Tedarik zinciri (supply chain) saldırıları, işletmelerin genelde daha zayıf noktaları olan tedarikçilerine gerçekleştirilen ataklar olarak özetlenebilir. Bu türden saldırıların son dönemlerdeki artışını inceleyen Avrupa Birliği Siber Güvenlik Ajansı (ENISA), artık varolan siber güvenlik önlemlerinin yeterli olmadığı sonucuna varmış.
ENISA’nın incelediği ve yakın geçmişte gerçekleşen 24 yazılım tedarik zinciri saldırısından bazıları SolarWinds Orion yazılımı, CDN sağlayıcısı Mimecast, geliştirici yazılımı Codecov ve kurumsal BT yönetim firması Kaseya vakaları. Araştırmada daha çok gelişmiş kalıcı tehdit (APT) saldırılarına dikkat çekildiği bilgisi veriliyor. Burada kastedilen saldırılar bilinen kod yerleştirme ve güvenlik açığından faydalanma durumları değil. Planlama, aşamalandırma ve yürütmenin karmaşıklığı ile dikkat çeken saldırılar (ki bunların 11’i APT suç grupları tarafından yapılmış) incelenmiş.
Rapora göre bir işletmenin kendi siber güvenlik önlemleri yetse bile, saldırganların tedarikçileri hedefleyerek yeni potansiyel sızma yolları keşfedebildiklerine değiniliyor. Kurum bu tür saldırıların giderek artmasını ve kötüleşmesini beklemekte. Analizlere göre saldırganlar bildirilen olayların yaklaşık yüzde 66’sında tedarikçilerin altyapılarına odaklanmış. Tedarikçilerin üçte biri ifşa edilmeden önce saldırının farkında bile olmamış.
ENISA kuruluşu Avrupa Birliği düzeyinde eylem çağrısı yaparak hem ana işletmelerin hem de satıcıların alması gereken önlemleri sıralamış. İşletmeler için öneriler şu şekilde:
- Tedarikçileri ve hizmet sağlayıcıları belgelemek,
- Tedarikçi ve müşteri bağımlılıkları ve kritik yazılım bağımlılıkları gibi farklı tedarikçi ve hizmet türleri için risk kriterlerinin tanımlanması,
- Tedarik zinciri risklerinin ve tehditlerinin takip edilmesi,
- Ömrünü tamamlamış ürünleri veya bileşenleri işlemeye yönelik prosedürler de dahil olmak üzere, bir ürün veya hizmetin tüm yaşam döngüsü boyunca tedarikçileri yönetmek,
- Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilir olan varlıkların, bilgilerin sınıflandırılması ve bunlara erişim için ilgili prosedürlerin tanımlanması.
Tedarikçiler için de öneriler var:
- Ürünleri, bileşenler, hizmetleri tasarlamak, geliştirmek, üretmek ve teslim etmek için kullanılan altyapının siber güvenlik uygulamalarına uygun olmasını sağlamak,
- Yaygın olarak kabul edilen ürün geliştirme süreçleriyle tutarlı bir ürün geliştirme, bakım ve destek süreci uygulamak;
- Üçüncü taraf bileşenler de dahil olmak üzere, dahili ve harici kaynaklar tarafından bildirilen güvenlik açıklarını izlemek,
- Yamalarla ilgili bilgilerin de dahil olduğu bir varlık envanteri tutmak.
