Aralık 2020’de tedarik zinciri saldırıları tehdidi birçok insan için gerçek gibi görünmeye başladı. İşte o zaman FireEye/Mandiant bomba raporu SolarWinds’in popüler Orion yazılımının Trojan tarafından yerleştirilen güncellemeleri aracılığıyla sağlanan büyük bir “küresel izinsiz giriş kampanyası” hakkında. Yaklaşık 18.000 SolarWinds müşterisi güncellemeyi indirdi, ancak saldırganlar daha sonra büyük şirketler ve federal hükümet kurumları dahil olmak üzere yüksek değerli hedeflerin bir alt kümesine odaklandı.
SolarWinds olayı, özellikle kampanyanın arkasındaki grup durmadığı için, saldırıların tedarik zinciri üzerindeki geniş kapsamlı etkisi hakkında güçlü bir noktaya değindi. Microsoft, Ekim 2021’de Microsoft’un Nobelium olarak adlandırdığı Rusya merkezli gelişmiş kalıcı tehdit (APT) grubunun yazılım tedarik zincirinden, bulut hizmeti sağlayıcıları (CSP’ler) ve yönetilen hizmet sağlayıcılar (MSP’ler) dahil olmak üzere BT hizmet sağlayıcılarını hedeflemek üzere ayrıldığını açıkladı. ) — alt müşterilere erişim sağlamak için ayrıcalıklı ve yönetici kimlik bilgilerini kullanmak.
Nobelium’un faaliyetleri yüksek düzeyde gelişmişlik gösterse de, son kampanyası yeni değil. 2016-2017’de PwC’de iki büyük kampanya için olay müdahalesinden sorumlu bir ekibin parçasıydım. İlki, dünya çapındaki büyük kuruluşlara erişim sağlamak için MSP’leri hedef alan Çinli bir ulus-devlet bilgisayar korsanlığı grubu tarafından yıllarca süren bir kampanyaydı. Bulut Haznesi Operasyonu. İkincisi, oyuncuların Ukrayna MeDoc muhasebe yazılımının yazılım güncelleme sistemini tehlikeye atması bakımından SolarWinds’e çarpıcı bir şekilde benzeyen NotPetya küresel fidye yazılımı kampanyasıydı. Her ikisinden de alınan dersler, kendilerini Nobelium’dan ve yaklaşan teknoloji tedarik zinciri saldırılarından koruyan kuruluşlar için son derece değerlidir.
Bu tedarik zincirlerinde arazi dışında yaşayan Nobelium ve diğer tehdit aktörlerinin faaliyetleri hakkında sık sık raporlar göreceğimizi umuyorum. Neredeyse her kuruluş risk altında olduğunu varsaymalıdır, ancak APT’nin taktiklerine karşı koymanın yolları vardır. İşte işletmelerin ağlarını sürekli olarak araştırmaları için gerekli olan birkaç yaklaşım.
Üçüncü Taraf Sağlayıcıların Sürekli Risk Değerlendirmelerine Katılın
Yalnızca teknik güvenlik kontrollerini değil, yönetişim, risk ve uyumluluğu da kapsayan ayrıntılı üçüncü taraf risk değerlendirmeleri gerçekleştirmelisiniz. Kuruluşunuz ve üçüncü taraflar arasındaki faaliyetlerin sürekli izlenmesi, günlüğe kaydedilmesi ve gözden geçirilmesi, anormalliklerin tespit edilmesine yardımcı olmak için önceden belirlenmiş bir normal faaliyet temeline göre ölçülebilir. Doğru kontrollerin ve dengelerin yerinde olması, sağlayıcılar aracılığıyla gelen tehditlerin azaltılmasına yardımcı olabilir.
Tedarik Zinciri Boyunca Saldırı Vektörlerini İyice Anlayın
Hizmet sağlayıcılar, saldırganlar için ana hedefler olarak donanım ve yazılıma katıldı. Güvenliğe yönelik kapsamlı bir yaklaşım, yama uygulanmamış yazılımlardan yararlanmak için güvenliği ihlal edilmiş kimlik bilgilerini kullanmak gibi tehdit grupları ve bunların taktiklerinin yanı sıra tehdit ortamının anlaşılmasını da içermelidir. Sistem mimarisine, erişime ve kimlik doğrulama kontrollerine yönelik olanlar dahil olmak üzere potansiyel tehditlerin eksiksiz bir görünümü, yalnızca kritik sistemlerinizin durumuyla değil, aynı zamanda iş ortaklarının güvenlik duruşlarıyla da karşılaştırılmalıdır.
Hem İçe Hem Dışa Bakın
Bu tehditlere karşı korunmak için hem dahili hem de harici olarak izlemek önemlidir. Yönetici kimlik bilgilerine sahip birinin bir sunucuda oturum açması ve ardından oradan diğer sunucularda oturum açması alışılmadık bir durum değildir. Ancak bu ilk erişim genellikle izlenmez ve bu da bir saldırganın fark edilmeden girip ilerlemesine izin verebilir. Bir kuruluş, dahili erişimin çevresine korumalar koyabilir. Ayrıca çoğu kuruluş, üçüncü taraf ortaklarının neye erişimi olduğunu bilmiyor. Kimlik ve erişim yönetimi (IAM), üçüncü taraf iş ortaklarının hangi ayrıcalıklara sahip olduğunu bilmeyi ve olağandışı davranışların bir alarmı tetiklemesi için hareketlerini izlemeyi içermelidir.
En Az Ayrıcalık İlkesi ile Yürütün
Aşırı izin verme, bulut altyapılarında yaygın bir sorundur. Örneğin, geliştiriciler sunucuya erişmek için izin istediğinde, yöneticilerin her bir isteği sıralamak ve belirli görevler için erişim vermek yerine her şey için kimlik bilgileri vermesi daha kolaydır. Ancak izinler üzerinde görünürlük ve denetim sağlamak güvenlik için hayati önem taşır.
Bu, faaliyetleri her zaman izlenmesi gereken hizmet sağlayıcılar için de geçerlidir. Yönetmekle yükümlü olmadığı bir sunucuya erişen veya bir veri hazinesini kaldırmaya başlayan bir sağlayıcı kırmızı bayrak göstermelidir. Veri çalmak veya önemli hasara neden olmak için bir hizmet sağlayıcının güvenliği ihlal edilmiş kimlik bilgilerini kullanan birçok saldırgan örneği vardır. Bu nedenle, hizmet sağlayıcıların erişimi her zaman dikkatli bir şekilde kontrol edilmelidir.
Bir Olay Müdahale Planı Kurmayın ve Unutmayın
Bir siber güvenlik stratejisi esnekliği vurgulamalıdır, bu nedenle bir olay müdahale planı, veri kurtarma, iş müdahalesi ve iletişimden siber sigorta süreçlerine ve düzenleyicilerle ilişkilere kadar çeşitli faktörleri kapsamalıdır. Cloud Hopper Operasyonu ve NotPetya’ya verilen yanıtların gösterdiği gibi – ve Beyaz Saray’ın icra emri aynı zamanda birleşik bir yanıtın parçası olarak tehdit bilgilerini paylaşmaya hazırlıklı olmak da önemlidir. SolarWinds gibi tedarik zinciri saldırıları, organizasyonel sınırları aşar; yanıt birden fazla sektörü içermelidir.
Dahili olarak, veri kurtarma ve onarımını kapsayan olay müdahale alıştırmaları yapmak da önemlidir. Ayrıca her olası durumda nasıl davranacağınızı da denemeli ve düşünmelisiniz. Ve beklenmedik bir şey olması durumunda acil durum planlarını unutmayın. Örneğin, kurtarma için kullanılan veri yedekleri bir saldırının hedefiyse ne olur? Son olarak, olay müdahalesi için bilinen güvenlik açıklarını tespit etmek için yalnızca algılama araçlarınıza güvenmeyin.
Siber güvenlik hiç bu kadar kolay olmamıştı, ancak günümüz ortamında sunucuların ve dahili sistemlerin güvenliğini sağlamak nispeten kolay bir kazanç. Zor kısım üçüncü taraf riskidir. Kuruluşların üçüncü taraf değerlendirmeleri yapması, katı, en az ayrıcalıklı politikalar uygulaması ve faaliyetleri sürekli olarak izlemesi gerekir. Ve bu güvenlik duruşunu, bulut güvenliğinin temellerine sahip olduğunuzdan emin olarak başlayarak, sıfırdan oluşturmak en iyisidir. Çünkü, temel bilgilerle mücadele ediyorsanız, ileri düzey güvenlik seviyelerine ulaşamayacaksınız.