TR-TR 
EN-US 
Avrupa Birliği Siber Güvenlik Ajansı (“ENISA”), 29 Temmuz 2021 tarihinde, tedarik zinciri güvenlik saldırılarına ilişkin tavsiyeleri içeren Tedarik Zinciri Saldırıları için Tehdit Ortamı Raporu’nu (“Rapor”) yayımlamıştır. Bu Rapor ile ENISA’nın, Ocak 2020 tarihinden Temmuz 2021'in başlarına kadar keşfedilen tedarik zinciri saldırılarını eşleştirmeyi ve incelemeyi amaçladığı belirtilmiştir. Bu kapsamda Rapor, tedarik zinciri saldırılarını karakterize etmek ve sonraki analizlerini yapılandırmak için bir sınıflandırma önermektedir.
Öncelikle Rapor, tedarik zincirini, nihai bir çözüm veya ürünün yaratılması ve tesliminde yer alan süreçlerin, insanların, kuruluşların ve distribütörlerin ekosistemi olarak tanımlamıştır. Bununla birlikte Rapor ile ENISA, siber güvenlikte tedarik zincirinin, çok çeşitli kaynakları (donanım ve yazılım), depolamayı (bulut veya yerel), dağıtım mekanizmalarını (web uygulamaları, çevrimiçi mağazalar) ve yönetim yazılımını içerdiğini belirtmiştir. Ek olarak, ENISA tarafından Rapor’da, tedarik zincirinin dört temel unsuru, tedarikçi, tedarikçi varlıkları, müşteri ve müşteri varlıkları olarak açıklanmıştır. Bahsi geçen varlıkların ise, insanlar, yazılımlar, belgeler, finans, donanım veya diğerleri olabileceği belirtilmiştir.
Rapor’da, bu tanımlamaların ardından tedarik zinciri saldırısı ise, en az iki saldırının birleşimi olarak tanımlanmıştır. Rapor içeriğinde ilk saldırının, daha sonra varlıklarına erişmek amacıyla hedefe saldırmak için kullanılan bir tedarikçiye yapılacağı açıklanmakla birlikte hedefin, nihai müşteri veya başka bir tedarikçi olabileceği de belirtilmiştir. ENISA tarafından yapılan bu açıklamalara göre Rapor’da, saldırının tedarik zinciri saldırısı olarak sınıflandırılabilmesi için hem tedarikçinin hem de müşterinin hedef olması gerektiği vurgulanmıştır.
Ek olarak ENISA, bir tedarik zincirinin dört temel unsurunun yanı sıra saldırganlar tarafından kullanılan teknikleri de dikkate almıştır. Rapor’da, kuruluşların tedarik zinciri saldırısının çeşitli kısımlarını anlamalarına, bunları diğer benzer siber saldırılarla karşılaştırmalarına ve daha da önemlisi olayları tedarik zinciri saldırıları olarak tanımlamalarına yardımcı olabilecek bir sınıflandırma şablonu paylaşılmıştır.
Tedarik zinciri saldırıları için önerilen şablon sınıflandırma: (i) Tedarikçiye uygulanan saldırı teknikleri, (ii) Tedarikçinin saldırıya uğrayan varlıkları, (iii) Müşteriye uygulanan saldırı teknikleri ve (iv) Müşterinin saldırıya uğrayan varlıkları olmak üzere dört bölümden oluşmaktadır.
Bununla birlikte Rapor’da, saldırı için ne kullanıldığına değil, saldırının nasıl gerçekleştiğine atıfta bulunan ve en yaygın kullanılan saldırı tekniklerine dikkat çekilmiştir.
Bu kapsamda ENISA tarafından, herhangi bir saldırıda birden fazla tekniğin kullanılmış olabileceği ve bazı durumlarda kuruluşların, saldırganların altyapılarına nasıl eriştiğine dair bilgiye sahip olmayabileceği veya bu bilgilerin ifşa edilmediği veya gerektiği gibi bildirilmemiş olabileceği de belirtilmiştir. Rapor’da saldırı teknikleri: (i) Çalışanlardan kimlik bilgilerini çalmak için kullanılan casus yazılımlar gibi Kötü Amaçlı Yazılım Enfeksiyonu, (ii) Kimlik avı, sahte uygulamalar, URL korsanlığı, Wi-Fi taklit etme, tedarikçiyi bir şeyler yapmaya ikna etme gibi Sosyal Mühendislik, (iii) Bir SSH şifresini tahmin etmek ya da bir web girişini tahmin etmek gibi Kaba Kuvvet Saldırısı, (iv) Bir uygulamada SQL enjeksiyonu veya arabellek aşımı istismarı gibi Yazılım Güvenlik Açığını Kullanmak, (v) Bir yapılandırma problemi gibi Yapılandırma Güvenlik Açığından Yararlanmak, (vi) Donanımı değiştirme, fiziksel izinsiz giriş gibi Fiziksel Saldırı veya Değişiklik, (vii) Kimlik bilgileri, uygulama programlama ara yüzü anahtarları, kullanıcı adları için çevrimiçi arama yapılması gibi Açık Kaynak İstihbaratı (OSINT), ve (viii) USB'nin kötü amaçlarla taklit edilmesi gibi faaliyetlere yer verilmiştir.
ENISA bir veya daha fazla tedarikçiye yönelik bir saldırı ile daha sonra nihai hedef olan müşteriye yönelik bir saldırıdan oluşan tedarik zinciri saldırılarının başarılı olmasının aylar alabileceğini belirtmekle birlikte çoğu durumda, böyle bir saldırının uzun süre fark edilmeyebileceğine de dikkat çekmiştir. ENISA ayrıca Gelişmiş Sürekli Tehdit (APT) saldırılarına benzer şekilde, genellikle hedeflenen tedarik zinciri saldırılarının oldukça karmaşık ve maliyetli olmakla birlikte saldırganların bunları önceden iyi planlamış olma ihtimalinin yüksek olduğunu belirtmiştir.
ENISA tarafından, özellikle, sistemlerin kapalı kalma süresi, parasal kayıp ve itibar kaybı gibi bu saldırıların artan etkisinin kanıtladığı gibi, saldırganların dikkatlerini tedarikçilere kaydırdığında, kuruluşlar için güçlü güvenlik korumasının artık yeterli olmadığı belirtilmiştir. Ayrıca Rapor’da, bu tür saldırıların artan karmaşıklığı ve yaygınlığı nedeniyle, bir kuruluşun kendi savunması oldukça iyi olsa bile bir tedarik zinciri saldırısına karşı savunmasız olabileceği vurgulanmıştır.
Buna ek olarak ENISA, analiz edilen tedarik zinciri olaylarının yaklaşık %58'inin hedeflenen müşteri varlıklarının, Kişisel Olarak Tanımlanabilir Bilgiler (PII) verileri ve fikri mülkiyet dahil olmak üzere ağırlıklı olarak müşteri verileri olduğunu açıklamıştır. Bununla birlikte Rapor’da ENISA, analiz edilen tedarik zinciri saldırılarının %66'sında tedarikçilerin saldırıların nasıl gerçekleştiğini bilmediğini veya rapor edemediğini, ancak tedarik zinciri saldırıları yoluyla tehlikeye giren müşterilerin %9'undan daha azının, saldırıların nasıl yapıldığını bilmediğini belirtmekle birlikte, tedarikçiler ve son kullanıcılar arasındaki siber güvenlik olayı raporlamasında olgunluk açısından aradaki farkın altını çizmiştir. Ayrıca ENISA, tedarik zinciri saldırılarının 2021 yılında 2020 yılına göre dört kat artmasının beklendiğini öngörmüş ve politikacılar ve siber güvenlik topluluğunun hemen harekete geçmesi gerektiğine dikkat çekmiştir.
ENISA, müşteriler için de aşağıdaki tavsiyelerde bulunmuştur:
-Tedarikçi ve hizmet sağlayıcıların belirlenmesi ve belgelendirilmesi;
-Tedarikçi ve müşteri bağımlılıkları, kritik yazılım bağımlılıkları, tek hata noktaları gibi farklı tedarikçi ve hizmet türleri için risk kriterlerinin belirlenmesi;
-Tedarik zinciri risklerinin ve tehditlerinin izlenmesi;
-Ömrünü tamamlamış ürünleri veya bileşenleri işlemeye yönelik prosedürler de dahil olmak üzere, bir ürün veya hizmetin tüm yaşam döngüsü boyunca tedarikçileri yönetmek; ve
-Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilir olan varlıkların ve bilgilerin sınıflandırılması ve bunlara erişim ve bunların ele alınması için ilgili prosedürlerin tanımlanması.
Son olarak ENISA, tedarikçiler için de tavsiyelerde bulunmuştur:
-Ürünleri, bileşenleri ve hizmetleri tasarlamak, geliştirmek, üretmek ve teslim etmek için kullanılan altyapının siber güvenlik uygulamalarına uygun olmasını sağlamak;
-Yaygın olarak kabul edilen ürün geliştirme süreçleriyle tutarlı bir ürün geliştirme, bakım ve destek süreci uygulamak;
-Kullanılan üçüncü taraf bileşenleri içeren dahili ve harici kaynaklar tarafından bildirilen güvenlik açıklarının izlenmesi; ve
-Yamayla ilgili bilgileri içeren varlıkların envanterini tutmak.
Şafak Herdem, Esra Temur
