Fiziksel ve yazılım tedarik zinciri riskleri, tehdit ortamının giderek daha büyük bir bölümünü oluşturuyor. İşte gelişen riskler ve çözümler.
Modern dünyada artan birbirine bağlılık ve bağımlılıklar, kuruluşlar için yıkıcı olaylar meydana gelinceye kadar fark edilmeyebilecek tedarik zinciri ve iş ortağı riskleri yaratmıştır.
Cyble ve diğerlerinden elde edilen veriler, veri ihlallerinin %40 veya daha fazlasının tedarik zinciriyle ilgili olduğunu gösteriyor. Yazılım ve fiziksel tedarik zincirleri risk ve karşılıklı bağımlılıklarla o kadar doludur ki kuruluşların bunların üstesinden gelmesi zor olabilir, ancak şirketlerin bu riskleri azaltmak için atabileceği adımlar vardır.
Tedarik zincirinin ve iş ortağı riskinin 2024’teki durumuna ve 2025’te neler olabileceğine, ayrıca bu riskleri azaltmaya yardımcı olabilecek bazı risk izleme ve yönetim stratejilerine bakacağız.
Yazılım Tedarik Zinciri Saldırıları Gelişiyor
Tedarik zinciri saldırıları, 2020-2021’deki SolarWinds ve Kaseya ihlalleriyle birlikte bilinçlendi ve o zamandan beri risk arttı.
SolarWinds’in deneyimlediği yazılım güncelleme saldırıları nispeten nadir olsa da gerçek şu ki, yazılım tedarik zinciri riskleri yeterince takdir edilemeyecek kadar büyük. Yazılım, donanım, yönetilen hizmetler, bulut hizmetleri ve SaaS uygulamalarının tümü yazılım tedarik zincirinin parçasıdır ve tümü güvenlik açığı riski oluşturabilir.
BT güvenlik açıkları, geniş erişim alanları nedeniyle karanlık web pazarlarındaki tehdit aktörleri tarafından en çok arananlardan bazılarıdır. Cyble’ın ABD varlıklarını içeren 770 karanlık ağ iddiasından karanlık ağ Araştırmacıların 2024’ün ilk 11 ayında müşterilere rapor verecek kadar güvenilir olduğunu düşünmelerine rağmen, BT ve BT hizmetleri şirketleri incelenen diğer 20 sektörü açık ara geride bıraktı (ilk 4’ün tablosu aşağıdadır).
| Sektör | Karanlık Web İstismarları |
| BT ve BT Hizmetleri | 146 |
| Devlet | 93 |
| Bankacılık ve Finansal Hizmetler | 82 |
| Sağlık hizmeti | 73 |
Bir güvenlik açığının tehlikeli veya değerli olması için web’de açığa çıkan milyonlarca güvenlik açığı varlığına ihtiyacı yoktur. 2024 yılının en ilginç örneklerinden biri Versa Director sıfır gün güvenlik açığı yalnızca 31 adet web’e yönelik güvenlik açığına sahip örnek vardı ancak bu güvenlik açığı bulunan örneklerden bazıları internet servis sağlayıcılarına (ISP’ler) ve yönetilen hizmet sağlayıcılara (MSP’ler) ait olduğundan görünüşe göre alt müşteri saldırılarına yol açtı.
Bir tedarik zinciri saldırısı olmasa da 2024’ün en büyük siber olaylarından biri, hatalı CrowdStrike güncellemesi Yaklaşık 8,5 milyon Windows makinesini etkileyen bu olay; hiçbir olay, yazılım tedarik zincirinin riskli karşılıklı bağımlılıklarını bu kadar iyi vurgulamaz.
Yazılım tedarik zincirinin ulaştığı alanı gösteren diğer 2024 olayı şunları içeriyordu: CDK siber saldırısı Kuzey Amerika otomobil bayilerini felce uğratan bu durum, fiziksel ve yazılım tedarik zincirlerinin birbirine bağlı doğasını gösteriyor ve Kar tanesi ihlali 165 önde gelen kuruluşun verilerini açığa çıkardı.
Eşit CISA Ve GÖNYE Her ikisi de Ivanti’nin güvenlik açıklarından etkilendiği için 2024’te yazılım tedarik zinciri tehditlerinden kaçamadı.
Pek çok ticari üründe bile mevcut olan açık kaynaklı yazılım, bir başka yazılım tedarik zinciri riskidir ve yazılım malzeme listesini (SBOM) bilinmeyen güvenlik açıklarına karşı önemli bir koruma haline getirir.
Aslında, bir güvenlik açığından yararlanılmasıyla başlayan veya bu nedenle artan herhangi bir fidye yazılımı veya veri ihlali, en azından kısmen bir yazılım tedarik zinciri olayı olarak değerlendirilebilir.
Fiziksel Güvenlik: Sadece Tedarik Zincirleri İçin Değil
Fiziksel tedarik zincirleri, planlamayı, risk çeşitlendirmesini ve yönetimini özellikle önemli kılan birçok riskle (finansal, jeopolitik, operasyonel, nakliye, lojistik, iklim, doğal afetler) karşı karşıyadır.
Fiziksel güvenlik, tedarik zinciri yönetimi ve işlevinin yanı sıra, kritik altyapı ve yönetici seyahatleri de dahil olmak üzere diğer birçok sektör ve kullanım için önemlidir. Son yıllarda fiziksel ve jeopolitik risklerdeki endişe verici artış tüm sektörleri etkilemenin yanı sıra yöneticilere yönelik risklerin de artmasına neden oluyor.
Erişim kontrolü sanal risklerin yanı sıra fiziksel riskler için de geçerlidir ve fiziksel tehditler arttıkça kuruluşunuzun kritik alanlarına erişimi kilitlemek önemli bir güvenlik hususu haline gelir.
Fiziksel tehdit istihbaratı İster yerel bir ofisi veya depoyu, ister dünyanın diğer ucundaki bir yöneticiyi etkilesin, türüne ve konumuna bakılmaksızın fiziksel tehditleri izlemek için yeni ortaya çıkan bir araçtır. Video gözetimi, sensör verileri ve sosyal medya izleme gibi kaynaklardan gelen verileri analiz eden gelişmiş algoritmalara sahip bu araçlar, fiziksel riskler ve tedarik zinciri riskleri üzerinde daha fazla kontrol sağlamak için hızlı uyarılara, yanıtlara ve ayarlamalara olanak tanır.
Tedarik Zinciri ve Fiziksel Risklerin Kontrolü
Yazılım ve fiziksel tedarik zincirleri, aşağıdaki gibi özellikleri içeren kapsamlı tehdit istihbaratı platformlarıyla daha iyi korunabilir:
Bir Cyble vaka çalışması Bir tedarik zinciri şirketinin bir araştırması, şirketin iş ortağı risk yönetimini de içeren bir tehdit istihbaratı çözümünü uygulamaya koymasının ardından dolandırıcılık ve dolandırıcılık vakalarında %45’lik bir düşüş olduğunu belgeledi.
Tedarik zinciri riskini SBOM ve TPRM gibi araçlar aracılığıyla anlamak, riski kontrol etmek için çok önemlidir. Uygun erişim kontrolü hem iş ortakları hem de kullanıcılar için geçerlidir; üçüncü taraf tedarikçilere yalnızca ihtiyaç duydukları erişim verilmelidir ve yapılandırma ve segmentasyon diğer önemli güvenlik kontrolleridir. Güvenlik ayrıca hizmet düzeyi anlaşmaları (SLA’lar) aracılığıyla tedarikçi sözleşmelerine de dahil edilebilir ve düzenli denetimlerle takip edilebilir.
2025 Tedarik Zinciri Görünümü
2025, ABD’nin siyasi manzarasında çarpıcı bir yön değişikliğiyle birlikte daha da fazla dalgalanmaya yol açabilir ve değişen küresel ittifaklar ve ekonomik yön, ticari risklere ve tehditlere hızla yanıt vermeyi her zamankinden daha önemli hale getirecek. ABD Başkanı seçilen Donald Trump’ın vaat ettiği tarifeler hem tedarik zincirini hem de ekonomiyi bozma potansiyeline sahip.
Siber suçlular ve tehdit aktörleri, giderek daha karmaşık siber saldırılar oluşturmak için yapay zekayı silahlandırmaya devam ederken, 2025, yapay zeka destekli tehdit istihbaratı platformlarının sunduğu kapsamlı koruma için bir kez daha güçlü bir örnek teşkil edecek.