Tedarik zinciri saldırısı, dışarıdan biri sisteminize harici bir varlık veya kaynak aracılığıyla erişim sağladığında meydana gelir. Kuruluşların güvenlik açığı çeşitli kaynaklar aracılığıyla gerçekleşebilir. Kuruluşları yazılım tedarik zinciri saldırılarına karşı savunmasız kılan iki ana faktör vardır.
İlk faktör, birçok yazılım ürününün optimum performans için erişim gerektirmesidir. Kuruluşunuz genelinde çok sayıda yazılım ürünü çalışmaya devam ederken, en hayati sistemler bile yetkisiz erişim hatalarına açık olabilir.
İkinci neden düzenli iletişimdir. Satıcılar ve müşteriler, bilgisayar korsanlarının bu yerleşik iletişim kanalını kullanması için yer bırakır. Satıcılar sahte güncellemeler sunar veya tüketicilerin meşru güvenlik güncellemelerini almasını engelleyerek onları tehditlere karşı savunmasız bırakır. Bu saldırı son zamanlarda yüksek seviyedeydi ve bu, bir araştırmaya göre 2021’i bir yazılım güvenlik açığı yılı olarak işaretledi. Bu makalede, tedarik zinciri ihlallerinin nasıl işlediğine bakacağız.
Tedarik Zinciri İhlalleri Nasıl İşler?
Yazılım tedarik zinciri güvenlik tanımının aksine, bir yazılım tedarik zinciri saldırısı, kötü amaçlı yazılımın tüm ağa yayılması için yalnızca bir saldırıya uğramış uygulama veya yazılım parçası gerektirir. Saldırganlar, güvenilir bir programa veya bilgisayar sistemine kötü amaçlı kod enjekte etmek için sıklıkla bir uygulamanın kaynak kodunu hedefler.
Saldırganlar genellikle yazılım veya uygulama güncellemelerini giriş noktası olarak kullanır. Yazılım tedarik zinciri saldırılarını izlemek zordur, çünkü bilgisayar korsanları, gerçek görünmesi için sıklıkla çalıntı sertifikalarla kodu “imzalar”.
USB keylogger gibi donanım saldırıları, gerçek fiziksel nesnelere dayanır. Saldırganlar, etkilerini ve zararlarını en üst düzeye çıkarmak için tüm tedarik zincirinde dolaşan bir cihazı hedef alacaktır.
Bellenim saldırıları hızlıdır, genellikle onları aramıyorsanız fark edilmez ve son derece yıkıcıdır. Bellenim saldırıları, bir bilgisayarın başlangıç koduna kötü amaçlı yazılım ekleyerek ikinci bir saldırı başlatır. Kötü amaçlı yazılım, bilgisayar açılır açılmaz çalışmaya başlar ve tüm sistemi riske atar.
SolarWinds, bir yazılım güncellemesi sırasında şirketin sunucuları aracılığıyla sağlanan ve potansiyel olarak tarihteki en önemli veri ihlallerinden birine neden olan bir tedarik zinciri kötü amaçlı yazılım saldırısının kurbanı oldu. Bu saldırı ABD Savunma Bakanlığı’nı, ABD Hazine Bakanlığı’nı ve diğer birçok kurumu etkiledi.
Yazılım Tedarik Zinciri Saldırılarına Karşı Nasıl Savunursunuz?
1. Satıcılar için erişim kontrollerini uygulayın. Satıcının sisteminize erişimini sınırlamak, potansiyel riskleri azaltmak için güzel bir fikirdir. Başka bir deyişle, satıcı erişimini yalnızca iş için gerekli olanla sınırlayın.
2. Uygulamanızı geliştirirken yalnızca güvenli ve bağımlılıkları kullanın.
Uygulamanıza dahil edilecek bağımlılıkları ve modülleri seçmek, güncel tutulan ve sağlam bir bakım geçmişine sahip yazılımları kullanmanızı gerektirir; bu, bulunan tüm güvenlik açıklarının araştırılmasını ve yamaların güncellenmesini sağlar. Ayrıca kötü amaçlı kod enjeksiyonunu da azaltır.
3. Açık kaynaklı yazılımlarda bilinen güvenlik açıklarını kontrol etme
Tedarik zinciri, Snyk, WhiteSource veya Açık Kaynak Tarama gibi OSS programları kullanılarak korunabilir. Bu yazılım, uygulamanızın bilinen herhangi bir güvenlik açığı olup olmadığını belirlemek için paketinizin bağımlılıklarını inceleyecek ve bunları güvenlik açığı bulunan paketler ve sürümlerden oluşan geniş veritabanlarıyla karşılaştıracaktır.
Bu paketler, bilinen bir güvenlik açığı, özellikle de kritik olarak derecelendirilen bir güvenlik açığı varsa, genellikle bir bağımlılığı en son güvenli sürüme otomatik olarak güncelleyebilir. Ancak, bir güncelleme mevcut değilse, yazılımın artık desteklenmediği anlamına geleceği için farklı bir modül veya paket kullanmanız gerekir.
4. Güvenlik operasyon merkezi için analistlere yatırım yapın.
Bu BT uzmanları, güvenlikle ilgili herhangi bir sorun veya boşluk bulmak için şirketinizin siber güvenlik mimarisini dikkatle inceler. Ayrıca, tehditlere yanıt verecek, saldırıların etkisini değerlendirecek ve sisteminizi geliştirmek için çalışacaklardır.
5. Dikkatli yama (düzenli olarak, anında değil)
Güvenlik yayınlarını daha önce okuduysanız, sistemlerinizi düzenli olarak güncellemenizi veya yamalamanızı tavsiye eden bir not göreceksiniz. Bu doğru olsa da, hemen yükseltmenizi gerektirmez. Herhangi bir güvenlik açığının yamalandığından ve artık bir endişe yaratmadığından emin olmak için en son sürümü istemeniz mantıklıdır.
Paradoksal gibi görünse de, bu gönderideki tüm vakalara bakarsak, hepsi birbiriyle bağlantılıdır çünkü kullanıcılar hemen yükseltme yapmasalardı, etkilenmezlerdi. Ekranınıza bağırmaya başlamadan önce, yama yapmayı veya yamalamayı seyrek olarak durdurmamızı önermediğimi açıklığa kavuşturmama izin verin; bunun yerine, bunu biraz düşünmeliyiz.
6. Kurumsal parola yönetimi (EPM) için bir platform kullanın. EPM teknolojileri, BT yöneticilerine personel parolası kullanımına tam erişim ve tüm kuruluş genelinde parola güvenlik ilkelerini uygulama gücü vererek tedarik zinciri saldırılarını önlemeye yardımcı olur.
7. En az ayrıcalıklı güvenlik ve gelişmiş kimlik doğrulama kullanın
“Sıfır Güven” terimi, bir güvenlik fikrini ifade eder. Bu, oturum açma kimlik bilgilerine sahip oldukları için birine otomatik olarak güvenmediğimiz anlamına gelir. Tedarik zinciri saldırısında, saldırganın sahip olduğu genel güven düzeyini düşürmek ve saldırganı kendi yolunda engelleyebilecek sıfır güven ilkelerine dayalı güçlü kimlik doğrulaması oluşturmak istiyoruz. Örnekler, sistemlere erişebilen IP adreslerinin sınırlandırılmasını ve çok faktörlü kimlik doğrulamasının kullanılmasını içerir.
Kullanıcıların ve hizmetlerin ek veri ve hizmetlere yalnızca en az erişime sahip olması gerektiğini belirten en az erişim ilkesine de uyulmalıdır. Bu ilke, yazılım tedarik zinciri güvenlik tanımınızın önemli bir parçası olmalıdır. Saldırgan güvenilir bir sistemden saldırı başlatabileceğinden, onları tanımlayıp yasaklayamayız; yine de, erişebilecekleri bilgi miktarını sınırlayabiliriz.
Çözüm
Yazılım tedarik zinciri saldırıları yakın zamanda durmayacak, ancak yazılım satıcıları, etkili güvenlik prosedürleri ve farkındalık eğitimi ile tedarik zinciri saldırıları riskini azaltabilir. En iyi yaklaşımı uygulayın ve yeterli izleme sistemiyle tutarlı kalın.
Dünya ilerliyor ve dijitalleşme yerini alıyor. Bu nedenle yazılım üretimi ve yönetimi her geçen gün artmaktadır. Benzer şekilde, saldırganlar, savunmasız yazılımlara kötü amaçlı kodlar sızmak ve enjekte etmek için gelişmiş araçlar uyguluyor. Yazılım tedarik zinciri saldırılarına karşı savunmanın birkaç yolunu vurguladık.
Yazılım tedarik zinciri saldırılarını azaltmak için en iyi yöntemi seçin.