Manşetler düzenli bir olay haline geldi … Kaseya, SolarWinds, 3CX, MOVEit ve köşede başkaları olacağı kesin … çünkü bunlar etkili.
Uzmanlar, sistemleri bir sonraki yazılım tedarik zinciri siber saldırısına karşı korumaktan endişe duyan kuruluşlar için en iyi siber savunmanın, aktif izleme ve tehdit avcılığı olduğunu söylüyor.
“Son yıllarda birden fazla yazılım tedarik zinciri güvenlik hatası, güvenliğin geleneksel ‘dört duvar’ siber güvenlik modelinin çok ötesine geçtiğini gösterdi.” Geçenlerde Dark Reading izleyicileriyle “Yeni Nesil Tedarik Zinciri Güvenliği” konulu 7 Haziran web seminerinde konuşan IANS öğretim üyesi Jake Williams söyledi.
Williams’ın sunumunda özetlediği gibi, modern yazılım tedarik zinciri, tehdit aktörlerine otomatik yazılım güncellemeleri, satıcı tarafından yönetilen cihazlar, hizmet olarak yazılım (SaaS) araçları, bulut ve daha fazlasını içeren muazzam bir saldırı yüzeyi sunuyor.
Williams, “Kaseya, fidye yazılımı dağıtmak için yönetilen hizmet sağlayıcılara yönelik ilk saldırı değildi ve kesinlikle son da olmayacak” diye ekledi. Ve gerçekten de bu doğru – MOVEit saldırısı, sonuçta Cl0p fidye yazılımı çetesinin işidir.
Searchlight Cyber genel müdürü Evan Blair de Dark Reading web seminerinde tedarik zincirinin güvenliği hakkında konuştu ve karmaşıklık sorununu şaşırtıcı bir istatistikle açıkladı: “Yıllık gelirdeki her bir milyar dolar için işletmelerin yaklaşık 1.000 tedarikçisi olacak.” Bu, siber dolandırıcıların kurumsal sistemlerde kullanabilecekleri pek çok yol var.
Canlı etkinliğin ardından Dark Reading, Williams’a kurumsal siber güvenlik ekiplerinin artan yazılım tedarik zinciri saldırılarına karşı savunmak için neler yapabileceğini sordu. İşte Williams nasıl başlayacağını söyledi.
“Bu gerçekten izleme ve tehdit avcılığına indirgeniyor” diyor. “MOVEit durumunda, cihazın güvenliğinin ihlal edildiğini varsayarak hedefli tehdit avı yapıyor olurduk. İlk olarak, dahili ağda neyle konuştuğuna bakar ve ardından (yeni) sonrasında bu cihazların durumunda herhangi bir değişiklik olup olmadığına bakardık. şüpheli süreçler vb.),” diyor Williams.
Tedarik Zinciri Siber Saldırı Başarıları
Ağ savunucuları için işleri karmaşık hale getiren şey, iyi kaynaklara sahip tehdit aktörlerinin tedarik zinciri saldırılarında büyük başarı elde etmiş olmalarıdır. daha büyük kuruluşların sistemlerine girmenin bir yolu olarak. daha fazlasıWilliams, gelişmiş devlet tabanlı gelişmiş kalıcı tehdit (APT) gruplarının, muhtemelen çoğunlukla temel siber güvenlik korumalarına dayanan daha küçük kuruluşları da hedef aldığını açıkladı.
Mayıs ayında, Kuzey Kore hükümeti bağlantılı Lazarus Group’un, 3CX tedarik zinciri kusuru olan Log4Shell’i ve ayrıca farklı büyüklükteki çeşitli şirketlerdeki Microsoft Web sunucularını tehlikeye atmak için bilinen diğer güvenlik açıklarını kullandığı gözlemlendi. Ve Nisan ayında Çinli APT grubu Evasive Panda, casus yazılımları daha küçük hedeflere dağıtmak için Çin tarafından geliştirilen yazılımların uygulama güncellemelerini ele geçirdi.
Yapay Zekanın Yazılım Tedarik Zincirine Tehdidi
Tedarik zinciri, araştırmacıların son zamanlarda geliştiricileri hedefleyen yazılım paketlerine kötü amaçlı kötü amaçlı yazılım yerleştirmek için kullanılabileceğini gösterdiği yapay zekanın (AI) yükselişi tarafından daha da tehdit ediliyor.
Araştırmacıların “AI paketi halüsinasyonları” olarak adlandırdığı, var olmayan yazılım yapı taşları için ChatGPT tarafından oluşturulan öneriler nadir değildir ve siber suçlular bu önerileri alıp yanlış kayıtlarla eşleşen kötü amaçlı bir paket oluşturabilir ve ardından ChatGPT’nin önermesini bekleyebilir. yine onlar. Bu keşif, kurumsal ağlara yönelik tedarik zinciri tehditlerinin belirlenmesine bir başka karmaşıklık katmanı ekliyor.
ile kuruluşlar Williams, sağlam izleme ve tehdit avı programlarının bir sonraki tedarik zinciri saldırısını önlemek için en iyi şekilde konumlandırıldığını tavsiye etti.
Tedarik Zinciri Güvenlik İzleme
Williams’a göre, yazılım tedarik zincirindeki üçüncü tarafların güvenliğini izlemek bir “zorunluluktur” ve “daha azı tepkisel olmaktır” diye ekledi. Williams’a göre siber tehdit istihbaratı (CTI) ekipleri, yazılım tedarik zinciri risklerini proaktif olarak izlemenin önemli bir yoludur, ancak görevleri zordur.
Williams, “Çoğu CTI ekibi kendi organizasyonlarını izlemekte güçlük çekiyor” dedi. CTI ekiplerinin, üçüncü taraflar için bunları sentezlemek, raporlamak veya eyleme geçirmek için gerekli olan döngülere ve verilere ilişkin içgörüye sahip olmadığını da sözlerine ekledi.
Williams, “Herhangi bir CTI analistinin size söyleyeceği gibi, bu zorluklar önemsiz değil,” dedi.
Williams, ek bir tehdit istihbaratı kaynağında Dark Web izlemenin, Dark Web forumlarına doğrudan erişmeyi veya bilgi toplamak için bir satıcı kullanmayı içerebileceğini, ancak bunun gerçek zamanlı veri sağlamadığını söyledi.
Williams, “Dark Web platformlarına erişim satın alırken, bunun istihbarat yaşam döngüsünün yalnızca çok küçük bir bölümünü oluşturduğunu bilin,” tavsiyesinde bulundu.
Dark Web forumlarından toplanabilecek değerli tehdit istihbaratı, son fidye yazılımı gruplarının faaliyetleri, bilgisayar korsanlığı iletişimleri ve diğer tehdit aktörlerine ağlara erişim satan ilk erişim komisyoncuları hakkındaki gönderileri içerebilir, Blair Dark Reading web semineri izleyicilerine açıkladı.
Blair, CISO’ların yaklaşık üçte birinin şu anda tedarik zincirlerine yönelik siber saldırıları izlemek için Dark Web verilerini kullandığını, %71’inin ise tedarikçilerin Dark Web’de tartışılıp tartışılmadığını görmek istediğini ekledi.
Dark Web izlemenin ötesinde, diğer açık kaynak istihbarat kaynakları (OSINT), tehdit içgörüleri elde etmek için değerli olabilir. Sadece Twitter hashtag’lerinde arama yapmak, dünya çapındaki siber güvenlik uzmanlarından toplanan kataloglanmış, tarihli, gerçek zamanlı bilgiler sağlayabilir.
Olgun Tehdit Avcılığı Tedarik Zinciri Savunmasına Yardımcı Olur
Williams, “Kuruluşlar gerçekçi bir şekilde 3CX gibi yazılım tedarik zinciri saldırılarını önlemeyi bekleyemezler” diyor. “Bu, hem uç nokta hem de ağ araçlarını kullanarak gerçek zamanlı izleme ihtiyacına bir kez daha işaret ediyor. Her saldırıyı olduğu gibi yakalayamayacağımız için, gelişmiş tehdit avlama yetenekleri de önemlidir.”
Williams, bir tehdit avlama programında dış kaynak kullanmayı düşünen ekiplere bir uyarı ekliyor.
Williams, Dark Reading’e “Tehdit avı temposunu sürdüremeyen kuruluşlar için, yönetilen tehdit avı satıcılarına karşı dikkatli olun” diyor. “Birçoğu, uç nokta algılama ve yanıt (EDR) çözümlerine konulan uzlaşma göstergelerini (IoC’ler) önden çalıştırıyor.”