TEDARİK ZİNCİRİ SALDIRILARI  - ASELSAN

TEDARİK ZİNCİRİ SALDIRILARI

24 Haziran 2022

TEDARİK ZİNCİRİ SALDIRILARI

Tedarik zinciri; sürece dahil olan insanların, organizasyonların ve distribütörlerin ekosistemini ifade eder. Tedarik zinciri saldırıları, felaket düzeyinde etkilere yol açma potansiyelleri nedeniyle birincil tehditler arasında üst sıralarda yer alır.

Tedarik zinciri saldırılarının yaşam döngüsü’ne bakıldığında (Şekil 1), saldırının, bünyesinde iki Gelişmiş Sürekli Tehdit (APT) saldırısını barındırdığı görülebilir. İlk saldırı, bir veya daha fazla tedarikçiyi hedeflerken (kötü amaçlı yazılım arka kapıdan girdikten sonra); ikinci saldırı, müşterilerin varlıklarını hedef alır. Müşteriler halihazırda tedarikçilere  güvendiği için bu tür siber saldırıların tespit edilmesi daha zordur.

Şekil 1: Tedarik Zinciri Saldırılarının Yaşam Döngüsü



Avrupa Birliği Siber Güvenlik Ajansı'nın tedarik zinciri saldırı haritalama çalışması, saldırıların %66'sının tedarikçi koduna odaklandığını gösterir. Tek bir tedarikçiye yapılan bir saldırının tetiklediği zincirleme reaksiyon bütün bir sağlayıcı ağını tehlikeye atabildiğinden, tedarik zinciri saldırıları siber güvenlik uzmanları için uzun yıllar bir endişe kaynağı olmuştur. Kötücül yazılım, saldırganların saldırılarının % 62'sinde başvurduğu saldırı tekniğidir.

Şekil 2: ENİSA Tedarik Zinciri Saldırıları tehdit yüzeyi



Son 24 saldırının analiz edildiği ENISA’nın yeni raporuna göre, saldırganların dikkatlerini tedarikçilere kaydırdığı ve güçlü güvenlik korumasının artık kuruluşlar için yeterli olmadığı görülüyor.

Tedarik Zinciri Saldırı Örnekleri

SolarWinds - Tedarik Zinciri Saldırısı:

SolarWinds, BT sistem izleme ve yönetim yazılımları sağlayan bir şirket. Saldırganlar, şirketin, BT altyapı izleme ve yönetim yazılımı olan Orion platformuna sızmış ve kullanılan bir dll yazılımına backdoor eklemiş. Backdoor yazılımı, yazılımı kullanan firmalara (Fireeye, Microsoft vb), yazılım güncelleme aracılığıyla dağılmış.

Şekil 3: Örnek Tedarik Zinciri Saldırısı


Kaseya - Tedarik Zinciri Saldırısı:

Kaseya, dış-kaynak (outsource) bilgi teknoloji hizmeti sunan işletmelere yazılım araçları temin eden bir şirket. Şirketin yazılımlarından birisine yetkisiz erişim sağlayan saldırganlar, müşterilerin bilgisayarlarına fidye yazılımı yüklemek için bu erişimden yararlanmış. Saldırı apt gruplarına atfedilmiş.

Şekil 4: Örnek Tedarik Zinciri


Codecov - Tedarik Zinciri Saldırısı:

Kod kapsamı ve test araçları için yazılım sağlayan bir şirket olan  Codecov’un Bash Uploader komut dosyası’nın Ocak 2021’de saldırganlarca değiştirildiği belirlendi. Durumun ancak Nisan 2021’de farkına varıldı.

Şekil 5: Örnek Tedarik Zinciri Saldırısı


NetBeans-GitHub - Tedarik Zinciri Saldırısı:

NetBeans, başta java olmak üzere php, C++ ve diğer pek çok programlama dilini kullanarak yazılımlar geliştirmeye imkan sunan, tümleşik geliştirme (IDE) yazılımı. Araştırmacılar, Mayıs 2020'de, GitHub'daki NetBeans ile geliştirilen bazı Java projelerinin, -sahiplerinin bilgisi olmaksızın- kötü amaçlı yazılım içerdiğini tespit etti. GitHub depolarından zararlı yazılım temizlenmesi bile soruna tam olarak çözüm sağlamıyor. Kodları daha önce bilgisayarına çekmiş olan kullanıcıların sistemlerindeki zararlı yazılım, ilgili depolara kendini tekrar kopyalıyor. Bu da tehditin etkisini artırıyor.

Şekil 6: Örnek Tedarik Zinciri Saldırısı


Siber Suçların Dünyaya Maliyeti

Siber suçların, şirketlere 2015 yılındaki 3 trilyon dolar olan maliyetinin, 2025 yılında 10.5 trilyon dolara ulaşacağı tahmin ediliyor.

Şekil 7: 2015’den 2025'e kadar Siber Suçların Dünya’ya Maliyeti

Cybersecurity Ventures, siber suçların yıllık yüzde 15'lik büyüme oranıyla, tarihteki en büyük ekonomik varlık transferini temsil ettiğini bildiriyor. Bu, sistemlerin kapalı kalma süresi, parasal kayıp ve itibar hasarı gibi olayların artan etkisi ile kanıtlanmış. Tedarik zinciri saldırılarının geçen yıla göre artış göstermesi bekleniyor ki bu durum kanun koyucuların ve siber güvenlik topluluğunun acil olarak daha sıkı koruyucu önlemler almasını gerektiriyor.

Tedarik Zinciri Saldırılarının 2020-2021 Zaman Çizelgesi ve Saldırı Atak Yüzeyi Isı Haritası

Yapılan analizlere bakıldığında, teyit edilen 24 tedarik zinciri saldırısından 8'inin (%33) 2020'de ve 16'sının (%66) Ocak 2021'den Temmuz 2021'in başlarına kadar olduğu görülür ki bu durum tedarik zinciri saldırılarının 2022'de 4 kat daha fazla olabileceğini gösterir.

Şekil 8’de, saldırıların zaman çizelgesi ile birlikte APT grupları, saldırı etkilerinin küresel mi yoksa bölgesel mi oldukları gösteriliyor.  Müşteri tabanı küreselse veya etkilenmesi muhtemel son kullanıcı sayısı milyonları buluyorsa, saldırıların küresel bir etkiye sahip olduğu; belirli bir bölge veya ülkedeki kullanıcılar etkileniyorsa, saldırının bölgesel bir etkiye sahip olduğu kabul edilir.

Şekil 8’de aylara göre saldırıların kaynak grubu ve etkileri sınıflandırılıyor. (Aylar, saldırının gerçekleştiği zamanı değil, olayın bildirildiği zamanı gösteriyor). APT Gruplarına atfedilen olaylar siyah; küresel etkiye sahip olaylar mavi ve bölgesel etkiye sahip olaylar yeşil noktalarla işaretli. Apt gruplarının; siber saldırı simülasyonları kapsamında komuta ve kontrol için kullanılan java tabanlı bir kırmızı takım aracı olan   Cobalt Strike aracını yaygın olarak kullandıkları görülüyor.


Şekil 8: Saldırı Zaman Çizelgesi

Kurumsal saldırı yüzeyinin doğasını ve yapısını daha iyi anlamak için Şekil 9'daki saldırı yüzeyinin soyut resmine hızlı bir göz atmak yeterli olacak. Grafiğin X ekseni işletmenin siber güvenlik açısından ağdaki cihaz ve uygulamaları; Y ekseni ise saldırı vektörleri veya ihlal yöntemleri olarak da bilinen zafiyet metotlarını gösteriyor.

Şekil 9: Saldırı Atak Yüzeyi Risk Hesaplaması ve Isı Haritası

Saldırı atak yüzey analizleri ve siber istihbarat çalışmaları ile tedarik zinciri saldırılarının etkilerinin azaltılması için devamlı olarak takip edilmesi gerekir. Siber saldırılara karşı iyi korunan kuruluşlara yönelik yapılan saldırıların maliyeti arttıkça, saldırganlar kuruluşlara doğrudan saldırmak yerine, tedarik kaynaklarına saldırmayı tercih ediyor. Artan karşılıklı bağımlılıklar ve karmaşıklıklar nedeniyle, saldırıların tedarikçiler üzerindeki etkisinin kapsamı çok geniş olabiliyor. Kapsamın geniş olması, yalnızca etkilenen tarafın nicelik olarak büyük olması nedeniyle değil, olası bir kritik bilgi sızıntısı sonucu ortaya çıkacak ulusal güvenlik veya jeopolitik nitelikteki sonuçlar için de endişeye sebebiyet veriyor.

Müşteriler için öneriler:

- Tedarikçilerin ve hizmet sağlayıcıların belirlenmesi ve belgelenmesi,

- Tedarikçi ve müşteri bağımlılıkları, kritik yazılım bağımlılıkları, tek hata noktaları gibi farklı tedarikçi ve hizmet türleri için risk kriterlerinin tanımlanması,

- Tedarik zinciri risk ve tehditlerinin izlenmesi,

- Tedarikçilerin, ürün veya hizmetin tüm yaşam döngüsü boyunca, EOL/EOS süreçlerini de kapsayacak şekilde yönetilmesi, Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilen varlıkların, bilgilerin sınıflandırılması ve erişim vb. işlemler için prosedürlerin tanımlanması, Tedarikçilere, ürün ve hizmetlerinin güvenli geliştirme metodolojilerine (güvenlik açıklığı ve yama yönetimi en iyi uygulamaları vb.) göre geliştirme yapmalarını sağlamak üzere öneriler sunulması.

Tedarikçiler için öneriler:

- Ürün, bileşen ve hizmetlerin tasarım, geliştirme, üretim ve sunum altyapı ortamlarının siber güvenlik uygulamalarına uygunluğunun takip edilmesinin sağlanması,

- Yaygın olarak kabul edilen ürün geliştirme süreçleriyle tutarlı bir ürün geliştirme, bakım ve destek sürecinin uygulanması,

- Kullanılan üçüncü taraf bileşenlerinin iç ve dış kaynaklar tarafından bildirilen güvenlik açıklarının izlenmesi,

- Varlıkların, yama ile ilgili bilgileri içeren envanterinin tutulması.


Kaynakça:

- https://cacm.acm.org

- https//www.balbix.com/blog/resilience/

- https://www.globenewswire.com/news-release/2020/11/18/2129432/0/en/Cybercrime-To-Cost-The-World-10-5-Trillion-Annually-By-2025.html

- https://www.accenture.com/us-en/insights/security/cost-cybercrime-study

- https://www.teiss.co.uk/russian-hackers-targeting-ukrainian-government-agencies/

- https://www.enisa.europa.eu/news/enisa-news/understanding-the-increase-in-supply-chain-security-attacks

- https://www.rnbo.gov.ua/en/Diialnist/4823.html

- https://www.embroker.com/blog/cyber-attack-statistics/

- https://www.crowdstrike.com/cybersecurity-101/cyberattacks/supply-chain-attacks/


Dipnot: ENISA: European Union Agency for Cybersecurity (Avrupa Ağ ve Bilgi Güvenliği Ajansı)

En Yeniler
31 Mart 2023

YÜKSEK HIZLI X-BANT VERİCİ BİRİMİ

24 Mart 2023

ASELSAN VE UZAY

03 Mart 2023

HER ORTAMDA UYDU HABERLEŞMESİ

27 Ocak 2023

ASELSAN AVİYONİK SİSTEMLERİ: YENİ NESİL AVİYONİK MODÜLER MİMARİLER

21 Ocak 2023

UYDU ÇALIŞMALARI: UYDU HABERLEŞMESİNDE STABİLİZE ANTENLER

14 Ocak 2023

AVİYONİK YAZILIM GELİŞTİRME

#ASELSAN takip edin

Aselsan Takip Et
Aselsan Aselsan

ASELSAN uluslararası bir müşterisi ile savunma sistemlerini kapsayan ve toplam bedeli 74.557.000 $ tutarında bir yurt dışı satış sözleşmesi imzalamıştır.

Aselsan Takip Et
Aselsan Aselsan

Milli başarıları kamuoyuna en tarafsız şekilde yansıtanlar başta olmak üzere, en zorlu şartlarda dahi görevini yapan tüm gazetecilerin Çalışan Gazeteciler Gününü kutlarız.

Aselsan Takip Et
Aselsan Aselsan

ASELSAN, zırhlı araçlar üzerindeki inovatif yeni nesil çözümlerini IAV Konferansı’nda sunuyor.                          📍 London, UK 🗓️ 23.- 26.01.2023

Aselsan Takip Et
Aselsan Aselsan

6. Çevre Resim Yarışmamız “Net Sıfır Emisyon Hedefimizle Yeşil Geleceğime Yolculuk” teması ile tüm lise öğrencilerinin katılımına açık bir şekilde başladı.

Aselsan Takip Et
Aselsan Aselsan

En zorlu ortam olan uzay için, en ileri teknolojiler ve "ince mühendislik" şart! Mühendisimiz uzay ve uydu sistemlerindeki "İnce Mühendisliği" sizler için anlatıyor.