Get a Break from the Chaos of RSA and Meet with Forcepoint at the St. Regis.

Close
X-Labs
Kasım 3, 2021

Pazardaki Toplu Kötü Amaçlı Yazılım Güncellemelerine Hazır Mıyız?

Forcepoint Future Insights 2022 serimiz—2. Bölüm
Stuart Taylor Sr. Director, Security Labs

Forcepoint Future Insights serimizin 2022’de ciddi endişelere dönüşebilecek siber güvenlik içgörüleri ve öngörüleri sunan ikinci makalesine hoş geldiniz.

Kasım 2020’de Sunburst olayı sektörü şoka uğrattı. Meşru yazılım güncellemelerinin içine gizlenmiş oldukça karmaşık bir kötü amaçlı yazılım kullanan saldırganlar, yalnızca hedef aldıkları verileri sızdırmakla kalmadı, aynı zamanda kötü amaçlı yazılımın çok sayıda kurbana yayılmasına da neden oldu.

Bu, olağanüstü derecede karmaşık ve sofistike bir saldırıydı. Sunburst adı verilen kötü amaçlı veri sızdırma yazılımı, 18.000’den fazla kamu kurumuna ve özel kuruluşa dağıtılan bir güncelleme olan Solarwinds Orion yazılımı yoluyla dağıtıldı. 14 ay boyunca uykuda kalan kötü amaçlı yazılım, ardından veri sızdırmaya başladı. Bu saldırı, ABD devlet kurumlarını, FireEye, Microsoft ve Deloitte gibi dev şirketleri ve binlerce küçük şirketi etkileyen bugüne kadarki en büyük tedarik zinciri saldırılarından biri olarak kabul edilmekte. Resmin tamamını halen görebilmiş değiliz ve bir yama sunulmuş olsa da canlı kötü amaçlı yazılım halen serbest şekilde dolaşıyor olabilir.

Geriye dönüp bakmak harika bir şey olsa da bu tedarik zinciri saldırısı, ilk değildi. Petya, 2017’de aynı yöntemden faydalandı, Asus Live Update kullanıcıları 2019’da aynı kaderi yaşadı ve kimlik avı amaçlı e-postalar insanları kötü amaçlı yazılımları indirmeleri için kandırmak amacıyla yıllardır yazılım güncellemesi tuzağını kullanmakta.

Bir tekniğin işe yaradığı kanıtlandığında ve dramatik ve manşetlere çıkan bir etki yarattığında, kopya saldırıların gelmesi kaçınılmazdır. 2021 yazında İrlandalı bir BT çözümleri sağlayıcısı olan Kaseya’nın benzer bir teknikle saldırıya uğradığını gördük: kötü amaçlı bir yazılım, şirketin uzaktan izleme aracına sızarak saldırganların çok sayıda son kullanıcıya ulaşmasını sağladı.

"Dolayısıyla 2022’de de yazılım güncellemelerini kullanarak çeşitli kötü amaçlı yazılımlar dağıtan kopyacı suçluların sayısında ciddi bir artış olmasını bekliyoruz."

Yazılım saldırısı vektörlerine yakından bir bakış

Ulus devletlerin ve bilgisayar korsanı gruplarının pek çok sektördeki tedarik zinciri sağlayıcılarını hedef almaya devam etmesinin muhtemel olduğu açıkça görülüyor. Daha önce, teknik borçların kurumları nasıl zayıflatabildiğini yazmıştım. Bu, düşünülmesi gereken konulardan biri. Peki, kötü niyetli saldırganlar yeni saldırıları nasıl ve nereden başlatıyor? Başka hangi saldırı vektörleri kullanılabilir?

Sunburst gibi saldırılar, REvil grubu tarafından Kaseya’ya karşı düzenlenene benzer fidye yazılım saldırıları ve diğerleri ana akım medyanın dikkatini çekmeye devam ederken, 2021’de pek de üzerinde durulmayan bir saldırı dikkatimi çekti: Azure Linux makinelerindeki Open Management Infrastructure (OMI) yazılım aracısını etkileyen dört OMIGOD güvenlik açığı.

Açık kaynaklı projeler, büyük bir hızla büyümeye devam ediyor. Açık kaynaklı yazılımların güvenliğinde son 10 yılda dramatik iyileştirmeler yapıldığı doğru ve açık kaynaklı yazılımların güvenlik açıklarının çok daha hızlı bir şekilde yamandığına da şüphe yok. Bu, iyi bir haber. Ancak, açık kaynaklı tedarik zinciri saldırılarının endişe verici bir hızla arttığı da bir gerçek. Sonatype; 2021 Yazılım Tedarik Zincirinin Durumu raporunda, açık kaynaklı projelere karşı 12.000 saldırıda bulunulduğu tahmininde bulunuyor ve bu rakam bir önceki yıla göre %650 artış anlamına geliyor.

 

Rekabet açısından yeniliklere verilen öncelik ve sürekli olarak pazara ürün sunma sürelerini kısaltmaya odaklanılması, büyük ve küçük şirketleri açık kaynaklı projeleri benimsemeye itiyor. Hem devlet kurumları hem de özel kuruluşlar, gittikçe artan bir hızla yenilikler yapma ve yazılım projeleri gerçekleştirme baskısını hissediyor. Ancak, "hızlı hareket edip bir şeyleri bozma" anlayışının, özellikle de siber güvenlik açısından bir bedeli var.

Dolayısıyla, kamu sektöründeki ve özel sektördeki herkesin tüm açık kaynaklı projelerde güvenliğe öncelik vermesi bir zorunluluktur. Açık kaynaktan yararlanılmak istenmesi, kısmen yeniliklerden ve pazara ürün sürme süresinden kaynaklanıyor. Ancak, kurumların proje süresince pek çok aşamada durum tespiti yapması gerekiyor. Bu da hem projenin başlangıcında hem de geliştirme ve dağıtım süreçleri boyunca farklı kod inceleme katmanları anlamına geliyor. Bu, kolay bir iş değil ve suistimallerin kurum dışındaki kötü niyetli kişilerden veya bu projelerde çalışan dahili kaynaklardan gelebileceği düşünüldüğünde daha da karmaşıklaşıyor.

Kendimizi nasıl koruyabiliriz?

Kötü amaçlı yazılım güncellemeleriyle mücadelede temel silahlardan biri, teknik borç konusunun ele alınmasıdır. Bir teknik projenin mükemmel ve geleceğe hazır olmak için mal olması gereken “bedelle” (zaman, insan kaynakları, teknoloji yatırımı), kurumların o anda ödemeye hazır olduğu “bedel” arasında bir fark vardır. Yatırımın azalması ürünlerin çağının gerisinde kalmasına neden olabilir ancak bu borcun büyük kısmı, kesinlikle gerekli ancak sıkça görmezden gelinen bir unsur olan yazılım güncellemelerinin uygulanmasından kaynaklanmakta.

Kötü niyetli kişilerin (ulus devletler veya finansal amaçları olan suçlular) yazılım güncellemeleri aracılığıyla kötü amaçlı yazılımlar dağıtması ihtimali mevcut olsa da BT yöneticilerinin gelen güncelleme ve yamaları uygulamayı ihmal etmemesi gerekiyor.

Teknik borcun artması durumunda, oluşan güvenlik açıkları saldırganlar için bir giriş yolu oluşturur ve yeni kötü amaçlı yazılım dağıtma teknikleri, yamanmamış güvenlik açıklarıyla birleştiğinde çok endişe verici bir durum ortaya çıkar.

Ek olarak, karma çalışmanın yaygınlaşmasıyla birlikte son kullanıcıların sistemlerini yamama ve güncelleme konusunda daha fazla sorumluluk alması gerekiyor. Bu da güncellemelerin hiç yapılmamasına veya bu göreve alışkın olmayan ve BT ekiplerinin şüpheli olduğunu fark edecekleri davranışları kabul edebilecek kişiler tarafından yapılmasına neden olabiliyor. Liderler, çalışanların ilk güvenlik hattı olarak görev yapmasını sağlamak için siber güvenlik eğitimlerinin sunulmasını ve düzenli olarak güncellenmesini sağlamak zorunda.

Solarwinds, kötü amaçlı yazılım güncellemelerinden faydalanılan ilk olay değildi ve sonuncu da olmayacak. Ancak, şirket çapında farkındalık ve güçlü bir yama yönetimiyle savunmalarımızı güçlendirebiliriz.

Stuart Taylor

Sr. Director, Security Labs

Stuart Taylor is the Senior Director of Forcepoint X-Labs and is based in the UK.  Stuart has over 20 years of experience in the cybersecurity industry.  Prior to joining Forcepoint he spent several years running the Global Engineering Operations and UK Threat Lab of...

Read more articles by Stuart Taylor

Forcepoint hakkında

Forcepoint, dijital dönüşüm ve büyüme sağlarken kurumları koruması için güvenilen, kullanıcı ve veri koruma alanında lider siber güvenlik şirketidir. Çözümlerimiz, insanların verilerle etkileşime girme şekillerine gerçek zamanlı olarak uyum sağlar ve erişim güvenliği sağlarken, çalışanların değer üretmesine de imkan tanır.