Tedarik Zinciri İzleme için Siber Tehdit İstihbaratı (CTI)

   Kasım 7, 2024  Posted in CyberDefenseMagazine


Yönetici Özeti

Pek çok şirket, tedarik zincirlerinde başta siber tehditler olmak üzere giderek artan çeşitli risklerle karşı karşıyadır. Araştırmalar neredeyse tüm şirketlerin yakın zamanda, şu anda veya yakında ihlale uğramış en az bir tedarikçiye sahip olduğunu ve gelecek yıl çok daha fazlasının ihlal edileceğini gösteriyor. Daha ileri araştırmalar, ihlale maruz kalan hemen hemen her şirkette, eğer şirket onları arıyorsa, ihlalin öncü sinyallerinin karanlık ağda bulunabileceğini gösteriyor. Resecurity’nin araştırması, tüm şirket ihlallerinin %60’ından fazlasının tedarik zincirindeki bir şirketten kaynaklandığını ortaya koyuyor; teknoloji sağlayıcıları da dahil edildiğinde bu oran %90’ın üzerine çıkıyor. Her ne kadar bazı şirketler değerlendirme aşamasında potansiyel tedarikçilerin risklerini değerlendirse de, çok azı tüm tedarikçilerini sürekli olarak izleyecek kaynaklara veya yetkiye sahiptir. Organize bir CTI çalışması, şirketlere tedarikçilerini izlemenin ve CTI uygulamalarını uygulayarak risk profillerini ve ihlal olasılığını belirlemenin ekonomik ve kolay bir yolunu sağlayabilir. Bu belge, Resecurity’nin önceki makalesi olan “Birleşme ve Satın Almalar için Aktif Karanlık Web İstihbaratı” ile pek çok paralellik kurmaktadır. CTI araştırması, şirketlerin tedarik zincirleriyle ilişkili riskleri anlamalarına yardımcı olabilecek aşağıdakiler de dahil olmak üzere kritik soruları yanıtlayabilir:

  • Standart tedarikçileri, bir ihlalin öncüllerini değerlendirerek:
  • Bu tedarikçi, rakipleri ve diğer tedarikçilerle karşılaştırıldığında siber güvenlik riski açısından nasıldır?
  • Şirket bir teknoloji tedarikçisiyse ve yeni bir güvenlik yaması yayınladıysa, yamaladıkları N gün tehdit aktörleri tarafından aktif olarak istismar ediliyor mu (veya edilecek mi)?
  • Mevzuat veya gizlilik kaygılarına yol açabilecek ve şirketlerini maddi olarak etkileyebilecek veya müşterileri için risk oluşturabilecek bir veri ihlali veya kaybı tespit edildi mi?
  • Müşterilerim tedarik zincirlerini izliyorlarsa şirketim hakkında ne gözlemliyorlar?
  • Gerçek ihlalleri belirleyen kritik tedarikçiler:
  • Tedarikçi bir veri ihlali mi yaşıyor yoksa geçmişte açıklanmayan bir ihlal mi yaşadı?

Tedarikçinin hedef alınma olasılığı nedir ve bu durum önemli bir veri ihlaline neden olur mu?

Bu ihlal onların müşterisi olarak şirketimi nasıl etkiler? Tedarikçi şirketimi, çalışanlarımı veya müşterilerimi etkileyecek stratejik fikri mülkiyet haklarını sızdırdı mı?

Şirket, son SEC kural 7’de tanımlandığı gibi bilinmeyen veya bildirilmemiş bir maddi ihlale karıştı mı? Şirketim belirlenen bu sorunları devraldı mı?

Tedarikçi, hoşnutsuz çalışanların karanlık ağda şirketimi veya müşterilerimi etkileyebilecek veri veya hizmetler sunması nedeniyle içeriden gelebilecek bir tehdit riskiyle karşı karşıya mı?

Rakiplerim, rakiplerinin ihlallerini tespit etmek için karanlık ağı izliyorsa, şirketim hakkında ne gözlemliyorlar?

Mayıs 2023’te CL0P (TA505) olarak bilinen bir grup bilgisayar korsanı, Progress Software tarafından yönetilen bir dosya aktarım yazılımı olan MOVEit’teki sıfır gün güvenlik açığından yararlanmaya başladı. Sayıların ihlali:

62 milyondan fazla kişi etkilendi.

2.000’den fazla kuruluş ihlal edildi.

İhlal edilen kuruluşların yaklaşık %84’ü ABD merkezlidir.

İhlal edilen kuruluşların yaklaşık %30’u finans sektöründendir.

Saldırının mali etkisi 10 milyar doların üzerinde.

Kuruluşlar, tedarikçilerinin siber güvenlik risklerini devralır. Ne yazık ki pek çok şirket, bir tedarikçinin ihlal edilip edilmediğini veya tehdit aktörünün isterse şirketi ihlal edebileceği bir ihlalin öncüllerinin bulunup bulunmadığını belirlemek için yeterli siber riskleri uygulamamaktadır. Bu katılım eksikliği, risklerin devralınması riskini artırabilir. Siber güvenlik risklerini kontrol etmek, hızlı iş dünyasında giderek daha karmaşık hale gelebilir. Aynı zamanda bilgi güvenliği departmanlarının saldırganları uzakta tutmak için daha fazla personele ve kaynağa ihtiyacı var.

CTI şirketin tedarik zincirindeki siber riskleri izleyebilir

Tedarik zinciri veya üçüncü taraf satıcı kesintileri operasyonel kaosa neden olabilir. Özellikle, bir kuruluşun yetkisiz erişimle karşılaşması ihmal iddialarına, ciddi para cezalarına, sözleşme anlaşmazlıklarına, olası davalara, gelir kaybına ve hatta itibar kaybına yol açabilir. Bu nedenle şirketlerin, veri güvenliğini ele alan ve ihlal durumunda sorumluluklarını özetleyen sağlam tedarikçi anlaşmaları yaparak verilerini güvence altına alması gerekiyor. Ayrıca, şirketlerini veya müşterilerini etkileyebilecek olası bir ihlale karşı tedarikçilerini de izlemelidirler.

Ocak 2024’te, ABD Sağlık ve İnsani Hizmetler Bakanlığı Her biri 10.000’den fazla kaydı etkileyen 24 sağlık hizmeti veri ihlaline ilişkin rapor alındı. Perry Johnson & Associates, Inc.. Transkripsiyon hizmet sağlayıcısı (PJ&A) ihlallerden ikisini bildirdi. Kasım 2023’te bir siber saldırı yaklaşık 9 milyon kişiyi etkiledi. Konsantre Sağlık Hizmetleri Ve Kuzey Kansas Şehir Hastanesi etkilenen toplam 13,45 milyon kişiye eklendi. Kaynak
Nisan 2023’te, Shopify çevrimiçi mağaza hizmetlerini kullanan 100.000’den fazla satıcıyı etkileyen bir veri ihlali yaşadı. İhlal, üçüncü taraf bir uygulamaya kötü amaçlı kod eklenmesi nedeniyle meydana geldi. Posta şempanzesi. Saldırganlar müşterilerin adlarına, e-posta adreslerine, ödeme bilgilerine ve sipariş ayrıntılarına erişti. Shopify davalarla, düzenleyici incelemelerle ve olası para cezalarıyla karşı karşıya kaldı. Kaynak
Ocak 2023’te, Peloton bunu açıkladı Strava’nın Üçüncü taraf yazılımlar, 3 milyon kullanıcının kişisel ve sağlık verilerinin açığa çıkmasına neden olan bir güvenlik açığına neden oldu. İsimler, e-postalar, antrenman istatistikleri ve kalp atış hızı verileri ele geçirildi. Sonuç olarak Peloton yasal işlemle karşı karşıya kaldı ve itibarı zarar gördü. Kaynak
2021’de T-Mobile 50 milyondan fazla müşterinin kişisel bilgilerini tehlikeye atan bir veri ihlalini açıkladı. İhlalin nedeni şunlardı: üçüncü taraf bir bulut sağlayıcısından kiralanan, güvenliği ihlal edilmiş sunucudavalara, düzenleyici incelemelere ve potansiyel para cezalarına neden olur. Kaynak
2021’de bir fidye yazılımı saldırısı Sömürge Boru Hattı birkaç gün boyunca operasyonel kesintiye neden oldu. Siber suçlular sızdırılan bir şifreyi istismar etti üçüncü taraf satıcıABD’de gaz kıtlığına ve fiyat artışlarına yol açtı. Fidye olarak 4,4 milyon dolar ödemesine rağmen Colonial Pipeline, saldırı ve kurtarma çabaları nedeniyle önemli kayıplara uğradı. Kaynak

Şirketlerin kendilerini korumak için CTI analizi yapması yaygındır. Bazı şirketler iç kaynakları kullanırken diğerleri tedarikçinin siber güvenlik duruşunu belirlemek için tedarikçi ağının çevre taraması, düşük kaliteli siber suç verilerinin (TOR) taranması ve şirketin kaynak kodunun incelenmesi dahil olmak üzere dış kaynakları kullanır. CTI, erişime dayalı tehditlere odaklanarak bu incelemeyi geliştirebilir. Yüzey Ağı, Karanlık Web (TOR) / Derin WebVe İncelenmiş/yalnızca davetli siber suç toplulukları. Bu, aşağıdaki soruların yüksek güvenle yanıtlanmasına olanak tanır:

Tedarikçinin ihlali var mı ve öyleyse kim tarafından? Motivasyonları nedir? Hangi veriler sızdırıldı?

Bir tehdit aktörünün, bunu yapmayı seçmesi durumunda tedarikçiyi ihlal etmek için kullanabileceği bir ihlalin öncülleri var mı?

Resecurity’nin analizi, yalnızca yüzey webinden ve TOR’dan alınan verilere güvenmenin, ihlal öncüllerinin ve gerçek ihlallerin %75’inden fazlasını gözden kaçıracağını belirledi.

Tek beden herkese uymuyor

Şirketler ve onların CTI tedarikçileri, tek bir çözümün her şirketin ihtiyaçlarını karşılamayacağını anlamalıdır. Bu sorunu çözmek için şirketlerin ve onların CTI tedarikçilerinin ihtiyaçlarını ve kısıtlamalarını belirlemek için işbirliği yapması gerekir. CTI tedarikçisi, müşterilerine bütçe, zaman çerçevesi, güven, katılım kuralları ve içgörü derinliği dahil olmak üzere gereksinimlerini karşılayacak doğru hizmet kombinasyonunu seçme konusunda yardımcı olmalıdır.

Bu görünürlük, doğru CTI sağlamada kritik öneme sahiptir. Örneğin Resecurity, müşterilerimize aşağıdakilere dayalı bilgiler sağlar:

  • 31.000’den fazla kaynağın sürekli izlenmesi.
  • 38 milyondan fazla tehdit aktörünü takip ediyoruz
  • Tehdit aktörlerinin elindeki milyarlarca ele geçirilmiş kimlik bilgisini topladı ve toplamaya devam ediyor.
  • Milyarlarca kötü amaçlı yazılım bulaşmış cihazın botnet kayıtlarını topladı ve toplamaya devam ediyor.
  • HUMINT araştırmacıları, karanlık web verilerini analiz ederek yanıtlanamayan soruları yanıtlamak için daha derine inebilirler.
  • 0 günlük ve N günlük keşif ve analiz dahil olmak üzere yönetilen tehdit algılama.
  • Sektör lideri birincil araştırma, dijital adli tıp, Kırmızı ekip oluşturma, kimlik koruması ve daha fazlası.

Mevcut bilgi türü

Resecurity ve diğer analizler sayesinde, bir güvenlik ihlalinin öncülleri ile gerçek bir ihlal arasında yüksek bir korelasyon olduğu gözlemlenmiştir. Üç ortak öncü: HUMINT araştırmacıları, karanlık web verilerini analiz ederek, yanıtlanamayan soruları yanıtlamak için daha derinlere inebilir. Bu veriler tehdit aktörleri arasında alınıp satılır, toplu olarak satılır veya ilk erişim aracıları tarafından satılır. Bu gözlemlenebilir öncüllere ek olarak, Resecurity AVCILAR Geleneksel yöntemlerle tespit edilemeyen ihlaller hakkında ek istihbarat sağlar. Şirketler bu verileri, tehdit aktörlerinin şirketlerinin veya tedarikçilerinin ağlarında bir dayanak noktası olarak kullanmasını önlemek için kullanabilir.

Veri ihlali

Karanlık ağda ele geçirilen hesapların keşfedilmesi eğilimi, şirketin ve çalışanlarının kullandığı hizmetlerin ihlallerinin zamanlamasını gösteriyor.

Örneğin, ABD’deki neredeyse tüm müşterilerin tedarikçisi olan rastgele bir Fortune 500 şirketinin trend analizi. İlgi alanları:

Dark web’de 1/1/22 ile 30/11/23 tarihleri ​​arasında 6.273 ele geçirilmiş çalışan hesabı keşfedildi. Çalışanlarının daha fazla ele geçirilen hesaplarının karanlık ağa sızması endişe verici bir eğilimle birlikte.

Verilerdeki ilgili yedi ani artış, şirketin ihlal edildiğini veya tedarik zincirindeki önemli bir şirketin ihlal edildiğini gösteriyor.

Botnet verileri

Trend, bu şirketin çalışanlarının kullandığı bilgisayarların sayısının kötü amaçlı yazılımlardan etkilendiği yönünde. PC’ye kötü amaçlı yazılım bulaştığında çalışanın kullanıcı adı, şifresi, cihazının parmak izi ve güvenlik belirteçleri de ele geçirildi. Tehdit aktörleri genellikle kötü amaçlı yazılımlarını bu cihazlara gönderme haklarını satın alır ve ardından kurbanın bilgisayarı üzerinde tam kontrole sahip olurlar.

Örneğin, aynı Fortune 500 şirketine ait trendlerin analizi, ek endişe verici alanları ortaya koyuyor:

  • 1/1/22 ile 30/11/23 tarihleri ​​arasında çalışanlarının kullandığı 5.406 bilgisayara kötü amaçlı yazılım bulaştı.
  • 2022’nin 3. çeyreğinden bu yana bilgisayarlara kötü amaçlı yazılım bulaşması endişe verici bir trend.

Karanlık Web Verileri

Karanlık ağdaki verilerin izlenmesi, bir şirkete sızmayı planlayan tehdit aktörlerini veya ihlal edilen veya yakında ihlal edilecek bir şirketten nasıl para kazanılacağını ortaya çıkarabilir.

Temel çıkarımlar:

CTI hizmetleri, şirketlerin tedarikçilerinden kaynaklanan riskleri anlamalarına ve azaltmalarına yardımcı olabilir.

Tek beden herkese uymuyor. Bu seçeneklerin kapsamı ve ölçeği, bireysel müşterinin ve katılımın ihtiyaçlarını ve bütçesini karşılayacak şekilde büyütülüp küçültülür:

Ortak teklif Özet Zamanlama İçin kullanılır
Potansiyel bir tedarikçinin self servis değerlendirmesi Şirketler potansiyel bir tedarikçinin siber risklerini belirlemek için Risk’i kullanabilir 15 dakika kadar kısa bir sürede yapılabilir Bir tedarikçinin diğer potansiyel tedarikçilere veya onların mevcut tedarikçilerine kıyasla göreceli risklerini tanımlamak için kullanılır.
Sürekli tedarikçi portföyü takibi Tedarikçi portföyünün sürekli izlenmesi.

Ortaya çıkan tehditlere ilişkin uyarıların sürekli raporlanması

 devam ediyor Tüm tedarikçilerinin göreceli risklerini tanımlamak için kullanılır.

Çözüm

Şirketler tedarikçilerini incelerken genellikle tedarikçi ağının basit çevre taraması gibi sınırlı görünürlüğe sahip üçüncü taraf hizmetlerini kullanırlar. Bazı şirketler daha derine iniyor ve daha kapsamlı bir tarama için bir CTI tedarikçisine güveniyor. Bununla birlikte, genellikle yalnızca TOR’a ve yüzey ağına erişebilen satıcılara bağımlıdırlar; bu da müşterilerine eksik görünürlük sağlar ve çoğu zaman endişelendikleri temel sorunların gözden kaçırılmasına neden olur. Sonuç olarak, genellikle keşfettiklerinden daha önemli olayları kaçırırlar.

Yazar Hakkında

Tedarik Zinciri İzleme için Siber Tehdit İstihbaratı (CTI)Shawn Loveland, Resecurity’in COO’sudur. Teknoloji ve siber güvenlik alanında 35 yılı aşkın sektör uzmanlığına sahip deneyimli bir profesyoneldir. Hem küçük hem de büyük şirketlerde çalışmış ve bilgisayar güvenliği ve telefon alanında 15 ABD patenti ve çok sayıda uluslararası patent almıştır.

Resecurity COO’su olarak Shawn, mevcut tehdit ortamına karşı müşterilerimize pratik çözümler sunma konusunda Resecurity’e yardımcı oluyor. Proaktif tehdit araştırmaları yürütüyor ve müşterilerin Siber Tehdit İstihbaratı (CTI) programlarını değerlendirmelerine yardımcı oluyor. Aynı zamanda onların benzersiz ihtiyaçlarını karşılayacak şekilde özelleştirilmiş istihbarat hizmetleri de sağlıyor. Shawn, Resecurity’e katılmadan önce Microsoft’ta karanlık web istihbaratından sorumluydu.

Shawn’a çevrimiçi olarak (Shawn Loveland | LinkedIn) adresinden ve şirketimizin web sitesinden (https://www.resecurity.com/) ulaşılabilir.



Source link