Güvenlik Önerileri
Siber Korsanların 2022’deki Hedefi Tedarik Zincirleri Olabilir
Güvenlik uzmanları, tekrarlanabilir saldırıların ve siber suç dünyasına girmenin kolaylığından dolayı tedarik zinciri saldırılarının 2022’de artacağı uyarısında bulunuyor…
Tedarik zinciri, siber korsanlar için günümüze dair öne çıkan hedefler arasında. Merkezileşmiş bir hizmet, yazılım veya platforma saldırı düzenleyerek siber korsanlar müşterilere ve tüketicilere yayılan geniş bir sistemi etkileyebiliyor ve sistem içinde yeni saldırı düzenlemek için özel hedefler belirleyebiliyor.
Tek bir güvenlik açığı üzerinden binlerce kurbanı hedef alabilmeleri, siber korsanların tedarik zinciri saldırıları aracılığı ile zaman ve para tasarrufu yapmasını sağlıyor. Küresel IT sistemleri sağlayıcısı Kaseya‘nın 2021’de maruz kaldığı saldırı, tedarik zinciri merkezli saldırıların ciddiyetini ortaya koydu. Kaseya’nın bir yazılımı ile yayılan fidye yazılım saldırısı sonucunda küresel alanda birçok hizmet sağlayıcının işlemleri durma noktasına gelmişti.
SolarWinds saldırısı ile karşılaştırıldığında ise Kaseya, nispeten küçük ölçekli bir eylem olarak kaldı. SolarWinds, 18 binden fazla şirketin sistemlerini felce uğrattı. Saldırganlar ele geçirdikleri bilgiler aracılığıyla SolarWinds’in ikinci aşamasında aralarında Microsoft ve FireEye gibi üst düzey şirketlerin de bulunduğu hedeflere saldırdı.
Aralarında Codecov, Kaseya, SolarWinds, Mimecast ve Avrupa Birliği Siber Güvenlik Ajansı’nın (ENISA) bulunduğu yakın tarihli 24 fidye yazılım saldırısı analiz edildiğinde, güvenlik uzmanları tedarik zinciri saldırılarının genelde karmaşık olduğunu, öte yandan kullanılan yöntemlerin zor olmadığını ortaya çıkardı.
Tedarik zinciri saldırıları yazılım zafiyetleri kullanılarak gerçekleştirilebiliyor. Bu şekilde kötü amaçlı yazılımlar, oltalama saldırıları, çalınan sertifikalar, sızılan hesap bilgileri, hassas açık kaynak bileşenleri ve donanım yazılımı müdahalesi ve diğer saldırı noktaları kullanılıyor.
Piyasaya giriş bariyerleri
Güvenlik uzmanları, kullanılan saldırı yöntemlerine erişimin kolaylığı nedeniyle 2022’de tedarik zinciri saldırılarının artmasını kaçınılmaz olarak görüyor. Bu yöntemlerin arasında fazlasıyla tekrarlanabilir olan “dependency confusion” da var. Söz konusu saldırı bir kamu veri tabanından yazılım yükleme kodu kullanarak belli bir dosya yerine kötü amaçlı bir kod çekerek gerçekleştiriliyor.
Tekrarlanabilir saldırılar sayesinde siber korsanlar, tek seferde birden çok organizasyonu hedef alabildiği gibi saldırılarını paraya dönüştürebiliyorlar. Güvenlik uzmanları aynı zamanda sahte ve taklitçi siber korsanların da tedarik zincirlerini hedef alarak saldırı riskini artıracağını belirtiyor.
Güvenlik bariyeri tekrar tanımlanırken siber saldırılar artıyor
Nesnelerin İnterneti (IoT) dünyasında artık eski güvenlik modellerinin, evden çalışma şartlarının, hibrit-bulut ayarlarının ve karmaşık dijital tedarik zincirlerinin artık yeteri kadar uyumlu olmadığı not düşülüyor.
Güvenlik uzmanlarına göre, şirketler halen belirli bir güvenlik bariyeri alanı tanımlayamama sorunu yaşıyor. Kimi şirketler dijital dönüşüm projeleri üzerinde çalışırken, yeni uygulamalar ve hizmetler ile saldırı zemininin arttığını fark edemiyorlar. Uzmanlara göre bu duruma neden olan sorun, bazı yönetim kurullarında teknik şeflerin ve bilişim teknoloji uzmanlarının halen yer almaması ve güvenlik unsuruna halen öncelik verilmemesi. Öte yandan artan fidye yazılım saldırıları ve veri hırsızlığı güvenlik sorunlarına yönelik dikkatin artmasını sağlıyor.
Tedarik zincirinin farklı seviyelerindeki bileşenlere, platformlara ve hizmetlere bağlı olan şirketlerin acilen tehlikenin farkına varması ve güvenlik altyapılarını kontrol ederek altyapılarını güçlendirmeleri gerekiyor.
Fidye yazılım saldırıları artacak
Siber korsanların hassas bilgilere el koymasına ve sızdırmasına neden olan fidye yazılım saldırıları, siber suç dünyasının getirisi yüksek eylemleri arasında.
Tedarik zincircilerine yönelik gerçekleştirilen tedarik zinciri saldırıları sonucunda siber korsanlar şirketlere ait hassas bilgileri fidye için ellerinde tutabilir. Güvenlik uzmanları, fidye yazılım saldırısı gerçekleştirilen siber suçluların üçte ikisinin aslında alanlarında uzman olmadıklarını, dark web’den satın aldıkları saldırı araçları ile bu eylemi gerçekleştirdiklerini belirtti. Süregelmekte olan tedarik zinciri krizlerinin güvenlik zafiyetini kalıcı risk kıldığını belirten güvenlik uzmanları, fidye yazılım saldırılarının giderek artacağını not düştü.
Teknik borçların ödenmesi kaçınılmaz
Şirketler dijital tedarik zincirlerini zayıf noktalar için analiz etmeye başlarken, aynı zamanda “teknik borç” ile uğraşmak zorunda kalacaklar. Söz konusu ücret, bir teknik projenin gelecekte var olacağı ve güvenli olacağı beklentisi ile bir organizasyonun gerçekte ödemeye hazır olduğu ücretin arasındaki farkı temsil ediyor.
Tedarik zincirlerine yönelik saldırıların 2022’de ciddi oranda artacağı öngörüldüğü için şirketlerin kodlarını sıkça gözden geçirmesi, kod geliştirilmesi ve uygulanması aşamasında güvenliği sürekli olarak akıllarında tutmaları tavsiye ediliyor.
Güvenlik uzmanları kullanımdaki yazılımların eskimeye bırakılmamasının önemine vurgu yaparak güncellemeler ve yamaların göz ardı edilmemesi gerektiğini vurguluyor. Bu adımların göz ardı edilmesi, siber saldırganlara fidye yazılım saldırıları düzenlemek için davetiye çıkarmak anlamına geliyor.
SMOMs (Materyallerin Yazılım Faturaları)
Günümüzdeki satıcılara göz atıldığı zaman tedarik zincirlerindeki bileşenler, yazılımlar ve güvenlik altyapıları halen bir sorun teşkil etmeye devam ediyor.
Solarwinds gibi yakın tarihli tedarik zinciri saldırıları akla getirildiği zaman, önümüzdeki 12 ay boyunca daha fazla şirketin gelecekteki tedarik zinciri iş anlaşmaları kapsamında güvenlik odaklı SBOMs kullanacağı öngörülüyor. SBOMs, kurumlarda yazılım kullanımını daha şeffaf hale getirmek için kullanılan yazılım ve bileşen envanterlerini temsil ediyor. SBOMs tedarikçi listeleri, lisanslar ve güvenlik denetim garantilerini içerebiliyor.
Son olarak şirketler, 2022’de tedarikçiler güncel güvenlik raporları sunmasını zorunlu kılan yeni regülasyonlara/uygulamalara maruz kalacak. Artık altı ay öncesinde kalan güvenlik raporları tedarikçilerin güvenlik garantisi sunması için yeterli sayılmayacak ve güvenlik altyapılarını güncel tutmaları sağlanacak.