Tedarikçilerin ve endüstri uzmanlarının siber saldırılarla ilgili tüm korkutucu konuşmalarına rağmen, nispeten az sayıda saldırı gerçekten yıkıcıdır. Ancak Jaguar Land Rover (JLR) saldırısı oldu.
JLR ihlali birkaç yüz bin dolara mal olan rahatsız edici bir saldırı değildi. Reuters'e göre üretimin haftalarca tamamen durmasının İngiliz ekonomisine 2 milyar dolardan fazlaya mal olması muhtemel ve 5000'den fazla kuruluşu etkileyecek. Gerçek insanlar işlerini kaybetti.
Birleşik Krallık hükümeti, JLR'yi çalışır durumda tutmak için yaklaşık 2 milyar dolarlık bir kredi garantisiyle devreye girmek zorunda kaldı.
JLR saldırısı, üreticilerin teorik olarak gerçekleşebileceğini bildiği kabus senaryosuydu. Bu durum gerçekten gerçekleştiğinde, birçok üretim kuruluşunun aynı kaderi yaşamayı nasıl önleyebileceklerini bulma çabasına yol açtı.
Bir konu hemen netleşti: Tedarik zinciri, üreticiler için en zayıf güvenlik halkalarından biri. Sonuçta JLR saldırısı, üçüncü taraf yüklenicilerin kullandığı kimlik bilgilerinin tehlikeye atılmasıyla şirketin tedarik zincirinden kaynaklandı.
Saldırganlar tedarik zincirlerine nasıl giriyor? Güçlü bir taktik, üreticilerin ve onların tedarik zinciri ortaklarının kullandığı yazılım uygulamalarına yönelik geliştirme araçlarını ve süreçlerini hedeflemeyi içerir.
JLR'ı çökerten saldırı türü olmayabilir ya da olabilir; Saldırının kaynağına ilişkin tüm ayrıntılar kamuya açıklanmadı. Ancak buradan çıkarılacak önemli bir ders şu: Üreticiler ve onların tedarik zinciri ortakları, yazılım sağlayıcılarının güvenli geliştirme uygulamalarını kullanmasını sağlama konusunda dikkatli olmazlarsa, kendilerini JLR'nin maruz kaldığı düzeydeki saldırılara açık hale getireceklerdir.
Yazılım geliştirme yoluyla tedarik zincirlerine yapılan saldırılar yeni değil; ama hâlâ güçlü ve tehlikeliler. Şimdiye kadar gerçekleştirilen en ünlü siber saldırılardan bazıları bu taktiği içeriyordu; bunlar arasında 2020'de SolarWinds'e yapılan kötü şöhretli saldırı, 2021'de Kaseya VSA'ya yapılan saldırı ve 2023'te VoIP sağlayıcısı 3CX'e yapılan saldırı yer alıyor.
Saldırganlar son zamanlarda yeni bir yaklaşım geliştirdiler: Kötü amaçlı düğüm paketi yöneticilerini (NPM'ler) yazılım geliştirme sürecine dahil ediyorlar. JavaScript geliştiricileri, yeniden kullanılabilir kodu paylaşmak ve yüklemek için NPM'leri kullanır.
NPM'ler kötü niyetli olduğunda, bir saldırı hızla yayılabilir, aylarca sürebilir ve her türlü uygulamaya girebilir.
NPM hedeflemesinin en yeni örneklerinden biri, siber güvenlik sağlayıcıları tarafından kullanılanlar da dahil olmak üzere 500'den fazla NPM paketini ele geçirdiği bildirilen Shai-Hulud kripto hırsızıdır.
NPM saldırıları, saldırganların tedarik zincirlerine sızmak için buldukları yöntemlerden yalnızca biri. Örneğin saldırganlar, yazılım satıcılarının güncellemelerini de tehlikeye atabilir ve yazılımdaki güvenlik açıklarından yararlanabilir.
Sonuç olarak, tedarik zinciri uygulamaları savunmasızdır ve üreticilerin, iş ortaklarının kullandığı uygulamaların güvenli olduğundan emin olmaları gerekir.
Acronis Cyber Protect Cloud, veri korumayı, siber güvenliği ve uç nokta yönetimini entegre eder.
MSP işinizi verimli bir şekilde yürütürken siber koruma hizmetlerini tek bir platformdan kolayca ölçeklendirin.
Tedarik zincirleri risk altında olduğundan üreticilerin mevcut ve potansiyel iş ortaklarını güvenli yazılım geliştirme yaşam döngüsü (SSDLC) uygulamalarıyla değerlendirmesi gerekiyor.
Çoğu operasyonel teknoloji (OT) ortamında, satın alma değerlendirmeleri ağırlıklı olarak tedarikçinin mali durumuna, hizmet düzeyi anlaşmalarına ve altyapı güvenliğine odaklanır. Ancak genellikle yazılım geliştirme sürecindeki güvenlik açıklarını, yani tedarik zinciri uygulamalarını sabote edebilecek sorunları gözden kaçırıyorlar.
Bu nedenle sıkı SSDLC uygulamalarının sağlanması hem üreticiler hem de tedarik zinciri ortakları için çok önemlidir. Üreticiler iş ortakları arasında SSDLC uygulamalarını sağlamadıklarında operasyonel kesinti, mali kayıp, uyumluluk ihlalleri ve itibar kaybıyla karşı karşıya kalma riskiyle karşı karşıya kalırlar.
SSDLC'yi bu kadar önemli ve etkili kılan şey nedir? Yeni başlayanlar için, resmi, belgelenmiş bir SSDLC süreci gerektiren AB NIS 2 direktifi kapsamında zorunludur.
Bu aynı zamanda güvenliği geliştirme sonrası bir eklenti olarak ele almaktan, onu yazılım oluşturma süreci boyunca yerleştirmeye doğru temel bir değişimi temsil ediyor.
Gereksinim analizi sırasında yakalanan bir güvenlik açığının düzeltilmesi saatler sürebilir. Yayınlandıktan sonra keşfedilen aynı kusur, haftalarca acil müdahale gerektirebilir.
Uygulamada olgun SSDLC uygulaması şunları içerir:
Üreticiler için bu, üretim hatlarını kontrol eden, kritik sistemleri yöneten ve endüstriyel operasyonları birbirine bağlayan yazılımın, ilk kod satırından son dağıtıma kadar yerleşik güvenliğe sahip olduğu anlamına gelir.
Endüstri sertifikaları, geliştirme sürecinde SSDLC kullanımının güvenilir bir ölçüsüdür. Çeşitli güvenlik sertifikaları mevcut olsa da, IEC 62443-4-1, tedarik zincirlerinin üretimi için özel bir öneme sahiptir.
IEC 62443 standart ailesi, özellikle üreticilerin faaliyet gösterdiği ortam olan endüstriyel otomasyon ve kontrol sistemleri güvenliğini ele alır.
Bu çerçevede IEC 62443-4-1, yalnızca güvenli ürün geliştirme yaşam döngüsü gereksinimlerine odaklanır ve OT yazılım tedarikçilerinin değerlendirilmesine yönelik en katı ve ilgili standartlardan birini sağlar.
Genel bilgi güvenliği çerçevelerinden farklı olarak IEC 62443-4-1 sertifikası, bir tedarikçinin çalışma süresinin kritik olduğu, yama pencerelerinin sınırlı olabileceği ve yazılım arızalarından fiziksel dünya sonuçlarının ortaya çıkabileceği endüstriyel ortamlar için özel olarak tasarlanmış uygulamalar uyguladığını gösterir.
IEC 62443-4-1 sertifikası, yazılım tedarikçilerinin yalnızca vaat etmekle kalmayıp her üründe sistematik olarak güvenlik mühendisliği yaptığına dair somut, bağımsız olarak doğrulanmış kanıtlar sağlar. Orijinal ekipman üreticileri (OEM'ler), sistem entegratörleri ve üretim ve kritik altyapıdaki son müşteriler için bu, kritik bir güven temeli sağlar.
Değerlendirmelerin yeniden düşünülmesi
İş ortaklarını SSDLC göz önünde bulundurarak değerlendirirken üreticiler şunları yapmalıdır:
Üreticilerin artık tedarikçi güvenliği değerlendirmesini yalnızca altyapı ve operasyonlara odaklanan bir uygulama olarak ele alması mümkün değil. Geliştirme yaşam döngüsü, güvenlik açıklarının ortaya çıktığı ve üreticilerin bunların engellendiğinden emin olması gereken yerdir.
Acronis Tehdit Araştırma Birimi (TRU), tehdit istihbaratı, yapay zeka ve risk yönetimi konusunda uzmanlaşmış siber güvenlik uzmanlarından oluşan bir ekiptir. TRU ekibi yeni ortaya çıkan tehditleri araştırır, güvenlik öngörüleri sağlar ve BT ekiplerini yönergeler, olaylara müdahale ve eğitim atölyeleriyle destekler.
En son TRU araştırmasına bakın
Acronis sponsorluğunda ve yazılmıştır.
Kaynak: Bleeping Computer