Son iki yılda yazılım tedarik zinciri saldırıları hakkında çok şey duyduk ve bunun iyi bir nedeni var. Siber güvenlik ekosistemi ve genel olarak sektör, bu saldırı vektörüyle ilgili uyarılarla dolup taştı ve yüksek profilli saldırılar, devlet düzenlemeleri yetişmeye çalışırken satıcı çözümlerinde keskin bir artışa yol açtı. AppSec ile ilgili olayların popülaritesine rağmen, Enso Security’nin araştırması çoğu kuruluşun bu saldırılara özel bir olay müdahale planına sahip olmadığını göstermiştir. Kızılötesi oyun kitabına sahip diğerleri, genellikle uygulama kanallarına dayalı saldırılar yerine fidye yazılımı gibi altyapıyla ilgili saldırılara yanıt vermeye hazırlanır. Bu saldırıların yaygınlığı göz önüne alındığında, bu gönderi yazılım tedarik zinciri olay müdahalesine odaklanacak ve bir hızlı müdahale taktik kitabının yanı sıra AppSec olay müdahalesini kendi planını hak eden eğilimler ve özellikleri içerecektir.
Dalmadan önce, olaya müdahalenin bir meslek olduğunu ve makul miktarda kaynak ve strateji gerektirdiğini hatırlamak önemlidir. AppSec tehditleri için uygun bir olay müdahale planı tasarlamak bir gecede olmaz ve her bir müdahale planı belirli bir kuruluşa özel olarak uygundur. Bununla birlikte, hızlı ipuçlarımızın kuruluşların güçlü bir başlangıç yapmasına yardımcı olacağını umuyoruz.
Hızlı, AppSec Olay Müdahale Kontrol Listesi
Aşağıda, kötü amaçlı bir paket olayı için temel bir AppSec olay yanıtı kontrol listesi bulunmaktadır. ESLint saldırısıbenim için ilk kez, sürekli tümleştirme (CI) boru hattında potansiyel olarak çalışan kötü amaçlı bir bağımlılığa gerçek zamanlı olarak yanıt vermek zorunda kaldım.
Kötü amaçlı hale gelen genel popüler bir bağımlılık için temel bir olay yanıtı başucu kitabının bir örneğini burada bulabilirsiniz:
1. CI günlüklerini kontrol edin kötü amaçlı paketlerin özel kullanımı için.
2. Varlıkları tanımlayın kötü niyetli kodun erişim kazandığı yer.
3. Güvenliği ihlal edilmiş tüm olası kimlik bilgilerini tanımlayın ve ilgili ortamlardaki tüm kimlik bilgilerini döndürün.
4. İlişkili tüm geliştiricileri tanımlayın kötü amaçlı paketi işleyen, ilgili kimlik bilgilerini döndüren ve güvenliğin veya BT’nin iş istasyonlarında soruşturma başlatmasını sağlayan kişiler.
5. Ar-Ge’yi bilgilendirin kötü amaçlı bir paket şüphesi olduğu ve ilgili anahtarların kısa süre içinde döndürülebileceği.
6. Tüm erişimi denetleyin kuruluş varlıklarına. İhlal edilmiş kimlik bilgileri kullanımını gösteren tüm anormallikleri tanımlayın. İlk olay yanıtının ötesinde bu adıma devam edin.
Bu adımlar atılırken, şirketin üst düzey yönetim ekibi olası bir olaya karşı hem dahili hem de kamuya yönelik bir yanıtı dikkate almalı ve tasarlamalı ve müşteri başarısı, dış ilişkiler, hukuk vb. gibi gerekli departmanları dahil etmelidir.
Neden Özel Bir AppSec Olay Müdahale Başucu Kitabına İhtiyacımız Var?
Saldırı yüzeyi olarak Ar-Ge: Üretim hızı her zamankinden daha hızlı olduğundan, geliştiriciler saldırılar için en büyük büyüyen hareketli hedeflerdir. Güvenlik, yalnızca acil bir durumda değil, güvenlik kontrollerini yerinde tutarak ve Ar-Ge’den ilgili verileri sürekli olarak toplayarak bu saldırı vektörünün önüne geçmelidir. Tedarik zinciri saldırılarının doğası, güvenliğin iş hakkında çok daha derin bir anlayışa sahip olmasını gerektirir ve bir olay sırasında Ar-Ge’ye yük olmadan güvenlik sorunlarını kendi verilerine dayanarak yönetebilecekleri ve değerlendirebilecekleri konusunda liderlik gösterebilmelidirler.
Kitlesel zayiat olayı: Her seferinde tek bir kuruluşu hedef alan geleneksel fidye yazılımı saldırılarının aksine, tedarik zinciri saldırıları genellikle kitlesel kayıplara neden olan olaylardır ve potansiyel olarak binlerce kuruluşu tek bir “vuruşta” etkiler. Standart bir olay müdahale planı, dış danışmaların gerekli olduğu büyük güvenlik olayları için uygun olmayacaktır. Uzmanlar bu tür bir saldırıda onlarca müşteriye yardım etmeye çalışırken bunalacak ve kuruluş gecikmiş bir yanıt riskini göze alamayacak.
AppSec olgunlaşmamış bir disiplindir: AppSec’in önemi, harcamalarda, pazar büyümesinde ve düzenleyici faaliyetlerde mevcut ve beklenen artışlarla açıkça görüldüğü üzere, ancak son zamanlarda kabul edildi. Yazılım tedarik zinciri saldırıları, yalnızca beş yıl önce bu tür bir tehdide öncelik vermedikleri için güvenlik ekiplerinin başa çıkması gereken nispeten yeni bir olgudur. Bugün, güvenlik ekipleri bu zorluklarla her gün karşılaşıyor. Uygulama saldırı yüzeyi genişlemeye devam ettikçe ve küresel olarak iç içe geçtiğinden, mevcut çözümler ve bilgi birikimi hâlâ yetişmeye çalışıyor.
Saldırgan karmaşıklığı (her zaman) gerekli değildir: Saldırganlar, sektörü tedarik zinciri risklerine karşı korumak için yeterli araçların hâlâ endişe verici bir şekilde eksikliği olduğu ve var olan güvenlik araçlarının hâlâ oldukça yeni olduğu gerçeğinden yararlanacak kadar şanslılar. Tedarik zinciri saldırıları son derece kazançlıdır ve küçük bir suç, saldırganlara orantısız miktarda hazine getirir. Bir saldırgan başarılı olursa, bir değil binlerce kuruluştan önemli verilere erişebilir. Savunma tarafında, kuruluşların CI yapılarına ilişkin çok az görünürlüğü vardır ve hatta geliştirici istasyonlarına ilişkin daha az görünürlüğü vardır, bu da bu saldırı yüzeyinin güvenliğini son derece zorlaştırır.
Kötü niyetli aktörler ve AppSec ekipleri arasındaki bu görünüşte dengesiz eşleşmeye rağmen, kendimizi yenilmiş hissetmemeliyiz. Bu tehditler yaygınlaştıkça, güvenlik ekipleri olaya yanıt vermede daha iyi hale geliyor ve satıcılar, güvenlik profesyonellerine daha iyi hizmet vermek için yenilikçi araçlar geliştiriyor. Önceliklerin biraz yeniden düzenlenmesi ve olay müdahale kılavuzunun AppSec niteliğindeki tehditlere daha iyi uyacak şekilde güncellenmesiyle kuruluşlar, yazılım saldırılarının geleceğiyle yüzleşmeye hazır olabilir.
siber-1