Log4Shell veya Solarwinds, şirketlere yazılım tedarik zincirleri aracılığıyla yapılan saldırıların tipik örnekleridir. Siber suçluların hedef şirkete doğrudan erişim sağlamaması, bunun yerine arka kapıdan saldırması karakteristiktir. Trend Micro'dan bir yorum.
Son zamanlardaki bazı saldırılara (özellikle Solarwinds veya Log4Shell) bakarsanız, bunların giderek daha fazla "çeteler üzerinden" oynadıklarını fark edeceksiniz. Bu, saldırganların artık hedef şirketlere doğrudan değil, (yazılım) tedarik zincirleri aracılığıyla saldırdığı anlamına gelir. Kurbanlar ister güvenliği ihlal edilmiş Solarwinds güncellemeleri yoluyla ister Log4Shell'deki boşluklar yoluyla saldırıya uğrasın - her iki durumda da yazılım tedarik zinciri aynı zamanda bulaşma zinciridir.
Tedarik zinciri enfeksiyonları
Bu, tedarik zinciri bütünlüğü konusunun giderek daha patlayıcı hale geldiği anlamına geliyor. Bu öncelikle şu anlama gelir: Tedarik zincirimdeki tüm tedarikçileri/hizmet sağlayıcıları tanıyor muyum? Ve sadece doğrudan değil, aynı zamanda geçici bağımlılıklar da! Tüm tedarik zinciri, kullanılan kitaplıklarda bir boşluk olması durumunda kendi yazılımınızın etkilenip etkilenmediğini doğrudan söyleyebileceğiniz şekilde belgeleniyor mu? Kütüphaneyi doğrudan kendiniz veya geçici bağımlılıklardan birini kullandığınız için olabilir.
"Tedarik zincirinin bütünlüğü", özellikle güvenlik olayları sırasında hızla odak noktası haline gelir. Bu gibi durumlarda, hasarı mümkün olan en kısa sürede sınırlamak için çaba gösterilmektedir. Ortama bağlı olarak bunun için çeşitli teknik çözümler de vardır: (Sanal) yamalar, yazılım bağımlılıklarının güncellemeleri, hizmet sağlayıcılarla SLA'lar ve çok daha fazlası. Ne yazık ki, akut ağrı geçtiğinde çoğu zaman olduğu gibi, en kötüsü bittiğinde ona olan ilgi hızla azalır.
Tedarik zincirini verimli bir şekilde yönetin
Tedarik zincirinin bütünlüğünün, teknik bir "yara bandı" ile her zaman hızlı bir şekilde ele alınması gereken bir şey olmadığı herkes tarafından anlaşılmalıdır. Daha ziyade, kendi tedarik zincirinizin bütünlüğünü verimli bir şekilde yönetmenize yardımcı olacak uygun süreçleri (ve ayrıca teknik prosedürleri) oluşturmakla ilgilidir. Bu genellikle daha küçük bir saldırı yüzeyi ve en azından bir güvenlik olayı durumunda manuel incelemeyi azaltan daha iyi bir veritabanı ile sonuçlanır.
Ne yazık ki, birinin yazılım tedarik zincirinin bütünlüğünü korumak için süreçler oluşturmak genellikle sıkıcıdır. Özellikle sadece teknik koruma yönleriyle ilgili olmadığı, aynı zamanda insani ve idari bir bileşen olduğu için. Ayrıca, teknik BT güvenliği ile karşılaştırıldığında, bilgi ve uzman personel azdır.
ABD Ticaret Bakanlığı'ndan İpuçları
yeni versiyonu NIST Özel Yayını SP800-161r1 (“Sistemler ve Kuruluşlar için Siber Güvenlik Tedarik Zinciri Risk Yönetimi Uygulamaları”). Bu, güvenli yazılım tedarik zincirlerinin arka planına, katkıda bulunanlara ve uygulanmasına kapsamlı bir giriş içerir. İçinde belgelenen prosedürler ve örnek senaryolar, uygulamaya ve aynı zamanda güvenli yazılım tedarik zincirlerinin avantajlarına ilişkin mükemmel bilgiler sağlar.
Bu, NIST yayınını, yazılım tedarik zincirlerinin bütünlüğünü geliştirmek isteyen herkes için çok değerli bir kaynak haline getirir. Ve bu herkes için önemli olmalı! Deneyimler, saldırganların işe yarayan saldırı modellerine odaklandığını göstermektedir. Ve bu kanıt kesinlikle tedarik zinciri saldırıları için var. Bu nedenle, tedarik zincirinin korunması ve dokümantasyonu ile artık ilgilenilmelidir - çünkü bir dahaki sefere bunun için çok geç. Yani insan savunmayla o kadar meşgul ki süreçler zaten bir rol oynamıyor. Ve böylece ikilem yeniden başlar.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.