Ortaklarınıza, satıcılarınıza ve üçüncü taraflara saldırılarla sizin şirketinizin bilgileri ifşa edebilir ve kötü niyetli bilgisayar korsanlarının tedarik zincirleri aracılığıyla kuruluşunuzu hedef alabilir.
Bu yazıda tedarik zinciri saldırılarının risklerini, kuruluşların kendilerini nasıl koruyabileceklerini ve tedarik zinciri saldırılarının bir kuruluşu çökertme riskini nasıl azaltabileceğimizi değineceğiz.
2020 yılı başlarında Rusya devlet desteği ile çalıştığı belirtilen bir grup siber korsanı tarafından Fortune 500’ün %80’inden fazlasına hizmet veren SolarWinds isimli teknoloji firmasına yapılan saldırı en can alıcı örnek olabilir. Bu saldırıda 20000’den fazla müşterisi etkilenmesi tehdidin büyüklüğünü göz önüne sermektedir. SolarWinds sistemine giren ‘’Orion’’ isimli kod müşterilerinin yazılımlarını güncellemeye başlaması ile Mart 2020’de yayılmaya başladı. Saldırganlar, kuruluşların ağlarında pusuya yattı ve bilgi çalmaya odaklanmıştır.
Bilgi teknolojisi sistemlerine bir arka kapı oluşturdu ve bilgisayar korsanları daha sonra şirketler ve kuruluşlar üzerinde casusluk yapmalarına yardımcı olan daha fazla kötü amaçlı yazılım yüklemek için kullandı. Saldırı çok gizli bir şekilde yapıldığından ve aylarca fark edilmediğinden, güvenlik uzmanları bazı kurbanların saldırıya uğrayıp uğramadıklarını asla bilemeyebileceğini söylüyor.
Tedarik zinciri risk yönetimi, herhangi bir şirketin risk yönetimi ve siber güvenlik stratejisinin kritik bir bileşeni haline geldi.
Tedarik Zinciri Riskleri
Tedarik Zinciri Risk Yönetimi, tedarikçilerinizin sizi herhangi bir riske maruz bırakmamasını sağlama ve tedarikçilerinizin bir şekilde saldırıya uğraması, ihlal edilmesi veya başka bir tür tehdide veya olaya yenik düşmesi durumunda yolunuza çıkabilecek tehdidi yönetme eylemidir.
Tedarik zincirinizin karşı karşıya olduğu çeşitli tehditler vardır ve bunların ne olduğunu bilmek, korunduğunuzdan ve en kötü senaryoda hasarı azaltmak için doğru sürece sahip olduğunuzdan emin olmak için çok önemlidir.
Kuruluşların tedarik zincirleri, herhangi bir risk yönetimi stratejisinin parçası olmalıdır
Bulut Tabanlı Satıcı Riski
İçerik yönetim sistemlerini, sosyal medya yönetimini ve veritabanı barındırma ve hizmetlerini birkaç isim olarak düşündüğünüzde şirketlere kritik ve kritik olmayan iş süreçlerinin çoğu için bulut tabanlı satıcılara güvenme yetenekleri verdi.
Saldırganlar, çok sayıda şirketin verilerine veya sistemlerine erişim sağlayabileceğini bilerek bu kritik satıcıları hedefleyebilir. Bununla birlikte, kötü niyetli bir saldırgan özellikle işletmenizi hedefliyorsa, daha az kritik tedarikçilerinizden birine, güvenliklerinin eşit düzeyde olmadığını ve verilerinize erişim sağlayabileceğini umarak saldırabilir.
Açık Kaynak Riskleri
Yazılım satıcıları, hizmetlerini sunmak veya düzgün bir şekilde çalışmak için açık kaynaklı yazılımlara güvenir ve bu da bir risk oluşturur. Açık kaynaklı yazılım, kaynak kodunun herkese açık olduğu anlamına gelir ve bu, yazılımı erişilebilir, düşük maliyetli hale getirmenin bir yoludur ve herkesin kaynak kodunu geliştirmesine olanak tanır.
Bunlar genellikle maliyetleri düşük tutarken daha fazla çeviklik ve topluluk iyileştirmelerine izin veren faydalar olsa da, kötü bir aktörün kaynak kodunu taramasına ve açığa çıkarabilecekleri ve yararlanabilecekleri güvenlik açıklarını bulmasına da olanak tanır.
Donanım (Arka Kapı) Riskleri
Risklerin tamamı dijital değildir. Güvenlik kameralarınız, yazıcılarınız veya kablosuz bağlantılarınız (modemler ve yönlendiriciler gibi) için güvendiğiniz şirketler de risk oluşturur. Donanım neredeyse her zaman bir dijital veya kablosuz bileşenle birlikte gelir ve bir kuruluşun saldırı yüzeyini genişletir.
Bu donanım aygıtlarının sabit kodlanmış parolaları varsa, minimum güvenlik varsa veya varsayılan parolaları olduğu gibi bıraktıysanız, kendinizi tamamen açık bırakıyorsunuz. Bu cihazlar aracılığıyla bazı hassas verileri elde etmek veya ağınıza ulaşmak isteyen kötü niyetli bir bilgisayar korsanı, bu güvenli olmayan cihazlar aracılığıyla kolayca yolunu bulabilir.
Kuruluşlar Tedarik Zinciri Risklerini Nasıl Azaltabilir?
Tedarik zincirinize yönelik riskleri bilmek sadece başlangıçtır. Tedarik zinciri riskinizi etkin bir şekilde yönetmek için, iç ve dış faktörlere bakarak riske bütünsel ve kapsamlı bir şekilde yaklaşmanız gerekir.
Tehditinizi Bilin
Devletle çalışan şirketleri hedef alan çok fazla dış kaynaklı saldırganlar olduğu gibi şirketlerin ağlarına sızarak tüm verilerini toplamaya çalışan, sistemlerine zarar veren saldırganlarda mevcut. Bu kötü aktörler, bir şirketin üçüncü taraflarına saldırmak için yukarıda ayrıntıları verilen birçok risk faktöründen yararlanabilir.
Daha önce de belirttiğimiz gibi, SolarWinds saldırısı yabancı kökenli bir aktörün sonucuydu ve ABD de ulusal güvenliği gerekçe göstererek bazı ülkelerdeki telekomünikasyon cihazlarının kritik altyapı için kullanılmasını yasakladı.
Her Tedarik Zincirinin Risk Profilini Anlayın
Slack gibi bir şirket çökerse, kuruluşunuzun iletişim yeteneği etkilenir ancak yine de diğer iletişim biçimlerine güvenebilirsiniz. Sonuç olarak, ticari hizmetlerinizi etkilemez.
Ancak, bulut hizmeti sağlayıcınız saldırıya uğrar ve çökerse, bu web sitenizi, verilerinizi ve müşterilerinizin verilerini etkileyebilir ve kuruluşunuzun hizmetlerini gerçekleştirme yeteneğini ciddi şekilde etkileyebilir.
Satıcınızın Entegrasyonunu Yönetin
Daha önceki Slack örneğini ele alalım. Kötü bir bilgisayar korsanı özellikle kuruluşunuzu hedefliyorsa ve Slack’in bir satıcı olduğunu biliyorsa, kuruluşunuzun Slack’ine erişmeye çalışmak, önemli verileri bulmak, hassas kanallarda gizlenmek ve hatta kuruluşunuzun ağına girmek için güvenlik açıklarından yararlanabilir.
Ancak Slack’inizi (veya benzer sağlayıcıları) güvenliği göz önünde bulundurarak kurduysanız, bir satıcının ağınıza veya verilerinize gereksiz erişim sağlamadığından emin olabilirsiniz.
Tedarik Zinciri Ekosisteminizi Anlayın
Tedarik zincirinizin doğru görünürlüğünün olmaması, risk yönetimini inanılmaz derecede zorlaştıracaktır. Tüm tedarik zinciri satıcılarınızın, üçüncü tarafların ve ortaklarınızın bir listesine sahip olduğunuzdan emin olmak için diğer departmanlarla çapraz işlevli olarak çalışmalısınız. Buradan, bu satıcılardan ve ortaklardan hangisinin sizi en fazla riske maruz bıraktığını belirleyin. Saldırıya uğrarlarsa, kuruluşunuzun müşterilerinize hizmet verme veya hizmet verme yeteneğini etkiler mi? İhlal edilirlerse, bu verilerinizi veya ağınızı açığa çıkarır mı?
Bu satıcıların ne kadar kritik olduğunu anlamak, doğru olay müdahale planını hazırlamanıza yardımcı olacaktır.
Tedarik Zincirinizin Ağ Erişimini ve Entegrasyonlarını Sınırlayın
Birçok bilgisayar korsanı ve tehdit aktörü, üçüncü tarafların zayıf güvenliğinden yararlanarak kuruluşa ulaşmaya çalışır. Ancak, doğru ağ segmentasyonuna sahipseniz, üçüncü taraf ağ erişiminizi sınırlayıp ve yalnızca gerekli verileri işlediklerinden emin olabilirsiniz ve böylelikle bir bilgisayar korsanının kendi ağınıza verebileceği zararı sınırlandırmış olursunuz.
Herhangi Bir Şüpheli Etkinlik İçin Ağınızı İzleyin
Tedarik zinciri ortamınızın tamamında ağ erişimini engelleyemezsiniz, bu nedenle yerinde bir tür izleme olduğundan emin olun. Tedarik zinciri satıcılarınızdan biri düzensiz davranıyorsa ve belki de gereksiz verilere veya ağınızın bölümlerine erişiyor olabilir.
İşle İlgili Kritik Sağlayıcı Tedarikçileriniz için bir Olay Müdahale Planı Hazırlayın
Kritik tedarik zinciri satıcılarınız ve ortaklarınız için en kötü durum senaryosunu planlamanız ve buna göre bir olay müdahale planı hazırlamanız gerekir. Kritik bir tedarikçinin yetersiz kaldığı bir en kötü durum senaryosu hayal edin. Müşterilerinizle nasıl iletişim kuracaksınız? Güvenebileceğiniz başka bir satıcı veya kurum içi çözüm var mı? Daha fazla hasarı önlerken eski faaliyet durumunuza ne kadar çabuk dönebilirsiniz?
Bu senaryoları planlarken, mümkün olan en kısa sürede her zamanki gibi işinize dönmeye öncelik verin, veri hırsızlığını en aza indirin ve olayın duyurulması durumunda bir iletişim stratejinizin olduğundan emin olun. Bu, itibarınızı korurken kendi sistemlerinizi veya ağınızı riske atmadan müşterilerinize hizmet verebilmenizi sağlayacaktır.
İdeal olarak, tedarik zinciri risk yönetimi bütünsel olarak düşünülmeli ve genel bir risk yönetimi çerçevesinin parçası olmalıdır. Bu, riskinizi dahili ve harici olarak yönetmenize ve şirketiniz dahili olarak büyürken ve yeni satıcılardan yararlanırken departmanınıza riskleri ele almanın en iyi yolunu vermenizi sağlar.
Makalenin orijinali: https://www.varonis.com/blog/supply-chain-risk-management/
