Tedarik zinciri; sürece dahil olan insanların, organizasyonların ve distribütörlerin ekosistemini ifade eder. Tedarik zinciri saldırıları, felaket düzeyinde etkilere yol açma potansiyelleri nedeniyle birincil tehditler arasında üst sıralarda yer alır.
Tedarik zinciri saldırılarının yaşam döngüsü’ne bakıldığında (Şekil 1), saldırının, bünyesinde iki Gelişmiş Sürekli Tehdit (APT) saldırısını barındırdığı görülebilir. İlk saldırı, bir veya daha fazla tedarikçiyi hedeflerken (kötü amaçlı yazılım arka kapıdan girdikten sonra); ikinci saldırı, müşterilerin varlıklarını hedef alır. Müşteriler halihazırda tedarikçilere güvendiği için bu tür siber saldırıların tespit edilmesi daha zordur.
Şekil 1: Tedarik Zinciri Saldırılarının Yaşam Döngüsü
Avrupa Birliği Siber Güvenlik Ajansı'nın tedarik zinciri saldırı haritalama çalışması, saldırıların %66'sının tedarikçi koduna odaklandığını gösterir. Tek bir tedarikçiye yapılan bir saldırının tetiklediği zincirleme reaksiyon bütün bir sağlayıcı ağını tehlikeye atabildiğinden, tedarik zinciri saldırıları siber güvenlik uzmanları için uzun yıllar bir endişe kaynağı olmuştur. Kötücül yazılım, saldırganların saldırılarının % 62'sinde başvurduğu saldırı tekniğidir.
Şekil 2: ENİSA Tedarik Zinciri Saldırıları tehdit yüzeyi
Son 24 saldırının analiz edildiği ENISA’nın yeni raporuna göre, saldırganların dikkatlerini tedarikçilere kaydırdığı ve güçlü güvenlik korumasının artık kuruluşlar için yeterli olmadığı görülüyor.
Tedarik Zinciri Saldırı Örnekleri
SolarWinds - Tedarik Zinciri Saldırısı:
SolarWinds, BT sistem izleme ve yönetim yazılımları sağlayan bir şirket. Saldırganlar, şirketin, BT altyapı izleme ve yönetim yazılımı olan Orion platformuna sızmış ve kullanılan bir dll yazılımına backdoor eklemiş. Backdoor yazılımı, yazılımı kullanan firmalara (Fireeye, Microsoft vb), yazılım güncelleme aracılığıyla dağılmış.
Şekil 3: Örnek Tedarik Zinciri Saldırısı
Kaseya - Tedarik Zinciri Saldırısı:
Kaseya, dış-kaynak (outsource) bilgi teknoloji hizmeti sunan işletmelere yazılım araçları temin eden bir şirket. Şirketin yazılımlarından birisine yetkisiz erişim sağlayan saldırganlar, müşterilerin bilgisayarlarına fidye yazılımı yüklemek için bu erişimden yararlanmış. Saldırı apt gruplarına atfedilmiş.
Şekil 4: Örnek Tedarik Zinciri
Codecov - Tedarik Zinciri Saldırısı:
Kod kapsamı ve test araçları için yazılım sağlayan bir şirket olan Codecov’un Bash Uploader komut dosyası’nın Ocak 2021’de saldırganlarca değiştirildiği belirlendi. Durumun ancak Nisan 2021’de farkına varıldı.
Şekil 5: Örnek Tedarik Zinciri Saldırısı
NetBeans-GitHub - Tedarik Zinciri Saldırısı:
NetBeans, başta java olmak üzere php, C++ ve diğer pek çok programlama dilini kullanarak yazılımlar geliştirmeye imkan sunan, tümleşik geliştirme (IDE) yazılımı. Araştırmacılar, Mayıs 2020'de, GitHub'daki NetBeans ile geliştirilen bazı Java projelerinin, -sahiplerinin bilgisi olmaksızın- kötü amaçlı yazılım içerdiğini tespit etti. GitHub depolarından zararlı yazılım temizlenmesi bile soruna tam olarak çözüm sağlamıyor. Kodları daha önce bilgisayarına çekmiş olan kullanıcıların sistemlerindeki zararlı yazılım, ilgili depolara kendini tekrar kopyalıyor. Bu da tehditin etkisini artırıyor.
Şekil 6: Örnek Tedarik Zinciri Saldırısı
Siber Suçların Dünyaya Maliyeti
Siber suçların, şirketlere 2015 yılındaki 3 trilyon dolar olan maliyetinin, 2025 yılında 10.5 trilyon dolara ulaşacağı tahmin ediliyor.
Şekil 7: 2015’den 2025'e kadar Siber Suçların Dünya’ya Maliyeti
Cybersecurity Ventures, siber suçların yıllık yüzde 15'lik büyüme oranıyla, tarihteki en büyük ekonomik varlık transferini temsil ettiğini bildiriyor. Bu, sistemlerin kapalı kalma süresi, parasal kayıp ve itibar hasarı gibi olayların artan etkisi ile kanıtlanmış. Tedarik zinciri saldırılarının geçen yıla göre artış göstermesi bekleniyor ki bu durum kanun koyucuların ve siber güvenlik topluluğunun acil olarak daha sıkı koruyucu önlemler almasını gerektiriyor.
Tedarik Zinciri Saldırılarının 2020-2021 Zaman Çizelgesi ve Saldırı Atak Yüzeyi Isı Haritası
Yapılan analizlere bakıldığında, teyit edilen 24 tedarik zinciri saldırısından 8'inin (%33) 2020'de ve 16'sının (%66) Ocak 2021'den Temmuz 2021'in başlarına kadar olduğu görülür ki bu durum tedarik zinciri saldırılarının 2022'de 4 kat daha fazla olabileceğini gösterir.
Şekil 8’de, saldırıların zaman çizelgesi ile birlikte APT grupları, saldırı etkilerinin küresel mi yoksa bölgesel mi oldukları gösteriliyor. Müşteri tabanı küreselse veya etkilenmesi muhtemel son kullanıcı sayısı milyonları buluyorsa, saldırıların küresel bir etkiye sahip olduğu; belirli bir bölge veya ülkedeki kullanıcılar etkileniyorsa, saldırının bölgesel bir etkiye sahip olduğu kabul edilir.
Şekil 8’de aylara göre saldırıların kaynak grubu ve etkileri sınıflandırılıyor. (Aylar, saldırının gerçekleştiği zamanı değil, olayın bildirildiği zamanı gösteriyor). APT Gruplarına atfedilen olaylar siyah; küresel etkiye sahip olaylar mavi ve bölgesel etkiye sahip olaylar yeşil noktalarla işaretli. Apt gruplarının; siber saldırı simülasyonları kapsamında komuta ve kontrol için kullanılan java tabanlı bir kırmızı takım aracı olan Cobalt Strike aracını yaygın olarak kullandıkları görülüyor.
Şekil 8: Saldırı Zaman Çizelgesi
Kurumsal saldırı yüzeyinin doğasını ve yapısını daha iyi anlamak için Şekil 9'daki saldırı yüzeyinin soyut resmine hızlı bir göz atmak yeterli olacak. Grafiğin X ekseni işletmenin siber güvenlik açısından ağdaki cihaz ve uygulamaları; Y ekseni ise saldırı vektörleri veya ihlal yöntemleri olarak da bilinen zafiyet metotlarını gösteriyor.
Şekil 9: Saldırı Atak Yüzeyi Risk Hesaplaması ve Isı Haritası
Saldırı atak yüzey analizleri ve siber istihbarat çalışmaları ile tedarik zinciri saldırılarının etkilerinin azaltılması için devamlı olarak takip edilmesi gerekir. Siber saldırılara karşı iyi korunan kuruluşlara yönelik yapılan saldırıların maliyeti arttıkça, saldırganlar kuruluşlara doğrudan saldırmak yerine, tedarik kaynaklarına saldırmayı tercih ediyor. Artan karşılıklı bağımlılıklar ve karmaşıklıklar nedeniyle, saldırıların tedarikçiler üzerindeki etkisinin kapsamı çok geniş olabiliyor. Kapsamın geniş olması, yalnızca etkilenen tarafın nicelik olarak büyük olması nedeniyle değil, olası bir kritik bilgi sızıntısı sonucu ortaya çıkacak ulusal güvenlik veya jeopolitik nitelikteki sonuçlar için de endişeye sebebiyet veriyor.
Müşteriler için öneriler:
- Tedarikçilerin ve hizmet sağlayıcıların belirlenmesi ve belgelenmesi,
- Tedarikçi ve müşteri bağımlılıkları, kritik yazılım bağımlılıkları, tek hata noktaları gibi farklı tedarikçi ve hizmet türleri için risk kriterlerinin tanımlanması,
- Tedarik zinciri risk ve tehditlerinin izlenmesi,
- Tedarikçilerin, ürün veya hizmetin tüm yaşam döngüsü boyunca, EOL/EOS süreçlerini de kapsayacak şekilde yönetilmesi, Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilen varlıkların, bilgilerin sınıflandırılması ve erişim vb. işlemler için prosedürlerin tanımlanması, Tedarikçilere, ürün ve hizmetlerinin güvenli geliştirme metodolojilerine (güvenlik açıklığı ve yama yönetimi en iyi uygulamaları vb.) göre geliştirme yapmalarını sağlamak üzere öneriler sunulması.
Tedarikçiler için öneriler:
- Ürün, bileşen ve hizmetlerin tasarım, geliştirme, üretim ve sunum altyapı ortamlarının siber güvenlik uygulamalarına uygunluğunun takip edilmesinin sağlanması,
- Yaygın olarak kabul edilen ürün geliştirme süreçleriyle tutarlı bir ürün geliştirme, bakım ve destek sürecinin uygulanması,
- Kullanılan üçüncü taraf bileşenlerinin iç ve dış kaynaklar tarafından bildirilen güvenlik açıklarının izlenmesi,
- Varlıkların, yama ile ilgili bilgileri içeren envanterinin tutulması.
Kaynakça:
- https://cacm.acm.org
- https//www.balbix.com/blog/resilience/
- https://www.globenewswire.com/news-release/2020/11/18/2129432/0/en/Cybercrime-To-Cost-The-World-10-5-Trillion-Annually-By-2025.html
- https://www.accenture.com/us-en/insights/security/cost-cybercrime-study
- https://www.teiss.co.uk/russian-hackers-targeting-ukrainian-government-agencies/
- https://www.enisa.europa.eu/news/enisa-news/understanding-the-increase-in-supply-chain-security-attacks
- https://www.rnbo.gov.ua/en/Diialnist/4823.html
- https://www.embroker.com/blog/cyber-attack-statistics/
- https://www.crowdstrike.com/cybersecurity-101/cyberattacks/supply-chain-attacks/
Dipnot: ENISA: European Union Agency for Cybersecurity (Avrupa Ağ ve Bilgi Güvenliği Ajansı)