Tedarik zinciri saldırıları: güveniniz boşa çıktığında umudunuzu kaybetmeli misiniz?

Sonraki hikaye
Cameron Camp ve Tony Anscombe

İşletmeler, yazılıma olan güveni sarsan saldırıların artan tehdidiyle nasıl başa çıkabilir?
Siber güvenlik, sadece en zayıf halkası kadar iyidir ve bir tedarik zincirinde bu neredeyse her halka olabilir. En önemli sorular şunlar olabilir: “en zayıf halka nedir ve nerededir?“ ve "üzerinde kontrol sahibi olduğunuz ve gerçekten ele alabileceğiniz bir şey midir?"
Bir tedarik zinciri, hammadde tedarikçisini, üretim süreçlerini, dağıtımını ve son olarak tüketiciyi kapsayan hammadde ve nihai ürün arasındaki her şeyden oluşur. Mesela bir şişe maden suyu düşünün; tüketiciye giden yolda ortaya çıkan herhangi bir kötü niyetli kirlenme tüm tedarik zincirini tehlikeye atar.

Zehirlenmiş kuyu

Siber güvenlik de farklı değildir; yönlendirici gibi bir cihaza yerleştirilen kirlenmiş bir yonga seti potansiyel olarak son ürünü kirletir ve tüketici için bir sorun yaratır. Yazılımda, “kontamine bileşen senaryosu”yla da karşılaşabilirsiniz. Güvenlik üreticisi Fireeye, yakın zamanda saldırıya uğradıklarında kendilerini bu durumun içinde buldular. Şirket, bir siber saldırının kurbanı olduğunu keşfettiğinde, daha derin bir soruşturmayla saldırganın, şirketin yazılım sağlayıcılarından biri olan SolarWinds tarafından yapılan Orion adlı bir ağ yönetim ürününe kötü amaçlı bir güncelleme yaptığını keşfetti.
FireEye'nin SUNBURST olarak adlandırılan  ve ESET tarafından MSIL/SunBurst.A olarak tespit edilen arka kapı, Fireeye'ye sunulan Orion koduna yerleştirilmişti. Böylece tüketici için kirlenmiş bir son ürün yaratıldı. Bu durumda "tüketici", Orion güncelleme mekanizması aracılığıyla kusurlu güncellemeyi kuran ve böylece saldırının nihai kurbanları haline gelen 18.000 ticari ve devlet kuruluşu anlamına geliyordu. Bunlardan en az 100'ü, kötü aktörlerin ek yükleyicilerle şirketlerin ağlarında daha derine indiği takip hackleriyle hedeflendi.
Ve aslında, tedarik zinciri saldırılarının yayılan hasar potansiyeli burada yatıyor. Sadece bir üreticiyi ihlal eden kötü aktörler sonunda müşteri tabanının geniş alanlarına sınırsızca ve tespit edilmesi zor bir şekilde erişim elde edebilecekler.

Olacaklar açıkça görülüyor

Siber güvenlik için bir dönüm noktası olan SolarWinds olayı, CCleaner'ın 2017 ve 2018'deki tavizleri ve M.E.Doc adlı meşru bir vergi muhasebesi paketine bir güncelleme yoluyla yayılan ve fidye yazılımı olarak gizlenmiş NotPetya (diğer adıyla Diskcoder.C) siliciyi içeren saldırılar da dahil olmak üzere benzer türden daha önceki saldırıların yankılarını getirdi. Ve 2013'te Target, üçüncü taraf bir HVAC tedarikçisinden giriş kimlik bilgilerinin çalınmasına kadar uzanan bir ihlalin kurbanı oldu. Gerçekten de, saldırganların tedarik zincirlerini odak noktası yapmasını başlatan bu saldırıydı.
Yakın geçmişe hızlıca bakalım; ESET araştırmacıları, yalnızca son birkaç ayda, hacklenmiş güvenlik eklentileri kullanan Lazarus grubundan işletmeler için oldukça bölgeselleştirilmiş sohbet yazılımına saldıran Operation Stealthy Trident'e, bir sertifika yetkisini tehlikeye atmak için kullanılan Operation SignSight'a, saldırıya uğramış bir Android emülatörü Operation NightScout'a kadar bu tür saldırıların birkaç örneğini ortaya çıkardı.
Saldırılar metodoloji ve saldırı düzenini değiştirirken, hedef demografilerinde çok spesifiklerdi. Güney Kore'den Moğol ya da Vietnamlı hedef kitlelere, saldırılar özel olarak uyarlandı. Bu, geniş ama çok pahalı “spray and pray” yaklaşımlarından daha etkili olma eğiliminde olan bir tür hedefli pazarlama çabaları konusunda belirli bir anlam ifade eder. Hedefli saldırılar, herhangi bir kampanyayı yönlendiren motivasyonlara bağlıdır.

Tedarik zinciri sorunları hayatınızı mahvedebilir

Tedarik zincirleri, e-hayatımızı birbirine bağlayan dijital "koli bandı" dır. Şu anda güvendiğimiz milyarlarca cihazı bir araya getiren ve programlayan robotları içeriyorlar. Telefonunuzu evde unuttuğunuzu farkedince kilometrelerce yolu geri döndüğünüz oldu mu? Evet, onlara bağımlıyız. Tıbbi cihazlara da bağımlıyız. Saldırıya uğrarlarsa nasıl bileceksiniz? Muhtemelen bilemeyeceksiniz ve yalnız değilsiniz.
Otomasyon mantıklıdır: robotlar sizden veya benden daha iyidir. Peki robotlar dolandırıcı olduğunda ne olur? Tokyo sokaklarında dolaşmak, abartılı olsa da, popüler kültürün bariz bir tezahürüdür, ancak bina kontrol yazılımına sessiz arka kapılar yerleştirmek de mümkündür. Yakalanmak da daha az olasıdır.
Eskiden donanım ve yazılım arasında sert çizgiler vardı ama o çizgi bulanık. Mikroçiplerden ve çip çekirdeklerindeki sistemden (SoC), Xylinx FPGA koduna kadar, üreticiler ve entegratörler bir tür çekirdek mantığını "karıştırıp" bir karta lehimlenen bir yongaya yerleştirirler. Kullanıma hazır koddaki ağır işlerin çoğu halihazırda yapılmıştır ve açık kaynaklıdır veya en azından yaygın olarak mevcuttur. Mühendisler sadece indirip hepsini birbirine bağlayan tutkal kodu yazarak bitmiş bir ürün gönderebiliyor. Çok işe yarıyor. Tabii kod yolda bir yerde bozulmadıysa. Hâlâ erişim (gerçekten) ve diğer tamamen korunmasız protokoller için eski seri protokollerin varyantlarını kullanan ilkel araç zincirleri ile, dijital saçmalıklardan yararlanarak onları istismar etmek çok kolaydır.
Ve son zamanlarda, birisi onları artan sıklıkta ve gaddarca istismar ediyor.
Herhangi bir tedarik zincirindeki her bağlantının kurcalanmadığından emin olmak zordur. Ağ trafiğini gözetlemek için sıraya yerleştirilen sahte çiplerden bozuk SoC koduna kadar, bu şeylerin kendisini robotlardan daha az bilinen hale getirme olasılığı daha düşüktür. Gelecekte kullanılmak üzere internet üzerinden erişilebilen arka kapıların yerleştirilmesi, saldırganlar için listede en üst sırada yer alıyor ve bunu yapmak için büyük çaba sarf etmeye istekliler.
Bu, beraberindeki pazarın birikmesiyle küresel bir yarış haline geldi. Ciddi bir yazılım hatasını ortaya çıkarırsanız ve bir tişört ve ödül alırsınız ama bunu bir ulus-devlet tehdit aktörüne satarsanız ve kendi adanıza bir peşinat koyabilirsiniz. Bu ortamda, tedarik zincirinin şüpheleri üstüne çektiğini hayal etmek zor. Aslında tam tersini buluyoruz.

Kuyuyu temiz tutmak

Herhangi bir şirketin tedarik zincirini tam olarak kontrol etmesinin ve kendi ürünlerine veya hizmetlerine dahil edilen hiçbir ham bileşenin nihai tüketiciye giderken kirlenmediğini veya sömürülmediğini garanti etmesinin fizibilitesi muhtemelen sıfıra yakındır. Tedarik zinciri saldırısı riskini en aza indirgemek, hiç bitmeyen bir risk ve uyumluluk yönetimi döngüsünü içerir; SolarWinds hackinde, üçüncü taraf satıcının ürününün saldırı sonrası derinlemesine denetimi, kodun derinliklerine gömülü olan istismarı tanımladı.
Savunmasız yazılım tedarik zincirlerinden kaynaklanan riskleri azaltmak için 10 üst düzey öneri:

  • Yazılımınızı bilin-işletmeniz tarafından kullanılan tüm açık kaynaklı ve özel hazır araçların envanterini saklayın
  • Bilinen güvenlik açıklarına dikkat edin ve yamaları uygulayın; doğrusu, kusurlu güncellemelerde saklanabilecek saldırılar hiçbir şekilde kimsenin yazılımlarını güncellemesini engellememelidir
  • Üçüncü taraf yazılım üreticilerini etkileyen ihlaller için uyanık olun
  • Gereksiz veya eski sistemleri, hizmetleri ve protokolleri bırakın
  • Kendi güvenlik süreçlerini anlayarak tedarikçilerinizin risklerini değerlendirin
  • Yazılım tedarikçileriniz için güvenlik gereksinimlerini ayarlayın
  • Düzenli kod denetimleri isteyin ve kod bileşenleri için güvenlik kontrolleri ve değişiklik kontrol prosedürleri hakkında bilgi alın
  • Potansiyel tehlikeleri belirlemek için penetrasyon testleri hakkında bilgi alın
  • Yazılım geliştirme süreçlerini korumak ve hatlar oluşturmak için erişim kontrolleri ve iki faktörlü kimlik doğrulama (2FA) isteyin
  • Çoklu koruma katmanı içeren güvenlik yazılımı kullanın

Bir kuruluşun, tüm tedarikçilerine ve sağladıkları bileşenlere, şirketin sahip olduğu politika ve prosedürleri de içeren görünürlüğe sahip olması gerekir. Kendi şirketinizin itibarı söz konusu olduğunda, tedarikçiyi suçlayan veya sorumlu kılan yasal sözleşmelere sahip olmak yeterli değildir; sonuçta, sorumluluk, tüketicinin bir ürün veya hizmet satın aldığı şirkettedir.