tedarikçi, iş ortamınıza ve sistemlerinize yönetim erişimi gerektirmez. Bununla birlikte, işletmeler tüm tedarikçi/satıcı ayrıcalıklarını incelemeli ve onlara daha az (veya daha fazla) erişim izni verip vermemeye karar vermelidir. Şüpheye düştüğünüzde, onlara en az miktarda ayrıcalık vermek iyi bir başlangıç olmalıdır.
7. Çok faktörlü kimlik doğrulamayı (MFA) bir norm haline getirin.
Tedarik zinciri saldırganlarının, genellikle hakları olmayan sistemlere girmek için çalınan kimlik bilgilerini kullandıkları bilinmektedir. Kim kullanırsa kullansın, iş sistemlerinin kimlik bilgilerine güvendiğini bilirler. Sistemleri kimlik bilgilerinin kötüye kullanılmasından ve kötüye kullanılmasından daha fazla korumak için, özellikle ofisteki herkesin erişemeyeceği kadar hassas olduğu düşünülen kaynaklara ve hizmetlere MFA erişimini zorunlu kılın.
8. Çalışanlarınızı eğitin.
Güvenlik hijyeni uygulamalarındaki boşluklar, tehdit aktörlerinin yararlanabileceği fırsatlar yaratabilir. Bu potansiyel olarak tedarik zinciri saldırılarına yönelik farkındalık eksikliğinden kaynaklanmaktadır. Kuruluşların kolayca uyarılabilmesi ve bir şeylerin hızla yapılabilmesi için çalışanların ve ortakların olası riskler ve bunlarla ilişkili kırmızı bayraklar hakkında bilgi sahibi olmaları önemlidir.
9. Bir kod imzalama hizmeti kullanın.
ABD’deki işletmelerin yüzde 77’si açık kaynaklı yazılım kullanıyor. Ancak yazılım tedarik zinciri saldırılarının çeşitli kullanım durumlarında gördüğümüz gibi, açık kaynak hem bir nimet hem de bir beladır. Pek çok işletme kodu incelemenin yollarını bulmakta zorlanıyor, bu da kodun dağıtımının güvenli olmasını ve tedarik zincirinde sorunlara yol açmamasını sağlıyor.
Açık kaynak kodunun bütünlüğünü güvence altına almak için ilk adım olan kodu imzalamak ve doğrulamak için ücretsiz bir araç olan Sigstore’a girin. Kod imzalama için Let’s Encrypt olarak düşünün. Sigstore, OpenSSF, Chainguard, Linux ve GitHub dahil olmak üzere sektördeki büyük isimler arasındaki bir işbirliğinin ürünüdür.
Genel olarak yazılım tedarik zinciri saldırıları hakkında daha fazla bilgi edinmek için Lock and Code podcast’imizde Chainguard’ın kurucusu ve ürün başkanı Kim Lewandowski ile röportaj yaptık.
Tedarik zinciri saldırıları burada kalacak
En önemli risk sermayedarlarından birinin 2011’de ifade ettiği gibi, yazılımın her yerde olduğunu görebiliriz, dünyayı yiyor. Ancak günümüzün hiper-dijital işletmeleri, yazılımlar tarafından çoktan tüketildi – hem de çok hızlı bir şekilde. Artık teknoloji, sistemler ve açık kaynak kodu olmadan normal şekilde çalışamazlar. Bu bileşenlerin güvenliğini sağlamak bir zorunluluk haline geldi.
Tedarik zincirine yönelik risk zaten artıyor ve daha da artacak ve kuruluşlar bunlara güvenmeye devam ettiği sürece risk burada kalacak. Tedarik zincirlerinin tehlikeye girme riskini en aza indirmek için işletmelerin ve tedarikçilerinin savunmalarını güçlendirmek üzere birlikte çalışmaları çok önemlidir. Ayrıca, politika yapıcıların tüm kuruluşlar için yazılım güvenliğinin temelini geliştirmeye başlaması ve kod güvenliğini sağlamak için daha fazla yol bulmasının tam zamanı.
Son olarak, şirketler modern tedarik zinciri saldırılarını ele alma hızına ayak uydurmaya çalışırken, tedarik zinciri saldırılarının gerçekleşebileceği bulut ve aygıt yazılımı gibi diğer alanlara bakmaktan zarar gelmez. Lewandowski ayrıca podcast’imizde koda bakmak için daha otomatik araçlara duyulan ihtiyaçtan bahsetti ve eğitimin önemini vurguladı.
“Gerçekten çözümün araçlarda ve en iyi uygulamalarda yattığını ve bunu o kadar kolay hale getirdiğini düşünüyorum ki, hiç kimsenin kendi sistemlerinde benimsememek için bir mazereti yok” dedi.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.