SolarWinds saldırısının üzerinden dört yıl geçmesine rağmen tedarik zincirleri hâlâ işletmelerin ilk akla gelen konusu olmalı. NCSC’den gelen uyarılar bu mesajı güçlendirdi, ancak Birleşik Krallık’ta iş dünyasındaki karar vericilerin yalnızca %13’ü bu mesajı şöyle açıklıyor: tedarik zinciri güvenliği en önemli öncelik olarak.
Belki de yazılım tedarik zincirlerinin ne kadar kırılgan ve savunmasız olabileceğinin farkında değillerdir? A rapor ReversingLabs’tan araştırmacılar, 2023 yılında büyük ücretsiz ve açık kaynaklı yazılım (FOSS) platformlarında neredeyse 11.200 benzersiz kötü amaçlı paket buldu; bu sayı, 2020’dekinin on üç katıdır. FOSS, birçok ticari yazılım ürününün ortak bir parçası olduğundan, kuruluşların bu tehdidi daha iyi anlaması gerekiyor ve hafifletmek için kullanabilecekleri stratejiler.
Tedarik zincirlerinde FOSS’u anlamak
Buna göre özetTicari kod tabanlarının yaklaşık %97’si bir dereceye kadar FOSS kullanıyor. Neden, bu kadar savunmasızsa? Cevap şu ki, FOSS’un faydaları risklerinden çok daha ağır basabilir: sahip olma maliyetini, bakımı, yükseltmeleri ve destek ücretlerini azaltır ve satıcıya bağlı kalma sorununu azaltır. Pek çok işletme yalnızca FOSS kullanmakla kalmıyor, aynı zamanda açık kaynağı bu kadar faydalı kılan alışverişin bir parçası olarak katkıda da bulunuyor.
Ürünlerinin birçok temel bileşenini yeniden yazmaları gerekeceği göz önüne alındığında, kuruluşların açık kaynaklı yazılım kullanmayı bırakması pek olası değildir. Saldırılara karşı korunmak için güvenlik profesyonellerinin “düşmanını tanıması” gerekiyor. FOSS’u tehlikeye atmak için kullanılan en yaygın taktikler şunlardır:
-
Kod ekleme—Tehdit aktörü yazılım güncellemelerine bir arka kapı yerleştirir. Çoğu durumda, bir yazılım parçasına kötü amaçlı kod enjekte edilir ve bu kod daha sonra dağıtılır ve saldırganın birden fazla kuruluşa erişmesine olanak sağlanır.
-
Kod değiştirme—Saldırganlar, kaynak kodu deposunu tehlikeye atarak veya yazılım dağıtım kanalına müdahale ederek kodu kötü amaçlı kodla değiştirir.
-
Kod uzlaşması—Yazılım geliştirme veya teslim sürecindeki bir güvenlik açığından veya yanlış yapılandırmadan yararlanılarak kodun tehlikeye atılması. Örnek vermek gerekirse, NotPetya saldırısı, bilgisayar korsanlarının Ukraynalı kuruluşlara fidye yazılımı dağıtmak için MEDoc muhasebe yazılımındaki bir güvenlik açığından yararlanmasını içeriyordu.
Koruma stratejisi oluşturmak
Riskleri tam olarak kavradıklarında güvenlik ekiplerinin durumu kontrol altına almak için çok fazla çalışma yapması gerekecektir. Ancak bu imkansız bir görev değil ve büyük olasılıkla sıfırdan başlamayacaklar; birçoğunun halihazırda geliştirilebilecek ve üzerine inşa edilebilecek politika ve araçları var.
SBOM’lar: Yazılım Malzeme Listeleri (SBOM’lar), tedarik zinciri güvenliğinin arttırılmasında giderek daha önemli bir rol oynamaktadır. SMalzeme listeleri, bir yazılım ürününün açık kaynak kitaplıkları, üçüncü taraf yazılımları ve lisansları gibi bileşenlerini ve bağımlılıklarını listeler. Yazılım tedarik zincirindeki güvenlik açıkları, kötü amaçlı yazılımlar veya güncel olmayan sürümler gibi güvenlik risklerinin belirlenmesine ve yönetilmesine yardımcı olur. Birleşik Krallık siber güvenlik stratejisini uygulamaya başladığında uyumluluk açısından da bu gereklidir.
Bir güvenlik kültürü oluşturun: Ayrıca güvenliği ön planda tutan bir kültür oluşturmak ve personeli riskler ve en iyi uygulamalar konusunda eğitmek de gereklidir. Yüksek düzeyde bu, bir kuruluşun karşı karşıya olduğu riskin anlaşılması ve güvenliğin daha iyi anlaşılması anlamına gelir. Teknik açıdan bakıldığında buna h dahildir.Kodun güvenli bir şekilde nasıl kullanılacağı ve dağıtılacağı ve kuruluşların güvenliği sağlamak amacıyla açık kaynaklı yazılımı indirmek veya güncellemek için yetkili kaynakları ve depoları nasıl kullanabileceği.
Yama, yama, yama: BT ekiplerinin, özellikle yama konusunda siber hijyen konusunda da sıkı davranmaları gerekiyor. Herkes yama uygulamasının önemli olduğunu bilir, ancak bu aynı zamanda asgari düzeydedir. Kuruluşların güvende kalabilmesi için daha proaktif çalışması ve yazılım bileşenlerini ve bağımlılıklarını kötü amaçlı kodlara karşı düzenli olarak taraması gerekir.
Erişimi sınırla: Sıfır Güven’in önemli bir bileşeni asla kimseye güvenmemek ve her zaman doğrulamaktır. Geliştirici ekipleri bunu bir adım daha ileri götürebilir ve yazılım bileşenlerine ve kullanıcılara “en az ayrıcalık ilkesini” uygulayarak erişimlerini gerekli minimum kaynak ve izinlerle sınırlayabilir. Bu, yazılım bileşenlerinin ve verilerin gizliliğini ve bütünlüğünü korumak için güçlü şifreleme ve dijital imzaların uygulanmasını da içerebilir.
Satıcılar ve tedarikçiler için daha katı kurallar: Son kullanıcı olarak üçüncü taraf yazılım denetimleri, koruma stratejisinin kritik bir bileşeni olmalıdır. Buna, üçüncü taraf satıcılar ve tedarikçiler hakkında durum tespiti yapılması ve bunların güvenlik politikaları ile uygulamalarının doğrulanması da dahildir. Üçüncü taraf tedarikçilerle açık sözleşmeler ve hizmet düzeyi anlaşmaları (SLA’lar) oluşturmak ve tedarik zincirindeki rolleri ve sorumlulukları tanımlamak kritik öneme sahiptir.
Tüm bunların reaktif olduğunu, en azından kuruluşları güvende tutmak için yapılması gerekenleri akılda tutmak önemlidir. Bunu daha proaktif bir yaklaşımla geliştirmek daha da iyi koruma sağlayacaktır. Bu, herhangi bir şüpheli faaliyete karşı yazılım tedarik zincirinin sürekli olarak izlenmesi ve denetlenmesi anlamına gelir. Güvenlik ekipleri ancak o zaman tedarik zinciri saldırılarına karşı güvende kalmak için yeterince çaba harcadıklarından emin olabilirler.
Reklam