YORUM
Haziran 2017’nin sonlarında denizcilik devi AP Møller – Maersk, “dünya nakliye kapasitesinin beşte birine yakın”
Saldırının Maersk’i hedef almadığı, Ukrayna ile Rusya arasındaki bölgesel “sıcak savaş”tan kaynaklandığı ve “NotPetya” adlı kötü amaçlı yazılımın Ukrayna’daki müşterilerle birlikte Ukraynalı bir yazılım şirketinin müşterilerine dağıtıldığı ortaya çıktı. ve dünyanın geri kalanı. Saldırı, küresel ekonomiye 10 milyar dolarlık devasa bir zarara mal oldu; bu, dünyanın bugüne kadarki en maliyetli siber olayıydı.
Yedi yıl sonra NotPetya, zamanımızın en önemli siber saldırılarından biri olarak kabul ediliyor. Ancak bu yalnızca bir kötü amaçlı yazılım saldırısı değil, aynı zamanda ticari bir yazılım güncellemesinden yararlanan bir yazılım tedarik zinciri saldırısıydı.
O günden bu yana geçen yıllarda yazılım tedarik zinciri saldırıları ön plana çıktı ve NotPetya gibi daha fazla olay ortaya çıktı. SolarWinds’e tedarik zinciri saldırıları ve IP üzerinden ses firması 3CX. Ayrıca, Verizon’un “2024 Veri İhlali Araştırmaları Raporu” (DBIR), üçüncü taraf yazılım geliştirme kuruluşlarından kaynaklanan ihlallerin 2023’e göre %68 arttığını tespit etti.
Buna yanıt olarak ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) şunları yayınladı: Tasarım rehberliğiyle güvenli Bu hamle, yazılım üreticilerine ürünlerini güvenli bir şekilde tasarlama, yaygın güvenlik açıklarını ve riskleri (CVE’ler) takip edip azaltma, eski AppSec araçlarını uygulama ve çok faktörlü kimlik doğrulama (MFA) gibi protokolleri etkinleştirme ihtiyacının sinyalini verdi. Ancak CISA’nın yeni sürümler yayınlaması ancak Ağustos 2024’te gerçekleşti. Talebe Göre Güvenli kurumsal alıcılara tedarikçilerinden daha güvenli ticari yazılım ürünleri talep etme yetkisi vererek bu soruna farklı şekilde yaklaşan bir rehber.
Secure by Demand, kendilerine iş açısından kritik yazılım sağlayan firmalar için çıtayı yükseltmek isteyen kurumsal alıcılar için iyi bir başlangıç noktasıdır. Ancak bu işletmelerin bir adım daha ileri gitmesi zorunludur. İşte nedeni.
Yazılım Güvencesi
Secure by Demand, yazılım güvencesinin çeşitli alanlarını hedefler: güvenli yazılım geliştirme, güvenlik açığı izleme ve düzeltme eki uygulama, kimlik doğrulama ve günlük kaydı ve yazılım şeffaflığı. CISA, kurumsal tüketicilerin satın alma sürecinde ticari yazılım satıcılarına bu alanların her biri hakkında sorular soracağını umuyor.
Bu kontroller yazılım tedarik zinciri güvenliğinin önemli kısımlarını hedef alsa da, CISA’nın kılavuzu bir soru listesinden daha fazlasını içermelidir; bu, ağırlıklı olarak anketlere dayanan üçüncü taraf risk yönetiminin (TPRM) geçerli biçiminden çok da farklı değildir. Ne yazık ki böyle bir yaklaşım gerçek yazılım güvencesi sağlamakta yetersiz kalıyor.
Bunun yerine, anketler üçüncü taraf siber risk değerlendirmelerinde büyük boşluklar bırakıyor; kurumsal tüketiciler ticari yazılım satıcılarına akıllı sorular soracak ancak yanıtlarını doğrulamak için uygun yeteneklere sahip olmayacak. Bu hata, kurumsal alıcıları savunmasız bırakıyor ve güvendikleri kritik görev yazılım ürünlerinin onaylarına körü körüne güvenmelerini gerektiriyor.
Aynı şey, Secure by Demand’ın kurumsal alıcılara da önerdiği yazılım malzeme listeleri (SBOM’lar) için de söylenebilir. SBOM’lar, açık kaynak, özel ve üçüncü taraf yazılımları içerebilen bir yazılım bileşenini listelemeleri nedeniyle şeffaflık sağlar. Ancak üçüncü taraf ve ticari yazılım ürünleriyle ilişkili hesaplanmış riskler SBOM’da listelenmez.
Şunu düşünün: Müşteriler, sorun yaratan yazılım güncellemesinde bir Rus arka kapısının varlığından habersiz olduğundan, ne ayrıntılı bir SBOM ne de doldurulmuş bir satıcı güvenlik anketi NotPetya saldırısını engelleyemezdi. Peki kurumsal tüketiciler, kuruluşlarını korumaya çalışırken neden yalnızca SBOM’lar ve anketlerle yetinsinler?
Tedarik Zinciri Riskine Sınırlı Bakış
Bu doğru: CISA’nın Talebe Göre Güvenlik kılavuzunda önerdiği kontrollerden bazıları, ticari yazılım ürünlerinde kullanılan açık kaynaklı yazılım bileşenlerinin incelenmesini de içeriyor. CISA ayrıca son kullanıcı kuruluşlarına, yazılım satıcılarının yazılımlarındaki güvenlik açıklarını nasıl bulduklarını, ifşa ettiklerini ve yama yaptıklarını belirlemeleri için çağrıda bulunur. Ancak yazılım tedarik zinciri riskleri bu kontrollerin çok ötesine uzanır.
Günümüzde gelişmiş siber suçlular ve ulus devlet grupları, kötü amaçlı kod eklemek için derleme hatlarını tehlikeye atarak veya uygulama kodunda gizlenen sırları ortaya çıkararak ve kötüye kullanarak ticari yazılımları hedef alıyor. Bugüne kadarki en zararlı yazılım tedarik zinciri saldırılarının, açık kaynak bileşenlerinden ve yazılımdaki güvenlik açıklarından yararlanan siber suçlular nedeniyle gerçekleşmediği gerçeği bunu açıkça göstermektedir. Bunun yerine NotPetya, 3CX ve daha fazlasında olduğu gibi doğrudan ticari yazılımları hedef aldılar.
Çözüm? Güvenmeyin ve Doğrulayın
Kurumsal alıcıların, tükettikleri ticari yazılımın güvenli olduğundan emin olmaları için, kritik görev yazılımlarının güvenliğini bağımsız olarak doğrulamaları gerekecektir. Bunu yapmak, satıcılardan bir soru listesini yanıtlamalarını ve bir SBOM sağlamalarını istemekten daha fazlasını gerektirecektir. Uygun doğrulama, yazılımın dağıtım öncesinde, sırasında veya sonrasında kötü amaçlı bileşenler (açık kaynak veya ticari), kritik güvenlik açıkları, kötü amaçlı yazılım, kurcalama, şüpheli davranışlar ve daha fazlasını içermediğinin bağımsız olarak test edilmesini ve doğrulanmasını gerektirir.
Secure by Demand, TPRM ekipleri için sağlam bir başlangıç noktası sunuyor. Ancak daha sonra, sağlayıcılarının yazılımına körü körüne güvenmediklerinden emin olmak için kapsamlı ve bağımsız yazılım analizi sağlayan olgun bir yazılım tedarik zinciri güvenlik çözümü kullanma yönünde temel adımı atmaları gerekir. Böyle bir araç aynı zamanda, TPRM ekibinin kuruluşlarını bu tür olaylardan korurken başarı reçetesi olarak hizmet eden, eyleme dönüştürülebilir bir yazılım risk değerlendirmesi de sunmalıdır.
Bu düzeyde bir kontrole ve doğrulanabilir kanıtlara sahip olmak, kurumsal tüketicilerin, en son yazılım tedarik zinciri saldırısının ardından bile güvendikleri görev açısından kritik ticari yazılımın güvenliğini ve bütünlüğünü doğrulamasına olanak tanıyacak.