Tedarik zinciri sorunları, hammadde ve işgücü kıtlığından nakliye gecikmelerine ve üretim sorunlarına kadar manşetlere hakim oldu. Ancak aynı zamanda giderek daha fazla risk altında olan başka bir tedarik zinciri türü daha var: bulut tedarik zinciri.
Bulut tedarik zinciri risklerinin kelimenin tam anlamıyla lojistikle çok az ilgisi vardır. Bunun yerine, bulut hizmetleri ve süreçlerindeki güvenlik açıklarından kaynaklanırlar. Son 18 ayda, şirketlerin %79’u en az bir bulut veri ihlali yaşadı ve %43’ü bu süre içinde 10 veya daha fazla ihlal bildirdi. Ve herhangi bir sektördeki herhangi bir şirket, hassas.
Yine de son ihlaller farkındalığı artırdığınızda, bulut tedarik zinciri saldırıları ortadan kalkmıyor. Aslında, çünkü bulut COVID-19 salgını nedeniyle evlat edinme hızlandı, tehditler artabilir. Peki, kökünde ne var? Bulut tedarik zincirine yönelik riskler, öncelikle ekosistem karmaşıklığından, silo operasyonlarından ve yazılım varlıklarına ilişkin içgörü eksikliğinden kaynaklanır ve bunların tümü zayıf risk yönetimine bağlıdır.
Ancak iyi haberler var: Tedarik zinciri hakkında daha net bir anlayış kazanmak ve tüm bulut yazılımı geliştirme yaşam döngüsü için standart bir risk yönetimi protokolü geliştirmek, riskleri ve zorlukları azaltabilir.
Tehditleri ve Saldırı Türlerini Anlama
Tedarik zinciriyle ilgili son çalışmalar göstermiştir ki, en azından Tipik bir SaaS uygulamasının %80’i her bileşen farklı bir risk düzeyini temsil eden birden çok hizmet ve satıcı tarafından desteklenmektedir. Bu genişletilmiş işletim ortamının karmaşıklığı, güvenlik açıklarını ve güvenli olmayan yapılandırmaları saptamayı bırakın, yönetimi bile son derece zorlaştırıyor.
Peki, bulut tedarik zinciriniz saldırı altındayken nasıl görünüyor? Bazı saldırılar kaynak kodunu tehlikeye atacaktır. geçen yıl PHP saldırısı, bir saldırgan kendi kendine barındırılan Git sunucusunun güvenliğini ihlal etti ve kod koruyucular tarafından algılanmayan iki kötü amaçlı taahhüt enjekte etti. Yazılım dilini kullanan kuruluşlar, farkında olmadan kötü amaçlı kodu indirerek işletim ortamlarında kullandılar. Bu arada bağımlılık saldırıları, saldırganlar savunmasız bağımlılıkları avladığında ve onlara kötü amaçlı yazılım enjekte ettiğinde gerçekleşir.
Güvenliği ihlal edilmiş kod yürütülebilir bir biçime dönüştürüldüğünden, boru hattı tehditleri belki de en çok zarar veren saldırı türleridir. Sırasında SolarWinds saldırısıörneğin, bir siber suçlu, bozuk Sunspot kötü amaçlı yazılımını güncelleme paketlerine eklemek için oluşturma sürecini tehlikeye attı. SolarWinds, kötü amaçlı yazılımı çok sonraya kadar tespit etmedi. Bu saldırıların doğası farklı olsa da, kapsamlı bir strateji onları önleyebilir: bulutunuzun başlığının altında ne olduğunu daha iyi anlamak.
Korumanın Üç Aşaması: Değerlendirme, Standardizasyon ve Ortaklık
Kuruluşlar, bulut ekosistemlerinin her parçasına ilişkin keskin bir anlayış geliştirerek bulut tedarik zinciri risklerini azaltabilir. Oysa bugün, sadece beş kuruluştan biri bulut tedarik zincirlerini gerçek zamanlı olarak değerlendirir. Aynı sayı haftalık değerlendirmeler yapıyor ve yaklaşık %58’i duruşlarını ayda bir veya daha az sıklıkla değerlendiriyor. Bu, kötü oyuncular için kapıyı açık bırakır.
Kendilerini korumak için, her büyüklükteki kuruluşun, teknoloji yığınındaki tüm bileşenlerin bir envanteri olan bir yazılım malzeme listesi (SBOM) oluşturması çok önemlidir. Bunu yaparak şirketler, ortamlarının karmaşıklığını daha iyi anlayabilir ve bulut tedarik zinciri saldırılarına karşı güvenlik açıklarını önemli ölçüde azaltabilir.
Değerlendirme tamamlandıktan ve kullanıcılar bulut tedarik zincirlerinin güvenliğinden emin olduktan sonraki adım, bu güvenlik düzeyini koruyan bir strateji geliştirmektir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bulut satıcılarını incelemek için çerçeve bir başlangıç noktası olarak hizmet edebilir, ancak şirketler, NIST’in ortaya koyduğu adımları geliştirme iş akışlarına ve süreçlerine göre uyarlamalıdır.
Doğru ortak, özellikle küçük işletmeler için risk yönetiminde de önemli bir rol oynayabilir. Mega bulut satıcıları, geliştiricilerin güvenli ürünler oluşturması için sağlam bir temel sağlarken, alternatif bulut sağlayıcıları ek bir şey sunabilir: güvenlik söz konusu olduğunda şirketlerin kendi başlarına kalmamasını sağlayan kapıcı tarzı bir ortaklık.
Örneğin, Akamai, işletim ortamlarına ve ürünlerine karşı sızma testi yapan binlerce etik hacker’ın bulunduğu HackerOne bug bounty programıyla ortaktır. Bunlara ek olarak, Akamai güvenlik kontrolleri sunar ve teknoloji yığınımızı tarayarak tedarik zinciri riskine karşı koruma.
Güvenlik Kültürü Yaratmak
Sektör olarak şu anda tepki modundayız. Saldırılar artıyor ve kuruluşlar felaketi önlemek için yeterli proaktif önlem almıyor. Ancak buluta bağımlılık artmaya devam ederken, büyük veya küçük hiçbir şirket bu kumarı göze alamaz.
Güvenlik, yığını anlamak, her öğeyle ilişkili riskleri değerlendirmek ve yerleşik en iyi uygulamaları takip etmeyi taahhüt etmekle başlar. Yazılım tedarik zinciri, satın alma, BT, yazılım mühendisliği, geliştirme, sürüm, değişiklik yönetimi, operasyonlar gibi birden çok departman içerir. Doğruyu bulmak gerçekten herkesin işi.
yazar hakkında
Bilgi güvenliği kıdemli direktörü olarak Joseph Zhou, Akamai’nin bulut bilişim operasyonlarının siber güvenlik programı, mimarisi ve operasyonlarını yönetiyor. Zhou, kurumsal güvenlik mimarisi, ağ güvenliği, iş sürekliliği, güvenlik bilinci eğitimi ve daha fazlasını kapsayan bir güvenlik uzmanları ekibine liderlik ediyor. Role zengin bir endüstri deneyimi getiriyor ve daha önce Evive ve Transworld Systems’da CISO rollerinde görev yaptı.