Bu senenin başlarında, Gartner tahmin etti 2025 yılına kadar dünya çapındaki kuruluşların %45’inin deneyimlemiş olacağı yazılım tedarik zincirlerine yönelik saldırılar — 2021’e göre üç kat artış. Bu saldırılar artmakla kalmıyor, aynı zamanda sistemlere sızma seviyeleri ve saldırganların kullandığı teknikler de yeni. Saldırganlar artık üçüncü taraf bulut hizmetlerine verilen erişimden, şirketlerin en hassas çekirdek sistemlerine açılan bir arka kapı olarak yararlanıyor. Postacı, GitHubve Microsoft. Yeni nesil tedarik zinciri saldırıları ortaya çıkıyor.
Uygulamadan Uygulamaya Entegrasyonların Yükselişi
İş gücünün büyük çoğunluğu dijitalleştiğinden, kuruluşların temel sistemleri buluta taşınıyor. Bu hızlandırılmış bulut benimseme, üçüncü taraf uygulamalarının kullanımını ve sistemler ile hizmetler arasındaki bağlantıları katlanarak artırarak tamamen yeni bir siber güvenlik sorununu ortaya çıkardı.
Uygulamadan uygulamaya bağlantıdaki artışa yol açan üç ana faktör vardır:
- Ürün liderliğindeki büyüme (PLG): Okta ve Slack gibi hizmet olarak yazılım (SaaS) liderleriyle PLG ve aşağıdan yukarıya yazılım benimseme çağında
- DevOps: Geliştirici ekipleri, API anahtarlarını özgürce oluşturuyor ve içine yerleştiriyor
- hiper otomasyon: Hiperotomasyonun ve düşük kodlu/kodsuz platformların yükselişi, “vatandaş geliştiricilerin” bir düğmeyi çevirerek süreçleri entegre edip otomatikleştirebileceği anlamına geliyor.
Entegrasyonların geniş kapsamına artık her türden ekip kolayca erişebilir, bu da zaman tasarrufu ve artan üretkenlik anlamına gelir. Ancak bu, bir kuruluşun işini kolaylaştırırken, potansiyel olarak savunmasız uygulama bağlantılarının görünürlüğünü bulanıklaştırarak, kuruluşun dijital tedarik zincirini genişleten, ortamlarında dağıtılan tüm entegrasyonlar hakkında kurumsal BT ve güvenlik liderlerinin içgörü sahibi olmasını son derece zorlaştırır.
Üçüncü Taraf Sorunları
Bu sorunun bazı kabulleri var: Son zamanlarda Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yönergelerini güncelledi siber güvenlik tedarik zinciri risk yönetimi için. Bu yeni direktifler, işletmelerin işlerini yürütmelerine yardımcı olmak için giderek daha fazla yazılım benimsedikçe, verimliliği ve üretkenliği artırmak için yazılım ürünlerine giderek daha fazla üçüncü taraf kodu entegre ettiklerini düşünüyor. Bu büyük bir kabul olsa da, gözden kaçan çekirdek sistemlerin üçüncü taraf uygulamalarla büyük miktarda entegrasyonuyla ilgili başka bir tedarik zinciri bağımlılıkları ekosistemi daha var.
Dahili süreçleri geri döndürülemeyecek şekilde hiper bağlantılı olan şirketler için, tüm sistemi tehlikeye atmak için tek gereken, bağlı uygulamalar veya hizmetler içindeki en zayıf halkayı tespit eden bir saldırgandır.
İşletmeler, bu tür bir senaryoyu en iyi nasıl yöneteceklerini belirlemelidir. Bu uygulamalar hangi düzeyde veriye erişim kazanıyor? Bu uygulamanın ne tür izinleri olacak? Uygulama kullanılıyor mu ve aktivite nasıl?
Bu entegrasyonların çalıştığı katmanları anlamak, güvenlik ekiplerinin potansiyel saldırı alanlarını tam olarak belirlemesine yardımcı olabilir. İleri görüşlü bazı bilgi güvenliği yetkilileri (CISO’lar) sorunun farkındadır, ancak zorluğun yalnızca küçük bir kısmını görmektedir. Ürün odaklı büyüme ve aşağıdan yukarıya yazılım benimseme çağında, ortalama bir kuruluşun kullandığı gibi, bir kuruluşun bulut uygulamaları arasındaki tüm entegrasyonlara ilişkin görünürlüğe sahip olmak zordur. 1.400 bulut hizmeti.
Güvenlik Açığının Kapatılması
Dijital tedarik zinciri saldırılarının riskleri artık temel iş uygulamaları veya mühendislik platformlarıyla sınırlı değil; bu güvenlik açıkları artık birbirine bağlı üçüncü taraf uygulamaları, entegrasyonları ve hizmetlerinden oluşan ve çoğalan ağ ile genişledi. Yalnızca yeni yönetişim ve güvenlik stratejileri, genişleyen bu güvenlik açığını kapatabilir.
Bu genişleyen saldırı yüzeyini korumak için pazarda bir paradigma değişikliği olması gerekiyor. Bunu yaparken, aşağıdakilerin ele alınması gerekecektir:
- Tüm uygulamadan uygulamaya bağlantılarda görünürlük:Güvenlik ekiplerinin yalnızca hassas varlıklara bağlanan sistemler için değil, aynı zamanda
- Tehdit tespiti:Yalnızca bağımsız uygulamaların değil, her entegrasyonun doğası risk düzeyi ve maruz kalma açısından değerlendirilmelidir (örn. fazladan erişim, aşırı izinler).
- İyileştirme stratejileri: Tehdit önleme stratejileri herkese uyan tek bir mesele olamaz. Güvenlik uzmanlarının, saldırı yüzeyini oluşturan birbirine bağlı karmaşık uygulama yelpazesini kabul eden bağlamsal hafifletmelere ihtiyacı vardır.
- Otomatik, sıfır güven yaptırımı:Güvenlik ekipleri, uygulama katmanı erişimi (örneğin, izin seviyeleri, kimlik doğrulama protokolleri) etrafında politika korkulukları ayarlayabilmeli ve uygulayabilmelidir.
İyi haber şu ki, endüstrinin zihniyetinde bir değişiklik görmeye başlıyoruz. Bazı işletmeler, potansiyel bir hizmet tedarik zinciri saldırısından bir adım önde olmak için şimdiden inisiyatif alıyor ve süreçleri uygulamaya koyuyor. Merkez Noktası, API anahtarlarının kullanımıyla ilişkili potansiyel riskleri ortadan kaldırmaya yardımcı olmak için bir mesaj yayınladı. GitHub ayrıca kısa süre önce kullanıma sunuldu güvenliği ihlal edilmiş belirteçlerin verilerine yönelik riski azaltmak için geliştiricilere ve kuruluş sahiplerine gelişmiş güvenlik sunan ayrıntılı bir kişisel erişim belirteci.
Nihayetinde, içinde yaşadığımız dijital dünya yalnızca daha hiper bağlantılı hale gelecek. Buna paralel olarak, endüstrinin tedarik zinciri içindeki bu potansiyel tehditlere ilişkin anlayışını ve bilgisini, bunlar daha fazla manşetlere dönüşecek saldırılara dönüşmeden önce ilerletmesi gerekiyor.
