Avrupa Birli\u011fi Siber Güvenlik Ajans\u0131 (“ENISA”), 29 Temmuz 2021 tarihinde, tedarik zinciri güvenlik sald\u0131r\u0131lar\u0131na ili\u015fkin tavsiyeleri içeren Tedarik Zinciri Sald\u0131r\u0131lar\u0131 için Tehdit Ortam\u0131 Raporu’nu (“Rapor”) yay\u0131mlam\u0131\u015ft\u0131r. Bu Rapor ile ENISA’n\u0131n, Ocak 2020 tarihinden Temmuz 2021'in ba\u015flar\u0131na kadar ke\u015ffedilen tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131 e\u015fle\u015ftirmeyi ve incelemeyi amaçlad\u0131\u011f\u0131 belirtilmi\u015ftir. Bu kapsamda Rapor, tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131 karakterize etmek ve sonraki analizlerini yap\u0131land\u0131rmak için bir s\u0131n\u0131fland\u0131rma önermektedir.<\/p>\n
Öncelikle Rapor, tedarik zincirini, nihai bir çözüm veya ürünün yarat\u0131lmas\u0131 ve tesliminde yer alan süreçlerin, insanlar\u0131n, kurulu\u015flar\u0131n ve distribütörlerin ekosistemi olarak tan\u0131mlam\u0131\u015ft\u0131r. Bununla birlikte Rapor ile ENISA, siber güvenlikte tedarik zincirinin, çok çe\u015fitli kaynaklar\u0131 (donan\u0131m ve yaz\u0131l\u0131m), depolamay\u0131 (bulut veya yerel), da\u011f\u0131t\u0131m mekanizmalar\u0131n\u0131 (web uygulamalar\u0131, çevrimiçi ma\u011fazalar) ve yönetim yaz\u0131l\u0131m\u0131n\u0131 içerdi\u011fini belirtmi\u015ftir. Ek olarak, ENISA taraf\u0131ndan Rapor’da, tedarik zincirinin dört temel unsuru, tedarikçi, tedarikçi varl\u0131klar\u0131, mü\u015fteri ve mü\u015fteri varl\u0131klar\u0131 olarak aç\u0131klanm\u0131\u015ft\u0131r. Bahsi geçen varl\u0131klar\u0131n ise, insanlar, yaz\u0131l\u0131mlar, belgeler, finans, donan\u0131m veya di\u011ferleri olabilece\u011fi belirtilmi\u015ftir.<\/p>\n
Rapor’da, bu tan\u0131mlamalar\u0131n ard\u0131ndan tedarik zinciri sald\u0131r\u0131s\u0131 ise, en az iki sald\u0131r\u0131n\u0131n birle\u015fimi olarak tan\u0131mlanm\u0131\u015ft\u0131r. Rapor içeri\u011finde ilk sald\u0131r\u0131n\u0131n, daha sonra varl\u0131klar\u0131na eri\u015fmek amac\u0131yla hedefe sald\u0131rmak için kullan\u0131lan bir tedarikçiye yap\u0131laca\u011f\u0131 aç\u0131klanmakla birlikte hedefin, nihai mü\u015fteri veya ba\u015fka bir tedarikçi olabilece\u011fi de belirtilmi\u015ftir. ENISA taraf\u0131ndan yap\u0131lan bu aç\u0131klamalara göre Rapor’da, sald\u0131r\u0131n\u0131n tedarik zinciri sald\u0131r\u0131s\u0131 olarak s\u0131n\u0131fland\u0131r\u0131labilmesi için hem tedarikçinin hem de mü\u015fterinin hedef olmas\u0131 gerekti\u011fi vurgulanm\u0131\u015ft\u0131r.<\/p>\n
Ek olarak ENISA, bir tedarik zincirinin dört temel unsurunun yan\u0131 s\u0131ra sald\u0131rganlar taraf\u0131ndan kullan\u0131lan teknikleri de dikkate alm\u0131\u015ft\u0131r. Rapor’da, kurulu\u015flar\u0131n tedarik zinciri sald\u0131r\u0131s\u0131n\u0131n çe\u015fitli k\u0131s\u0131mlar\u0131n\u0131 anlamalar\u0131na, bunlar\u0131 di\u011fer benzer siber sald\u0131r\u0131larla kar\u015f\u0131la\u015ft\u0131rmalar\u0131na ve daha da önemlisi olaylar\u0131 tedarik zinciri sald\u0131r\u0131lar\u0131 olarak tan\u0131mlamalar\u0131na yard\u0131mc\u0131 olabilecek bir s\u0131n\u0131fland\u0131rma \u015fablonu payla\u015f\u0131lm\u0131\u015ft\u0131r.<\/p>\n
Tedarik zinciri sald\u0131r\u0131lar\u0131 için önerilen \u015fablon s\u0131n\u0131fland\u0131rma: (i)<\/strong> Tedarikçiye uygulanan sald\u0131r\u0131 teknikleri, (ii)<\/strong> Tedarikçinin sald\u0131r\u0131ya u\u011frayan varl\u0131klar\u0131, (iii)<\/strong> Mü\u015fteriye uygulanan sald\u0131r\u0131 teknikleri ve (iv)<\/strong> Mü\u015fterinin sald\u0131r\u0131ya u\u011frayan varl\u0131klar\u0131 olmak üzere dört bölümden olu\u015fmaktad\u0131r.<\/p>\n Bununla birlikte Rapor’da, sald\u0131r\u0131 için ne kullan\u0131ld\u0131\u011f\u0131na de\u011fil, sald\u0131r\u0131n\u0131n nas\u0131l gerçekle\u015fti\u011fine at\u0131fta bulunan ve en yayg\u0131n kullan\u0131lan sald\u0131r\u0131 tekniklerine dikkat çekilmi\u015ftir.<\/p>\n Bu kapsamda ENISA taraf\u0131ndan, herhangi bir sald\u0131r\u0131da birden fazla tekni\u011fin kullan\u0131lm\u0131\u015f olabilece\u011fi ve baz\u0131 durumlarda kurulu\u015flar\u0131n, sald\u0131rganlar\u0131n altyap\u0131lar\u0131na nas\u0131l eri\u015fti\u011fine dair bilgiye sahip olmayabilece\u011fi veya bu bilgilerin if\u015fa edilmedi\u011fi veya gerekti\u011fi gibi bildirilmemi\u015f olabilece\u011fi de belirtilmi\u015ftir. Rapor’da sald\u0131r\u0131 teknikleri: (i)<\/strong> Çal\u0131\u015fanlardan kimlik bilgilerini çalmak için kullan\u0131lan casus yaz\u0131l\u0131mlar gibi Kötü Amaçl\u0131 Yaz\u0131l\u0131m Enfeksiyonu, (ii) <\/strong>Kimlik av\u0131, sahte uygulamalar, URL korsanl\u0131\u011f\u0131, Wi-Fi taklit etme, tedarikçiyi bir \u015feyler yapmaya ikna etme gibi Sosyal Mühendislik, (iii)<\/strong> Bir SSH \u015fifresini tahmin etmek ya da bir web giri\u015fini tahmin etmek gibi Kaba Kuvvet Sald\u0131r\u0131s\u0131, (iv) <\/strong>Bir uygulamada SQL enjeksiyonu veya arabellek a\u015f\u0131m\u0131 istismar\u0131 gibi Yaz\u0131l\u0131m Güvenlik Aç\u0131\u011f\u0131n\u0131 Kullanmak, (v)<\/strong> Bir yap\u0131land\u0131rma problemi gibi Yap\u0131land\u0131rma Güvenlik Aç\u0131\u011f\u0131ndan Yararlanmak, (vi)<\/strong> Donan\u0131m\u0131 de\u011fi\u015ftirme, fiziksel izinsiz giri\u015f gibi Fiziksel Sald\u0131r\u0131 veya De\u011fi\u015fiklik, (vii)<\/strong> Kimlik bilgileri, uygulama programlama ara yüzü anahtarlar\u0131, kullan\u0131c\u0131 adlar\u0131 için çevrimiçi arama yap\u0131lmas\u0131 gibi Aç\u0131k Kaynak \u0130stihbarat\u0131 (OSINT), ve (viii) <\/strong>USB'nin kötü amaçlarla taklit edilmesi gibi faaliyetlere yer verilmi\u015ftir.<\/p>\n ENISA bir veya daha fazla tedarikçiye yönelik bir sald\u0131r\u0131 ile daha sonra nihai hedef olan mü\u015fteriye yönelik bir sald\u0131r\u0131dan olu\u015fan tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131n ba\u015far\u0131l\u0131 olmas\u0131n\u0131n aylar alabilece\u011fini belirtmekle birlikte ço\u011fu durumda, böyle bir sald\u0131r\u0131n\u0131n uzun süre fark edilmeyebilece\u011fine de dikkat çekmi\u015ftir. ENISA ayr\u0131ca Geli\u015fmi\u015f Sürekli Tehdit (APT) sald\u0131r\u0131lar\u0131na benzer \u015fekilde, genellikle hedeflenen tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131n oldukça karma\u015f\u0131k ve maliyetli olmakla birlikte sald\u0131rganlar\u0131n bunlar\u0131 önceden iyi planlam\u0131\u015f olma ihtimalinin yüksek oldu\u011funu belirtmi\u015ftir.<\/p>\n ENISA taraf\u0131ndan, özellikle, sistemlerin kapal\u0131 kalma süresi, parasal kay\u0131p ve itibar kayb\u0131 gibi bu sald\u0131r\u0131lar\u0131n artan etkisinin kan\u0131tlad\u0131\u011f\u0131 gibi, sald\u0131rganlar\u0131n dikkatlerini tedarikçilere kayd\u0131rd\u0131\u011f\u0131nda, kurulu\u015flar için güçlü güvenlik korumas\u0131n\u0131n art\u0131k yeterli olmad\u0131\u011f\u0131 belirtilmi\u015ftir. Ayr\u0131ca Rapor’da, bu tür sald\u0131r\u0131lar\u0131n artan karma\u015f\u0131kl\u0131\u011f\u0131 ve yayg\u0131nl\u0131\u011f\u0131 nedeniyle, bir kurulu\u015fun kendi savunmas\u0131 oldukça iyi olsa bile bir tedarik zinciri sald\u0131r\u0131s\u0131na kar\u015f\u0131 savunmas\u0131z olabilece\u011fi vurgulanm\u0131\u015ft\u0131r.<\/p>\n Buna ek olarak ENISA, analiz edilen tedarik zinciri olaylar\u0131n\u0131n yakla\u015f\u0131k %58'inin hedeflenen mü\u015fteri varl\u0131klar\u0131n\u0131n, Ki\u015fisel Olarak Tan\u0131mlanabilir Bilgiler (PII) verileri ve fikri mülkiyet dahil olmak üzere a\u011f\u0131rl\u0131kl\u0131 olarak mü\u015fteri verileri oldu\u011funu aç\u0131klam\u0131\u015ft\u0131r. Bununla birlikte Rapor’da ENISA, analiz edilen tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131n %66's\u0131nda tedarikçilerin sald\u0131r\u0131lar\u0131n nas\u0131l gerçekle\u015fti\u011fini bilmedi\u011fini veya rapor edemedi\u011fini, ancak tedarik zinciri sald\u0131r\u0131lar\u0131 yoluyla tehlikeye giren mü\u015fterilerin %9'undan daha az\u0131n\u0131n, sald\u0131r\u0131lar\u0131n nas\u0131l yap\u0131ld\u0131\u011f\u0131n\u0131 bilmedi\u011fini belirtmekle birlikte, tedarikçiler ve son kullan\u0131c\u0131lar aras\u0131ndaki siber güvenlik olay\u0131 raporlamas\u0131nda olgunluk aç\u0131s\u0131ndan aradaki fark\u0131n alt\u0131n\u0131 çizmi\u015ftir. Ayr\u0131ca ENISA, tedarik zinciri sald\u0131r\u0131lar\u0131n\u0131n 2021 y\u0131l\u0131nda 2020 y\u0131l\u0131na göre dört kat artmas\u0131n\u0131n beklendi\u011fini öngörmü\u015f ve politikac\u0131lar ve siber güvenlik toplulu\u011funun hemen harekete geçmesi gerekti\u011fine dikkat çekmi\u015ftir.<\/p>\n ENISA, mü\u015fteriler için de a\u015fa\u011f\u0131daki tavsiyelerde bulunmu\u015ftur:<\/p>\n -Tedarikçi ve hizmet sa\u011flay\u0131c\u0131lar\u0131n belirlenmesi ve belgelendirilmesi;<\/p>\n -Tedarikçi ve mü\u015fteri ba\u011f\u0131ml\u0131l\u0131klar\u0131, kritik yaz\u0131l\u0131m ba\u011f\u0131ml\u0131l\u0131klar\u0131, tek hata noktalar\u0131 gibi farkl\u0131 tedarikçi ve hizmet türleri için risk kriterlerinin belirlenmesi;<\/p>\n -Tedarik zinciri risklerinin ve tehditlerinin izlenmesi;<\/p>\n -Ömrünü tamamlam\u0131\u015f ürünleri veya bile\u015fenleri i\u015flemeye yönelik prosedürler de dahil olmak üzere, bir ürün veya hizmetin tüm ya\u015fam döngüsü boyunca tedarikçileri yönetmek; ve<\/p>\n -Tedarikçilerle payla\u015f\u0131lan veya tedarikçiler taraf\u0131ndan eri\u015filebilir olan varl\u0131klar\u0131n ve bilgilerin s\u0131n\u0131fland\u0131r\u0131lmas\u0131 ve bunlara eri\u015fim ve bunlar\u0131n ele al\u0131nmas\u0131 için ilgili prosedürlerin tan\u0131mlanmas\u0131.<\/p>\n Son olarak ENISA, tedarikçiler için de tavsiyelerde bulunmu\u015ftur:<\/p>\n -Ürünleri, bile\u015fenleri ve hizmetleri tasarlamak, geli\u015ftirmek, üretmek ve teslim etmek için kullan\u0131lan altyap\u0131n\u0131n siber güvenlik uygulamalar\u0131na uygun olmas\u0131n\u0131 sa\u011flamak;<\/p>\n -Yayg\u0131n olarak kabul edilen ürün geli\u015ftirme süreçleriyle tutarl\u0131 bir ürün geli\u015ftirme, bak\u0131m ve destek süreci uygulamak;<\/p>\n -Kullan\u0131lan üçüncü taraf bile\u015fenleri içeren dahili ve harici kaynaklar taraf\u0131ndan bildirilen güvenlik aç\u0131klar\u0131n\u0131n izlenmesi; ve<\/p>\n -Yamayla ilgili bilgileri içeren varl\u0131klar\u0131n envanterini tutmak.<\/p>\n \u015eafak Herdem, Esra Temur<\/p>","protected":false},"excerpt":{"rendered":" Avrupa Birli\u011fi Siber Güvenlik Ajans\u0131 (“ENISA”), 29 Temmuz 2021 tarihinde, tedarik zinciri güvenlik sald\u0131r\u0131lar\u0131na ili\u015fkin tavsiyeleri içeren Tedarik Zinciri Sald\u0131r\u0131lar\u0131 … Read more<\/a><\/p>","protected":false},"author":1,"featured_media":7410,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":["post-1336","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uluslararasi-ticaret","masonry-post","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/posts\/1336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/comments?post=1336"}],"version-history":[{"count":1,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/posts\/1336\/revisions"}],"predecessor-version":[{"id":7422,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/posts\/1336\/revisions\/7422"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/media\/7410"}],"wp:attachment":[{"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/media?parent=1336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/categories?post=1336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/herdemlaw.com\/tr-tr\/wp-json\/wp\/v2\/tags?post=1336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}