3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi
Uzmanlar, Yüksek Profilli İhlalin Ardından Tedarik Zinciri Saldırılarının Artan Tehdit Konusunda Uyardı
Chris Riotta (@chrisriotta) •
15 Nisan 2024
Siber güvenlik uzmanları, küresel kurumsal devlere ait hassas verileri potansiyel olarak açığa çıkaran bir iş analitiği firmasında meydana gelen büyük bir ihlalin ardından, kritik altyapı sektörlerini hedef alan tedarik zinciri saldırılarında artış konusunda alarm veriyor.
Ayrıca bakınız: İsteğe Bağlı | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan’ın Güvenli Siber Gelecek Mantrası
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, bağımsız güvenlik araştırmacılarının 10 Nisan’da ihlali keşfetmesinin ardından Nasdaq, Verizon, Philips Healthcare, Air Canada ve daha yüzlerce kuruluşa veri analitiği hizmetleri sağlayan Sisense’ye yapılan saldırıya ilişkin bir soruşturmaya öncülük ediyor. ABD siber ajansı Perşembe günü, Sisense müşterilerini oturum açma kimlik bilgilerini sıfırlamaya, “Sisense hizmetlerine maruz kalma potansiyeli olan veya Sisense hizmetlerine erişim için kullanılan” tüm verileri araştırmaya ve kimlik bilgilerini içeren tüm şüpheli etkinlikleri CISA’ya bildirmeye çağıran bir uyarı yayınladı.
Saldırının pek çok detayı henüz net değil ancak bir CISA yetkilisi Information Security Media Group’a yaptığı açıklamada, saldırının Sisense’nin önde gelen yüzlerce müşterisini, bilgisayar korsanlarına şirketin müşteri ağlarına arka kapı açan bir tedarik zinciri saldırısına maruz bırakmış olabileceğini söyledi. Uzmanlar, saldırının, kuruluşların birbirine bağlı ekosistemlere giderek daha fazla bağımlı olduğu bir dönemde, güvenilir şirketlerin tedarik zinciri saldırılarını tespit etmek için güçlü erişim kontrolleri, gerçek zamanlı tehdit istihbaratı ve düzenli güvenlik değerlendirmeleri gibi proaktif savunma önlemlerini hâlâ uygulama konusunda başarısız olduklarını gösterdiğini söyledi.
Yazılım güvenliği şirketi Saviynt’in baş güven sorumlusu Jim Routh, “Bu tür yazılım tedarik zinciri saldırıları, yalnızca bir çalışanın veya yüklenicinin geliştirici kimlik bilgileri ve hesap bilgilerinin tehlikeye atılmasıyla mümkündür” dedi. İhlalin, işletmelerin bulut tabanlı hizmetler ve diğer üçüncü taraflar için kimlik erişim yönetimi yeteneklerini geliştirme ihtiyacının altını çizdiğini söyledi.
Güvenlik istihbarat platformu Censys, Cuma günü Sisense ihlaline ilişkin içgörüler yayınladı. Saldırının satış ve pazarlamadan sağlık ve sosyal yardıma kadar çok çeşitli sektörlerdeki kuruluşları etkilediği tespit edildi. Şirket, yaklaşık 500 uç noktanın ekran görüntülerini elde etti ve Sisense yazılımının savunmasız veya ihlalden etkilenebilecek en az 120 özel dağıtımının veya kurulumunun sahiplerini belirledi.
Censys’e göre verilerde internet ve bilgi teknolojisi, lojistik, enerji ve kamu hizmetleri gibi sektörler de belirlendi.
Siber güvenlik firması Centripetal’in CISO’su Jess Parnell, “Siber saldırının türü konusunda net bir bilgimiz olmasa da, bu olayın doğasının muhtemelen geniş kapsamlı etkileri olacaktır” dedi. “Şu an bir paradoks olarak duruyor: Tehditleri önlemek için daha fazla kaynak ayrılıyor, ancak olaylar artmaya devam ediyor.”
Analistlere göre, yabancı saldırganlar ve siber suçlular, finansal amaçlı saldırıların etkisini en üst düzeye çıkarmak ve sektörler arasında mümkün olduğunca fazla kaos ve aksaklık yaratmak için tedarik zinciri hack’leriyle giderek daha fazla hizmet olarak yazılım platformlarını hedef alıyor.
Kimlik yönetimi şirketi o dönemde bir blog gönderisinde, Eylül 2023’te bilgisayar korsanlarının çalıntı kimlik bilgilerini kullanarak destek vaka yönetimi sistemini ihlal edip çeşitli ağlara girdikten sonra Okta müşterilerinin verilerine eriştiğini doğruladı. Clop fidye yazılımı grubu, 2023 yılında Progress Software’in popüler MOVEit dosya aktarım ürününe yaklaşık 77 milyon kişinin bilgilerinin açığa çıkmasına neden olan bir tedarik zinciri saldırısı gerçekleştirdi (bkz.: Bilinen MOVEit Saldırısının Kurban Sayısı 2.618 Kuruluşa Ulaştı).
İnternet istihbarat firması DomainTools’un güvenlik danışmanı Malachi Walker’a göre, birbirine bağlı sistemlere dayanan kuruluşların benzer ihlalleri önlemek için derhal proaktif adımlar atması gerekiyor. Adımlar arasında “verileri konusunda onlara güvenmeyi kabul etmeden önce satıcıların güvenliğini göz önünde bulundurarak profil oluşturma” yer alıyor.
Walker, “Tedarik zinciri kişinin ortamının güvenilir bir uzantısıysa, tehdit modellemenin, iç tehdit modelleme çabalarına ek olarak bu kuruluşlardan birinin tehlikeye atılması durumunda ne olacağını da kapsaması mantıklı olur” dedi. “Bu aynı zamanda satıcıların kuruluşlarında bulunan monitörlerle düzenli olarak izlenmesini de içerecektir.”
CISA, ihlale yanıt vermek için “özel sektör ortaklarıyla işbirliğinde aktif rol aldığını” ve etkilenen kritik altyapı kuruluşlarına odaklandığını söyledi.
Sisense CISO’su Sangram Dash’in, ihlalin ardından müşterilerle temasa geçerek şirketin soruşturmaya yardımcı olması için “sektör lideri uzmanlar” işe aldığını ve olayın “iş operasyonlarımızda bir kesintiye” yol açmadığını söylediği bildirildi.
Mesajda “Çok dikkatli bir şekilde ve biz araştırmaya devam ederken, sizden Sisense uygulamanızda kullandığınız tüm kimlik bilgilerini derhal döndürmenizi rica ediyoruz” deniyor.
Sisense, çok sayıda yorum talebine yanıt vermedi.