Tedarik zinciri saldırısını merkez ve konuşmacı olarak düşünün. Bu bire çok ilişkidir: Birinden taviz verin ve gerisini serbest bırakın. Tedarik zinciri saldırılarının temel çekiciliği bire çoktur. Bu yeni bir fikir değil, ancak son yıllarda yeni gelişmişlik ve sıklık seviyelerine taşındı. Bu büyüme 2022 ve sonrasında da devam edecek.
CrowdStrike CTO'su Mike Sentonas, "Açıkçası, tedarik zincirleri savunmasızdır ve rakipler aktif olarak bundan yararlanmanın yollarını araştırmaktadır. Bu saldırıların sonunu neredeyse görmedik ve her birinin sonuçları hem kurbanlar hem de kurbanların müşterileri ve zincirdeki ortakları için önemli.”
Tedarik zincirleri hem siber suç çeteleri hem de ulus devlet aktörleri için çekici hedeflerdir. İlki için, büyük ölçekli gasp saldırıları için potansiyel sağlarlar (bkz. Cyber Insights 2022: Fidye Yazılımı), ikincisi için casusluk bağlantılı hedeflere kapsamlı erişim sağlayabilirler (bkz. Cyber Insights 2022: Ulus-Devletler). Her ikisi de 2021'de gösterildi.
Ağ yönetim yazılımı firması Kaseya ihlal edildi artık dağıtılan REvil fidye yazılımı çetesi tarafından yönetilen hizmetler müşterilerinin ödün vermesine ve müşterilerinin daha fazla ödün vermesine yol açar.
Kaseya'nın uzaktan izleme ve yönetim paketi Sanal Yönetim Yardımcısı'na (VSA), bir kimlik doğrulama atlama güvenlik açığı aracılığıyla erişildi ve kötü amaçlı yazılımın yazılım indirmeleri yoluyla müşterilere dağıtılmasına izin verildi. Uzlaşmanın keşfedilmesinden birkaç gün sonra Kaseya, 800 ila 1,500 alt müşterinin saldırıdan etkilendiğini duyurdu.
Ulus devlet aktörlerinin büyük bir tedarik zinciri saldırısı, SolarWinds olayı. SolarWinds'deki ilk ihlal 2019'da gerçekleşmesine rağmen, 2020'nin sonlarına kadar açıklanmadı ve ulus devlet aktörlerinin tipik düşük ve yavaş çalışması, tam etkilerin 2021'e kadar bilinmediği veya keşfedilmediği anlamına geliyordu.
SolarWinds failinin, Rus Dış İstihbarat Servisi'ne (FSR) bağlı APT29 (aka Cozy Bear) olduğuna inanılıyor. SolarWinds, güvenliği ihlal edilmiş yazılımlarının indirilmesinden yaklaşık 18,000 müşterinin etkilendiğini bildirdi. Ancak bunlardan saldırganların sadece birkaç yüz kuruluşu (devlet kurumları ve siber güvenlik firmaları dahil) hedef aldığı düşünülüyor.
Bu iki olay, tedarik zinciri saldırılarının cazibesini ve kapsamını ortaya koyuyor ve 2022 ve sonrasında daha fazlasını göreceğimizi gösteriyor.
Pandemi kesintisi tedarik zinciri saldırılarına yol açacak
Covid-19 pandemisinin küresel etkisi, 2022 boyunca tedarik zinciri saldırılarında kendini gösterecek. İlk başta uzaktan çalışmaya ve daha sonra hibrit ofis/ev çalışmasına geçiş, tüm kuruluşlar için saldırı yüzeyini genişletti. Daha büyük şirketler bununla başa çıkmak için kaynaklara sahiptir - örneğin şirkete ait ve kontrol edilen cihazların genel tedariki ile.
Daha küçük şirketler genellikle bunu yapamaz veya yapmaz. Sonuç olarak daha küçük şirketler, uzaktan çalışanlar yoluyla uzlaşmaya karşı orantısız olarak daha büyük bir risk altındadır - ancak daha küçük şirketler genellikle daha büyük şirketlerin tedarik zincirinin bir parçasıdır. Semperis'in baş teknoloji uzmanı Guido Grillenmeier, "Siber suçlular", "güçlü siber savunmaları olmayan, tedarik zincirinin yukarısındaki daha küçük veya daha yeni bir şirkete saldırarak bir organizasyona girmenin kolay yollarını bulmaya devam edecek" diye uyarıyor. Yeni yılda daha fazla tedarik zinciri saldırısı göreceğimize şüphe yok.”
Telos'ta bir güvenlik mühendisi olan Ryan Sydlik, 2022 için hem neden hem de sonuç konusunda benzer bir görüşe sahip. "Covid-19 ve daha spesifik olarak onun sonrası," dedi, "tedarik zincirlerini etkiliyor. Virüsten kurtulma küresel olarak eşit değil ve bu da ülkeler arasında dengesiz arz ve taleple sonuçlanıyor. Tedarik zincirine yönelik siber saldırıların zaten yedeklenmiş bir durumu almasını ve zaten stresli olan tedarik zincirlerinde durumu daha da kötüleştirmesini bekleyin.”
Grillenmeier gibi, daha az iyi korunan küçük firmanın kilit bir giriş noktası olmasını bekliyor. "Küresel ticarete dahil olan büyük şirketlere ek olarak, 2022'de tedarik zincirindeki küçük ve orta ölçekli oyuncular hedeflenecek, çünkü rakipler bu varlıkların en savunmasız tıkanma noktaları olduğunu ve daha az sağlam güvenliğe sahip olduğunu kabul edecek. Doğru yerde ve zamanda iyi hedeflenmiş bir kesinti, tüm endüstrileri bozabilir.”
Daha spesifik olarak, LogRhythm Labs CSO'su ve Başkan Yardımcısı James Carder, Covid-19 aşı üreticilerinin hedef alınacağına inanıyor. “2022'de siber suçlular, COVID-19 aşısını üreten ilaç şirketlerinden birine karşı fidye yazılımı saldırısı gerçekleştirmeye odaklanacaklar. Bu, kritik destekleyici atışların üretimini kesintiye uğratacak ve hayat kurtaran diğer birçok ilacın hastalara ulaşmasını önleyecektir. Ortaya çıkan serpinti, yabancı ve yerli aşı dezenformasyon kampanyalarının alevini körükleyecektir.” İlaç tedarik zinciri, aşı üreticisinden taviz vermenin başlıca hedefidir.
Mevcut küresel çip sıkıntısı da kısmen pandemi tarafından destekleniyor. Uzaktan çalışma ve uzaktan öğrenmedeki artış, çip kullanan tüketici elektroniğine yoğun bir talep yarattı. Aynı zamanda, çip üretimi çeşitli kilitlenmelerden zarar gördü - talep, arzı büyük ölçüde aştı. Bunun 2022 boyunca devam etmesi bekleniyor.
Carder, suçluların durumdan yararlanmak için tedarik zincirini kullanmasını bekliyor. "Yarı iletken yongalar üreten lider bir ülke, tedarik zincirini tehlikeye atacak ve bu da kritik malzeme kıtlığına neden olacak" diyor.
“Ülkeler üretimi artırmaya çalıştıkça” diye devam etti, “bir ülke önde gelen çip üreten ülkelerin üretim ve arzına erişmek için hileli yöntemler kullanarak pazarı ele geçirmeye çalışırken yakalanacak. Bu, kritik arz kıtlığına ve temel mal fiyatlarının yükselmesine neden olacak.”
Yazılım tedarik zinciri
Yazılım, 2022 ve sonrasında birincil tedarik zinciri hedefi olmaya devam edecek. Bilgisayar korsanları tarafından şimdiye kadar kullanılan en yaygın yaklaşım, bir yazılım uygulama sağlayıcısını ihlal etmek ve müşteriler tarafından indirilen uygulama kodunu değiştirmektir (hem SolarWinds hem de Kaseya'da olduğu gibi).
Bununla birlikte, 2021'deki üçüncü tedarik zinciri saldırısı, bize gelecekteki olası tedarik zinciri saldırılarına dair bir fikir veriyor - bu sefer uygulama sağlayıcıları yerine açık kaynaklı yazılımlara (OSS) karşı. CyberArk Labs araştırma başkanı Lavi Lazarovitz, “Dijital ekonomimiz açık kaynaklı yazılım (OSS) üzerinde çalışıyor” diye açıklıyor. “Esnek, ölçeklenebilir ve yeni yenilikleri tetiklemek için toplu topluluk gücünden yararlanıyor. Ancak sayısız 'açık' ve 'ücretsiz' OSS kütüphanesi, aynı zamanda önemli ölçüde genişletilmiş bir saldırı yüzeyi ve tehdit aktörlerinin çabalarını otomatikleştirmesi, tespitten kaçınması ve daha fazla zarar vermesi için bir yol anlamına geliyor.”
31 Ocak 2021'den itibaren kötü niyetli aktörler şunlara erişebildi ve şunları yapabildi: Codecov'un Bash Yükleyicisinin kodunu değiştirin. Sürekli entegrasyon (CI), Bash Uploader kullanıcılarının güvenliği ihlal edilmiş kodu otomatik olarak kullanması ve nihayetinde saldırganın dünya çapındaki şirketlerden jetonları, anahtarları ve kimlik bilgilerini çalmasına izin vermesi anlamına geliyordu.
OSS genellikle kullanıcı tarafından denetlenmez ve CI sadece kabul edildiği ve kullanıldığı anlamına gelir. Lazarovitz, "Saldırganlar, bu son derece kaçamak sızma yöntemini kullanarak, bir tedarik zincirindeki binlerce kuruluşa aynı anda ulaşmak için kimlik bilgilerini hedefleyebilir ve çalabilir" diye ekledi.
OSS, saldırganlar için büyük bir hedeftir. OSS yazılım kitaplıkları, sayısız şirkette sayısız geliştirici tarafından, genellikle çok az gözetimle kullanılmaktadır. OSS'nin kaynağı tehlikeye girebilirse, OSS kitaplığını kullanan herhangi bir uygulamada güvenlik açıkları ortaya çıkabilir.
Lazarovitz, "Önümüzdeki 12 ay içinde saldırganlar açık kaynak kitaplıklarından ödün vermek için yeni yollar aramaya devam edecekler" diye devam ediyor. “Saldırganların, paketlerin adlarında küçük değişiklikler içeren kod paketleri oluşturarak yazım hatası benzeri saldırılar gerçekleştirdiğini gördük ('atlas_client' yerine 'atlas-client' gibi). Bunlar aslında bir arka kapı veya kimlik bilgisi çalma işlevi uygulayan veya indiren orijinal paketlerin truva atlı sürümleriydi. Başka bir durumda, bir NPM paketi, bir geliştiricinin kimlik bilgileri tehlikeye atıldıktan sonra kripto madenciliği komut dosyası ve kimlik bilgisi hırsızlığı kötü amaçlı yazılımını çalıştırmak için truva atı geçirildi.”
NPM saldırısı, gelecekte beklenebileceklerin tipik bir örneğidir. Ekim 2021'de GitHub, üç sürümünün 'ua-ayrıştırıcı-js' taviz verilmişti. Haftada 8 milyon indirme gibi popüler bir paket. GitHub, "Bu paketin kurulu olduğu veya çalıştığı herhangi bir bilgisayarın güvenliği tamamen ihlal edilmiş olarak kabul edilmelidir" diye uyardı. "O bilgisayarda saklanan tüm sırlar ve anahtarlar, hemen farklı bir bilgisayardan döndürülmelidir."
Bulut ayrıca tedarik zinciri saldırıları için doğal bir hedeftir. Doğası gereği, temelde birden çoğa bir yapıdır ve bu tek başına onu siber suçlular için çekici kılar. Swimlane'deki güvenlik çözümleri mimarı Josh Rickard, 2022'de "Büyük ölçekli bir yazılım tedarik zinciri saldırısı büyük bir bulut bilişim hizmetini çökertecek" diye uyarıyor.
"Kurumlar teknoloji yığınlarına daha fazla üçüncü taraf SaaS ve IaaS sağlayıcısı ekledikçe," diye açıklıyor, "siber saldırıların merkezi bulut hizmetleri üzerindeki etkisi daha geniş bir etkiye sahip olacak. 2022'de siber suçluların özel verileri benzeri görülmemiş bir ölçekte sömürmek için yanlış yapılandırılmış SaaS API'lerinden yararlandığını göreceğiz. Bu, büyük bir çekirdek yazılım kodu dağıtımının tehlikeye girmesine ve dünya çapında binlerce kuruluşu etkilemesine yol açacaktır.”
Gelecekte tedarik zinciri saldırıları
Birden çoğa ilişki sağlayan herhangi bir topografya, 2022'de tedarik zinciri saldırıları için potansiyel bir hedef olarak düşünülmelidir. Uzun yıllar boyunca meydana gelmiş olsalar da, 2021 hem nicelik hem de karmaşıklık açısından çarpıcı bir artış göstermiştir ve onlardan bunu bekleyebiliriz. 2022'de daha da artacak.
Lacework'te bulut güvenliği araştırmacısı Chris Hall, "Tedarik zinciri saldırıları diğerleri kadar sık değil, ancak katlanarak daha fazla zarar verme potansiyeline sahip" diye uyarıyor. “Bu, 2020 SolarWinds hack'inde ve 2021'in Codecov ve NPM proje saldırılarında kanıtlandı. Başarılı bir tedarik zinciri uzlaşmasının sağladığı 'bire çok' fırsatı, onu çekici bir seçenek ve saldırganların zamanına ve kaynaklarına layık hale getirir. Bu nedenle, 2022'nin yazılım tedarik zincirlerine hem suç hem de ulus devlet aktörleri tarafından daha fazla saldırı göreceğine inanıyoruz."
Bilinmeyen miktar, yazılım malzeme listesi (SBOM) Biden'ın 12 Mayıs 2021 tarihli Ulusun Siber Güvenliğini Geliştirmeye ilişkin yönetici kararnamesinde görevlendirilmiştir. Teoride, herhangi bir uygulamanın ayrı yazılım bileşenlerine ayrıntılı bir görünürlük sağlayacaktır; ve bu potansiyel olarak yazılımı daha güvenli hale getirebilir. Ancak bunun suçluların tedarik zincirindeki kesintilerini bozmaya yeterli olup olmayacağını yalnızca zaman gösterecek.
SecurityWeek Cyber Insights 2022 Hakkında
Cyber Insights 2022, yeni yıl ve ötesinde tehditlerin potansiyel gelişimini inceleyen bir dizi makaledir. Altı birincil tehdit alanı tartışılıyor:
• Ulus-devlet saldırıları (Yayın 01/20/22)
• Kimlik (Yayın 01/24/22)
• Suç Gelişmişliğini Geliştirmek (Yayın 01/26/22)
Denekler ayrılmış olsa da, saldırılar nadiren izole olarak gerçekleşecektir. Ulus devlet ve tedarik zinciri saldırıları, tedarik zinciri ve fidye yazılımı gibi sıklıkla bağlantılı olacaktır. Düşman AI muhtemelen öncelikle kimliğe yönelik saldırılarda görülecektir; en azından kısa vadede. Ve her şeyin altında siber suçluların artan karmaşıklığı ve profesyonelliği yatmaktadır.
SecurityWeek onlarca güvenlik uzmanıyla konuştu ve dizi için yüze yakın öneri aldı.
Kevin Townsend, SecurityWeek'te Kıdemli Katılımcıdır. Microsoft'un doğuşundan bu yana yüksek teknoloji sorunları hakkında yazıyor. Son 15 yıldır bilgi güvenliği konusunda uzmanlaşmış; The Times ve Financial Times'tan güncel ve uzun zaman önce çıkmış bilgisayar dergilerine kadar düzinelerce farklı dergide binlerce makalesi yayınlandı.
Etiketler: Kaynak: https://www.securityweek.com/cyber-insights-2022-supply-chain
