Tedarik zinciri; sürece dahil olan insanların, organizasyonların ve distribütörlerin ekosistemini ifade eder. Tedarik zinciri saldırıları, felaket düzeyinde etkilere yol açma potansiyelleri nedeniyle birincil tehditler arasında üst sıralarda yer alır.
Tedarik zinciri saldırılarının yaşam döngüsü’ne bakıldığında, saldırının, bünyesinde iki Gelişmiş Sürekli Tehdit (APT) saldırısını barındırdığı görülebilir. İlk saldırı, bir veya daha fazla tedarikçiyi hedeflerken (kötü amaçlı yazılım arka kapıdan girdikten sonra); ikinci saldırı, müşterilerin varlıklarını hedef alır. Müşteriler halihazırda tedarikçilere güvendiği için bu tür siber saldırıların tespit edilmesi daha zordur.
Avrupa Birliği Siber Güvenlik Ajansı'nın tedarik zinciri saldırı haritalama çalışması, saldırıların %66'sının tedarikçi koduna odaklandığını gösterir. Tek bir tedarikçiye yapılan bir saldırının tetiklediği zincirleme reaksiyon bütün bir sağlayıcı ağını tehlikeye atabildiğinden, tedarik zinciri saldırıları siber güvenlik uzmanları için uzun yıllar bir endişe kaynağı olmuştur. Kötücül yazılım, saldırganların saldırılarının % 62'sinde başvurduğu saldırı tekniğidir.
Son 24 saldırının analiz edildiği ENISA’nın yeni raporuna göre, saldırganların dikkatlerini tedarikçilere kaydırdığı ve güçlü güvenlik korumasının artık kuruluşlar için yeterli olmadığı görülüyor.
Tedarik Zinciri Saldırı Örnekleri
SolarWinds - Tedarik Zinciri Saldırısı:
SolarWinds, BT sistem izleme ve yönetim yazılımları sağlayan bir şirket. Saldırganlar, şirketin, BT altyapı izleme ve yönetim yazılımı olan Orion platformuna sızmış ve kullanılan bir dll yazılımına backdoor eklemiş. Backdoor yazılımı, yazılımı kullanan firmalara (Fireeye, Microsoft vb), yazılım güncelleme aracılığıyla dağılmış.
Kaseya - Tedarik Zinciri Saldırısı:
Kaseya, dış-kaynak (outsource) bilgi teknoloji hizmeti sunan işletmelere yazılım araçları temin eden bir şirket. Şirketin yazılımlarından birisine yetkisiz erişim sağlayan saldırganlar, müşterilerin bilgisayarlarına fidye yazılımı yüklemek için bu erişimden yararlanmış. Saldırı apt gruplarına atfedilmiş.
Codecov - Tedarik Zinciri Saldırısı:
Kod kapsamı ve test araçları için yazılım sağlayan bir şirket olan Codecov’un Bash Uploader komut dosyası’nın Ocak 2021’de saldırganlarca değiştirildiği belirlendi. Durumun ancak Nisan 2021’de farkına varıldı.
NetBeans-GitHub - Tedarik Zinciri Saldırısı:
NetBeans, başta java olmak üzere php, C++ ve diğer pek çok programlama dilini kullanarak yazılımlar geliştirmeye imkan sunan, tümleşik geliştirme (IDE) yazılımı. Araştırmacılar, Mayıs 2020'de, GitHub'daki NetBeans ile geliştirilen bazı Java projelerinin, -sahiplerinin bilgisi olmaksızın- kötü amaçlı yazılım içerdiğini tespit etti. GitHub depolarından zararlı yazılım temizlenmesi bile soruna tam olarak çözüm sağlamıyor. Kodları daha önce bilgisayarına çekmiş olan kullanıcıların sistemlerindeki zararlı yazılım, ilgili depolara kendini tekrar kopyalıyor. Bu da tehditin etkisini artırıyor.
Siber Suçların Dünyaya Maliyeti
Siber suçların, şirketlere 2015 yılındaki 3 trilyon dolar olan maliyetinin, 2025 yılında 10.5 trilyon dolara ulaşacağı tahmin ediliyor.
Cybersecurity Ventures, siber suçların yıllık yüzde 15'lik büyüme oranıyla, tarihteki en büyük ekonomik varlık transferini temsil ettiğini bildiriyor. Bu, sistemlerin kapalı kalma süresi, parasal kayıp ve itibar hasarı gibi olayların artan etkisi ile kanıtlanmış. Tedarik zinciri saldırılarının geçen yıla göre artış göstermesi bekleniyor ki bu durum kanun koyucuların ve siber güvenlik topluluğunun acil olarak daha sıkı koruyucu önlemler almasını gerektiriyor.
Tedarik Zinciri Saldırılarının 2020-2021 Zaman Çizelgesi ve Saldırı Atak Yüzeyi Isı Haritası
Yapılan analizlere bakıldığında, teyit edilen 24 tedarik zinciri saldırısından 8'inin (%33) 2020'de ve 16'sının (%66) Ocak 2021'den Temmuz 2021'in başlarına kadar olduğu görülür ki bu durum tedarik zinciri saldırılarının 2022'de 4 kat daha fazla olabileceğini gösterir.
Müşteri tabanı küreselse veya etkilenmesi muhtemel son kullanıcı sayısı milyonları buluyorsa, saldırıların küresel bir etkiye sahip olduğu; belirli bir bölge veya ülkedeki kullanıcılar etkileniyorsa, saldırının bölgesel bir etkiye sahip olduğu kabul edilir.
Kurumsal saldırı yüzeyinin doğasını ve yapısını daha iyi anlamak içinsaldırı yüzeyinin soyut resmine hızlı bir göz atmak yeterli olacak. Grafiğin X ekseni işletmenin siber güvenlik açısından ağdaki cihaz ve uygulamaları; Y ekseni ise saldırı vektörleri veya ihlal yöntemleri olarak da bilinen zafiyet metotlarını gösteriyor.
Saldırı atak yüzey analizleri ve siber istihbarat çalışmaları ile tedarik zinciri saldırılarının etkilerinin azaltılması için devamlı olarak takip edilmesi gerekir. Siber saldırılara karşı iyi korunan kuruluşlara yönelik yapılan saldırıların maliyeti arttıkça, saldırganlar kuruluşlara doğrudan saldırmak yerine, tedarik kaynaklarına saldırmayı tercih ediyor. Artan karşılıklı bağımlılıklar ve karmaşıklıklar nedeniyle, saldırıların tedarikçiler üzerindeki etkisinin kapsamı çok geniş olabiliyor. Kapsamın geniş olması, yalnızca etkilenen tarafın nicelik olarak büyük olması nedeniyle değil, olası bir kritik bilgi sızıntısı sonucu ortaya çıkacak ulusal güvenlik veya jeopolitik nitelikteki sonuçlar için de endişeye sebebiyet veriyor.
Müşteriler için öneriler:
- Tedarikçilerin ve hizmet sağlayıcıların belirlenmesi ve belgelenmesi,
- Tedarikçi ve müşteri bağımlılıkları, kritik yazılım bağımlılıkları, tek hata noktaları gibi farklı tedarikçi ve hizmet türleri için risk kriterlerinin tanımlanması,
- Tedarik zinciri risk ve tehditlerinin izlenmesi,
- Tedarikçilerin, ürün veya hizmetin tüm yaşam döngüsü boyunca, EOL/EOS süreçlerini de kapsayacak şekilde yönetilmesi, Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilen varlıkların, bilgilerin sınıflandırılması ve erişim vb. işlemler için prosedürlerin tanımlanması, Tedarikçilere, ürün ve hizmetlerinin güvenli geliştirme metodolojilerine (güvenlik açıklığı ve yama yönetimi en iyi uygulamaları vb.) göre geliştirme yapmalarını sağlamak üzere öneriler sunulması.
Tedarikçiler için öneriler:
- Ürün, bileşen ve hizmetlerin tasarım, geliştirme, üretim ve sunum altyapı ortamlarının siber güvenlik uygulamalarına uygunluğunun takip edilmesinin sağlanması,
- Yaygın olarak kabul edilen ürün geliştirme süreçleriyle tutarlı bir ürün geliştirme, bakım ve destek sürecinin uygulanması,
- Kullanılan üçüncü taraf bileşenlerinin iç ve dış kaynaklar tarafından bildirilen güvenlik açıklarının izlenmesi,
- Varlıkların, yama ile ilgili bilgileri içeren envanterinin tutulması.
Kaynakça:
- https://cacm.acm.org
- https//www.balbix.com/blog/resilience/
- https://www.globenewswire.com/news-release/2020/11/18/2129432/0/en/Cybercrime-To-Cost-The-World-10-5-Trillion-Annually-By-2025.html
- https://www.accenture.com/us-en/insights/security/cost-cybercrime-study
- https://www.teiss.co.uk/russian-hackers-targeting-ukrainian-government-agencies/
- https://www.enisa.europa.eu/news/enisa-news/understanding-the-increase-in-supply-chain-security-attacks
- https://www.rnbo.gov.ua/en/Diialnist/4823.html
- https://www.embroker.com/blog/cyber-attack-statistics/
- https://www.crowdstrike.com/cybersecurity-101/cyberattacks/supply-chain-attacks/
Dipnot: ENISA: European Union Agency for Cybersecurity (Avrupa Ağ ve Bilgi Güvenliği Ajansı)
