Tedarikçilerin ve endüstri uzmanlarının siber saldırılarla ilgili tüm korkutucu konuşmalarına rağmen, nispeten az sayıda saldırı gerçekten yıkıcıdır. Ancak Jaguar Land Rover (JLR) saldırısı oldu.
JLR ihlali birkaç yüz bin dolara mal olan rahatsız edici bir saldırı değildi. Reuters’e göre üretimin haftalarca tamamen durmasının İngiliz ekonomisine 2 milyar dolardan fazlaya mal olması muhtemel ve 5000 kadar kuruluşu etkileyecek. Gerçek insanlar işlerini kaybetti.
Birleşik Krallık hükümeti, JLR’yi çalışır durumda tutmak için yaklaşık 2 milyar dolarlık bir kredi garantisiyle devreye girmek zorunda kaldı.
Bir kabus gerçek oldu
JLR saldırısı, üreticilerin teorik olarak gerçekleşebileceğini bildiği kabus senaryosuydu. Bu durum gerçekten gerçekleştiğinde, birçok üretim kuruluşunun aynı kaderi yaşamayı nasıl önleyebileceklerini bulma çabasına yol açtı.
Bir konu hemen netleşti: Tedarik zinciri, üreticiler için en zayıf güvenlik halkalarından biri. Sonuçta JLR saldırısı, üçüncü taraf yüklenicilerin kullandığı kimlik bilgilerinin tehlikeye atılmasıyla şirketin tedarik zincirinden kaynaklandı.
Saldırganlar tedarik zincirlerine nasıl giriyor? Güçlü bir taktik, üreticilerin ve onların tedarik zinciri ortaklarının kullandığı yazılım uygulamalarına yönelik geliştirme araçlarını ve süreçlerini hedeflemeyi içerir.
JLR’ı çökerten saldırı türü olmayabilir ya da olabilir; Saldırının kaynağına ilişkin tüm ayrıntılar kamuya açıklanmadı. Ancak buradan çıkarılacak önemli bir ders şu: Üreticiler ve onların tedarik zinciri ortakları, yazılım sağlayıcılarının güvenli geliştirme uygulamalarını kullanmasını sağlama konusunda dikkatli olmazlarsa, kendilerini JLR’nin maruz kaldığı düzeydeki saldırılara açık bırakacaklardır.
Tedarik zincirleri hedefte
Yazılım geliştirme yoluyla tedarik zincirlerine yapılan saldırılar yeni değil; ama hâlâ güçlü ve tehlikeliler. Şimdiye kadar gerçekleştirilen en ünlü siber saldırılardan bazıları bu taktiği içeriyordu; bunlar arasında 2020’de SolarWinds’e yapılan kötü şöhretli saldırı, 2021’de Kaseya VSA’ya yapılan saldırı ve 2023’te VoIP sağlayıcısı 3CX’e yapılan saldırı yer alıyor.
Saldırganlar son zamanlarda yeni bir yaklaşım geliştirdiler: Kötü amaçlı düğüm paketi yöneticilerini (NPM’ler) yazılım geliştirme sürecine dahil ediyorlar. JavaScript geliştiricileri, yeniden kullanılabilir kodu paylaşmak ve yüklemek için NPM’leri kullanır.
NPM’ler kötü niyetli olduğunda, bir saldırı hızla yayılabilir, aylarca sürebilir ve her türlü uygulamaya girebilir.
NPM hedeflemesinin en yeni örneklerinden biri, siber güvenlik sağlayıcıları tarafından kullanılanlar da dahil olmak üzere 500’den fazla NPM paketini ele geçirdiği bildirilen Shai-Hulud kripto hırsızıdır.
NPM saldırıları, saldırganların tedarik zincirlerine sızmak için buldukları yöntemlerden yalnızca biri. Örneğin saldırganlar, yazılım satıcılarının güncellemelerini de tehlikeye atabilir ve yazılımdaki güvenlik açıklarından yararlanabilir.
Sonuç olarak, tedarik zinciri uygulamaları savunmasızdır ve üreticilerin, iş ortaklarının kullandığı uygulamaların güvenli olduğundan emin olmaları gerekir.
Acronis Cyber Protect Cloud, veri korumayı, siber güvenliği ve uç nokta yönetimini entegre eder.
MSP işinizi verimli bir şekilde yürütürken siber koruma hizmetlerini tek bir platformdan kolayca ölçeklendirin.
30 Günlük Ücretsiz Deneme
Daha yakın değerlendirmelere ihtiyaç var
Tedarik zincirleri risk altında olduğundan üreticilerin mevcut ve potansiyel iş ortaklarını güvenli yazılım geliştirme yaşam döngüsü (SSDLC) uygulamalarıyla değerlendirmesi gerekiyor.
Çoğu operasyonel teknoloji (OT) ortamında, satın alma değerlendirmeleri ağırlıklı olarak tedarikçinin mali durumuna, hizmet düzeyi anlaşmalarına ve altyapı güvenliğine odaklanır. Ancak genellikle yazılım geliştirme sürecindeki güvenlik açıklarını, yani tedarik zinciri uygulamalarını sabote edebilecek sorunları gözden kaçırıyorlar.
Bu nedenle sıkı SSDLC uygulamalarının sağlanması hem üreticiler hem de tedarik zinciri ortakları için çok önemlidir. Üreticiler iş ortakları arasında SSDLC uygulamalarını sağlamadıklarında operasyonel kesinti, mali kayıp, uyumluluk ihlalleri ve itibar kaybıyla karşı karşıya kalma riskiyle karşı karşıya kalırlar.
SSDLC: Uyumluluk onay kutularından daha fazlası
SSDLC’yi bu kadar önemli ve etkili kılan şey nedir? Yeni başlayanlar için, resmi, belgelenmiş bir SSDLC süreci gerektiren AB NIS 2 direktifi kapsamında zorunludur.
Bu aynı zamanda güvenliği geliştirme sonrası bir eklenti olarak ele almaktan, onu yazılım oluşturma süreci boyunca yerleştirmeye doğru temel bir değişimi temsil ediyor.
Gereksinim analizi sırasında yakalanan bir güvenlik açığının düzeltilmesi saatler sürebilir. Yayınlandıktan sonra keşfedilen aynı kusur, haftalarca acil müdahale gerektirebilir.
Uygulamada olgun SSDLC uygulaması şunları içerir:
- Tasarım gereği güvenlik: Herhangi bir kod yazılmadan önce güvenlik gereksinimleri tanımlanır ve tehditler modellenir.
- Güvenli kodlama uygulamaları: Geliştiriciler, zorunlu kod incelemesi ve otomatik güvenlik testleri ile güvenlik konusunda eğitim aldı.
- Bağımlılık yönetimi: Üçüncü taraf bileşenleri, yazılım malzeme listesi (SBOM) uygulamaları aracılığıyla incelendi, takip edildi ve bakımı yapıldı.
- Güvenli sürüm ardışık düzenleri: Güncellemeler imzalandı, bütünlük kontrol edildi ve güçlendirilmiş kanallar aracılığıyla teslim edildi.
- Güvenlik açığı yönetimi: Koordineli açıklama süreçleri ve güvenlik sorunlarına yönelik tanımlanmış yanıt zaman çizelgeleri.
Üreticiler için bu, üretim hatlarını kontrol eden, kritik sistemleri yöneten ve endüstriyel operasyonları birbirine bağlayan yazılımın, ilk kod satırından son dağıtıma kadar yerleşik güvenliğe sahip olduğu anlamına gelir.
Güvenli geliştirmenin güvenilir kanıtı: IEC 62443-4-1 sertifikası
Endüstri sertifikaları, geliştirme sürecinde SSDLC kullanımının güvenilir bir ölçüsüdür. Çeşitli güvenlik sertifikaları mevcut olsa da IEC 62443-4-1, tedarik zincirlerinin üretimi için özel bir öneme sahiptir.
IEC 62443 standart ailesi, özellikle üreticilerin faaliyet gösterdiği ortam olan endüstriyel otomasyon ve kontrol sistemleri güvenliğini ele alır.
Bu çerçevede IEC 62443-4-1, yalnızca güvenli ürün geliştirme yaşam döngüsü gereksinimlerine odaklanır ve OT yazılım tedarikçilerinin değerlendirilmesine yönelik en katı ve ilgili standartlardan birini sağlar.
Genel bilgi güvenliği çerçevelerinden farklı olarak IEC 62443-4-1 sertifikası, bir tedarikçinin çalışma süresinin kritik olduğu, yama pencerelerinin sınırlı olabileceği ve yazılım arızalarından fiziksel dünya sonuçlarının ortaya çıkabileceği endüstriyel ortamlar için özel olarak tasarlanmış uygulamalar uyguladığını gösterir.
IEC 62443-4-1 sertifikası, yazılım tedarikçilerinin yalnızca vaat etmekle kalmayıp, her üründe sistematik olarak güvenlik mühendisliği yaptığına dair somut, bağımsız olarak doğrulanmış kanıtlar sağlar. Orijinal ekipman üreticileri (OEM’ler), sistem entegratörleri ve üretim ve kritik altyapıdaki son müşteriler için bu, kritik bir güven temeli sağlar.
Değerlendirmelerin yeniden düşünülmesi
İş ortaklarını SSDLC göz önünde bulundurarak değerlendirirken üreticiler şunları yapmalıdır:
- SSDLC kriterlerini satın alma süreçlerine dahil edin: Tedarikçilerin beklentileri en başından anlayabilmesi için RFP’lere ve sözleşmelere güvenli geliştirme gereksinimleri ekleyin.
- Yapılandırılmış kanıt isteyin: Durum tespitinin bir parçası olarak sertifikasyon kapsamlarını, denetçi raporlarını, SBOM kayıtlarını ve test sonuçlarını talep edin.
- İlgili sertifikalara öncelik verin: Endüstriyel ortamlarda faaliyet gösteren ürün satıcılarına yönelik, kurumsal güvenlik yönetimi ve geçerli olduğu durumlarda buluta özgü sertifikalar için ISO/IEC 27001 tarafından desteklenen IEC 62443-4-1’e özellikle bakın.
- Olgunluğu sürekli olarak değerlendirin: İkili anketlerin ötesine geçin ve satıcı yönetimine yerleşik sürekli izlemeyle tedarikçileri bir olgunluk süreci boyunca değerlendirin.
Üreticilerin artık tedarikçi güvenliği değerlendirmesini yalnızca altyapı ve operasyonlara odaklanan bir uygulama olarak ele alması mümkün değil. Geliştirme yaşam döngüsü, güvenlik açıklarının ortaya çıktığı ve üreticilerin bunların engellendiğinden emin olması gereken yerdir.
Acronis TRU Hakkında
Acronis Tehdit Araştırma Birimi (TRU), tehdit istihbaratı, yapay zeka ve risk yönetimi konusunda uzmanlaşmış siber güvenlik uzmanlarından oluşan bir ekiptir. TRU ekibi yeni ortaya çıkan tehditleri araştırır, güvenlik öngörüleri sağlar ve BT ekiplerini yönergeler, olaylara müdahale ve eğitim atölyeleriyle destekler.
En son TRU araştırmasına bakın
Acronis sponsorluğunda ve yazılmıştır.