YORUM
Son yıllarda, yazılım tedarik zinciri saldırıları endişelerin çevresinden ön plana çıktı. Verizon’un “2024 Veri İhlali Soruşturma Raporu” 2023 yılında güvenlik açıklarının ihlalleri başlatmak için kullanımı 2022’ye kıyasla %180 arttı. Bu ihlallerin %15’i yazılım tedarik zincirleri, barındırma ortağı altyapıları veya veri koruyucuları gibi üçüncü tarafları veya tedarikçileri içeriyordu.
2023 yılında birçok önemli güvenlik açığının etkisini göz önünde bulundurduğumuzda bu istatistikler hiç de şaşırtıcı değil.
SolarWinds muhtemelen bilinen en büyük örnektir bugüne kadar bir yazılım tedarik zinciri saldırısının olduğu ortaya çıktı. 18.000’den fazla kuruluş etkilendi ve Bazı raporlar, saldırının etkilenenlere ortalama olarak gelirlerinin %11’ine mal olduğunu belirtiyor.
Benzer şekilde, Okta da önemli bir ihlal yaşadı tehdit aktörlerinin destek yönetim sistemi aracılığıyla özel müşteri verilerine eriştiği yer. Güvenlik uyarılarına rağmen ihlal haftalarca tespit edilemedi.
Ve uzun süren süreci unutmayalım MOVEit Transfer aracı saldırısıBBC ve British Airways gibi büyük kuruluşlar da dahil olmak üzere 620’den fazla kuruluşu etkileyen Cl0p fidye yazılımı grubuSaldırı, güvenlik açıklarının derhal kapatılması ve web tabanlı uygulamaların güvenliğinin sağlanmasının aciliyetini açıkça vurguladı.
Dikkat edilmesi gereken çok önemli bir ayrıntı, yazılım tedarik zinciri saldırılarının sonuçlarının hem teknik tehdit hem de sorumluluk açısından kalıcı olabileceğidir. Ekim 2023’te, kötü şöhretli SolarWinds ihlalinden yaklaşık üç yıl sonra, Menkul Kıymetler ve Borsa Komisyonu (SEC) SolarWinds’i suçladı yatırımcıları siber güvenlik uygulamaları ve riskleri hakkında yanıltmakla suçlanıyor. Bu suçlama, ihlalle ilgili bir menkul kıymetler toplu dava davasının 26 milyon dolarlık uzlaşmasını takip etti.
Ancak bu saldırıların nasıl gerçekleştiğini ve nasıl azaltılabileceğini anlamak için öncelikle yazılım tedarik zinciri güvenliğinin ne olduğunu anlamak önemlidir.
Yazılım Tedarik Zinciri Güvenliğinin Paketini Açma
Gartner tanımlıyor yazılım tedarik zinciri güvenliği (SSCS) Yazılımı güvenli bir şekilde düzenlemek, oluşturmak ve tüketmek için gerekli süreçleri ve araçları kapsayan kapsamlı bir çerçeve olarak, böylece yazılıma veya bir saldırı vektörü olarak kullanımına yönelik olası saldırıları azaltır. Bu çerçeve üç temel sütun etrafında yapılandırılmıştır:
-
Küratörlük: Bu adım, risklerini değerlendirmek ve kullanıma uygun olup olmadıklarını belirlemek için üçüncü taraf yazılım bileşenlerini değerlendirmekle ilgilidir. Bunu yaparak, kuruluşlar yalnızca güvenli ve uyumlu bileşenlerin yazılım tedarik zincirine girmesini sağlar.
-
Yaratılış: Bu, güvenli geliştirme uygulamalarının ve hem yazılım eserlerini hem de geliştirme hattını korumanın önemini gösterir. Bu, güvenlik açıklarına ve olası tehditlere karşı koruma sağlamak için yazılım oluşturma süreci boyunca güvenlik önlemlerinin uygulanmasını içerir.
-
Tüketim: Bu aşama, kaynağını, gerçekliğini ve izlenebilirliğini doğrulayarak yazılımın bütünlüğünü sağlamaya odaklanır. Dağıtılan yazılımın güvenli olduğundan ve yetkisizce kurcalanmadığından veya değiştirilmediğinden emin olur.
Daha basit bir ifadeyle, SSCS, bir organizasyonun yazılımına yerleştirilen ve kullanılan tüm yazılım bileşenlerinin yanı sıra geliştiricilerin dağıtım sonrası kod yazmak ve izlemek için kullandıkları uygulamaları kapsar.
Gartner’ın bu alandaki çabaları, artan bir tehdit olarak gördüğü şeyin doğrudan bir sonucudur. Aslında, tedarik zinciri saldırılarının finansal etkisinin 2023’te 40 milyar dolardan 2031’e kadar 138 milyar dolara çıkacak.
ABD hükümeti de tedarikçilerinin yazılım malzeme listesi (SBOM) sunmasını zorunlu kılan önlemler alıyor ve yazılım tedarik zincirinde şeffaflık ve hesap verebilirliğin önemini vurguluyor.
Bir Yazılım Tedarik Zinciri Güvenlik Programı Oluşturma
Yazılım geliştirme sırasında güvenlik açığı riskini yönetmek iki ana sürece dayanır: Yazılım geliştirme yaşam döngüsü (SDLC) boyunca sürekli kod taraması ve yeni yazılım sürümlerini verimli bir şekilde güncellemek, test etmek ve dağıtmak için yüksek oranda otomatikleştirilmiş bir SDLC’yi sürdürmek.
-
Sürekli kod taraması: Güvenlik açıklarını erken yakalamak için SDLC boyunca sürekli kod taraması uygulamak çok önemlidir. Bu, hem tescilli hem de üçüncü taraf kodunun güvenli olduğundan emin olmak için hem statik hem de dinamik uygulama güvenlik testlerinin (SAST ve DAST) kullanılmasını içerir.
-
Otomatik SDLC: SDLC’yi son derece otomatik tutmak, yeni yazılım sürümlerini verimli bir şekilde güncellemek, test etmek ve dağıtmak için önemlidir. Otomasyon, insan hatasını azaltmaya yardımcı olur ve güvenlik açıklarını belirleme ve düzeltme sürecini hızlandırır.
Bu bağlamda, üçüncü taraf kodunu kaynak kodu analizi (SCA) araçlarıyla taramak esastır. SCA, üçüncü taraf ve açık kaynaklı yazılım bileşenleriyle ilişkili risklerin tespitini ve yönetimini otomatikleştirir. SCA’nın yapabilecekleri şunlardır:
-
Yazılım bileşenlerini tanımlayın: SCA araçları, bir yazılım uygulamasındaki tüm bileşenleri belirleyerek yazılım tedarik zincirinin net bir görünümünü sağlar.
-
Yazılım malzeme listeleri (SBOM) oluşturun: SBOM’lar tüm bileşenlerin ve meta verilerinin bir listesini sağlayarak, kuruluşların düzenleyici gerekliliklere uymasına ve açık kaynak lisanslarını yönetmesine yardımcı olur.
-
Güvenlik açıklarını tarayın: Bu araçlar, yazılım bileşenlerindeki bilinen güvenlik açıklarını tarayarak, düzeltme için uyarılar ve rehberlik sunar.
-
Riskleri değerlendirin: Her bir bileşenin risk seviyesini değerlendirerek, kuruluşların iyileştirme çabalarını riskin ciddiyetine göre önceliklendirmesine olanak tanırlar.
-
Bağımlılık grafiklerini oluşturun: Bu grafikler bileşenler arasındaki ilişkileri göstererek potansiyel arıza veya risk noktalarını belirlemeye yardımcı olur.
-
Düzeltme rehberliği sağlayın: SCA araçları, belirlenen güvenlik açıklarının nasıl giderileceğine ilişkin uygulanabilir tavsiyeler sunar.
-
Politikaları otomatik olarak uygula: Bilinen güvenlik açıkları veya lisans sorunları olan bileşenlerin kullanımını otomatik olarak engellemek için politikalar ayarlayabilirsiniz.
Dış risk yönetimi, tedarik zinciri güvenliğinde giderek daha kritik bir rol oynuyor; kuruluşlar her geçen gün daha fazla üçüncü taraf hizmeti ekliyor ve üçüncü taraf bileşenleri ve kitaplıkları kullanarak daha fazla Web uygulaması oluşturuyor.
Gelecek
Bu saldırıların finansal etkisinin önemli ölçüde artacağı tahmin ediliyor ve bu da kuruluşların hemen harekete geçmesini zorunlu kılıyor.
İleriye doğru hareket etmenin anahtarı ilk farkındalıktır. Tehdidi anlamak, önlemeye yönelik adımlar kadar önemlidir. Bu belirlendikten sonra, güvenlik ekiplerini ekosistemlerini korumak için takviyelerle donatmak için yeterli kaynak ve teknoloji vardır.