Tedarik zinciri saldırısı - Supply chain attack

Bir tedarik zinciri saldırı bir olan siber saldırı daha az güvenli unsurları hedef alarak bir organizasyon zarar istiyor tedarik zinciri . Finans sektöründen, petrol endüstrisinden devlet sektörüne kadar herhangi bir sektörde bir tedarik zinciri saldırısı meydana gelebilir. Siber suçlular, genellikle bir kök kullanıcı takımı veya donanım tabanlı casusluk bileşenleri yükleyerek bir ürünün üretim sürecini kurcalar. Symantec tarafından desteklenen İnternet Güvenliği Tehdit Raporu'nda, tedarik zinciri saldırılarının 2018'de yüzde 78 artışla tehdit ortamının bir özelliği olmaya devam ettiği belirtiliyor.

Hedef güvenlik ihlali , Doğu Avrupa ATM kötü amaçlı yazılım , hem de Stuxnet bilgisayar solucanı tedarik zinciri saldırıları örnekleridir.

Tedarik zinciri yönetimi uzmanları, siber suçlulardan gelebilecek olası zararları önlemek için bir kurumun tedarik ağının sıkı bir şekilde kontrol edilmesini önerir.

genel bakış

Malların hammadde aşamasından son tüketici tarafından satın alınmasına kadar nasıl taşındığını gösteren bir tedarik zinciri ağının temel diyagramı.

Tedarik zinciri, kaynakları bir satıcıdan nihai tüketicinin ellerine taşımak için malların taşınması, dağıtılması, üretilmesi ve işlenmesi ile ilgili bir faaliyetler sistemidir. Tedarik zinciri, arz ve talep tarafından yönetilen birbirine bağlı oyunculardan oluşan karmaşık bir ağdır .

Tedarik zinciri saldırısı, evrensel olarak üzerinde anlaşmaya varılmış bir tanımı olmayan geniş bir terim olmasına rağmen, siber güvenlikle ilgili olarak, tedarik zinciri saldırısı, algılanamayan kötü amaçlı yazılımları yüklemek için elektronik cihazlarla (bilgisayarlar, ATM'ler, güç sistemleri, fabrika veri ağları) fiziksel olarak kurcalamayı içerir. tedarik zinciri ağının aşağısındaki bir oyuncuya zarar verme amacı.

Daha genel anlamda, bir tedarik zinciri saldırısı mutlaka elektronikleri içermeyebilir. 2010 yılında, hırsızlar ilaç devi Eli Lilly'nin erzak deposuna çatıda bir delik açarak ve bir kamyona 80 milyon dolar değerinde reçeteli ilaç yükleyerek girdiklerinde, bir tedarik zinciri saldırısı gerçekleştirdikleri de söylenebilirdi. Ancak bu makale, teknolojiye dayalı fiziksel tedarik ağlarına yönelik siber saldırıları tartışacak; dolayısıyla tedarik zinciri saldırısı, siber suçlular tarafından kullanılan bir yöntemdir .

Saldırı çerçevesi

Genel olarak bilgi sistemlerine yönelik tedarik zinciri saldırıları , hedef organizasyonu etkilemek için tedarik ağının en zayıf siber güvenliğe sahip bir üyesini belirleyen gelişmiş bir kalıcı tehdit (APT) ile başlar . Verizon Enterprise tarafından hazırlanan bir araştırmaya göre, anketlerinde analiz edilen siber güvenlik olaylarının %92'si küçük firmalar arasında meydana geldi.

APT'ler, ürünün üretimini fiziksel olarak kurcalayarak hassas bilgilere sıklıkla erişebilir. Ekim 2008'de, Avrupalı ​​kolluk kuvvetleri yetkilileri, hesap bilgilerine erişmek ve tekrarlanan banka çekimleri yapmak için Çin'de üretilen kredi kartı okuyucularına takılan izlenemez cihazları kullanarak müşterinin hesap ayrıntılarını çalan "oldukça karmaşık bir kredi kartı sahtekarlığı çetesini ortaya çıkardı". İnternet satın alımları, tahmini 100 milyon dolarlık zarar.

Riskler

Tedarik zinciri saldırısı tehdidi, günümüz organizasyonları için önemli bir risk oluşturmaktadır ve saldırılar yalnızca bilgi teknolojisi sektörü ile sınırlı değildir; Tedarik zinciri saldırıları, petrol endüstrisini, büyük perakendecileri, ilaç sektörünü ve karmaşık bir tedarik ağına sahip neredeyse tüm endüstrileri etkiler.

Bilgi Güvenliği Forumu, tedarik zinciri saldırılarından kaynaklanan riskin tedarikçilerle bilgi paylaşımından kaynaklandığını açıklıyor ve "tedarik zincirinin işlemesi için tedarikçilerle bilgi paylaşımının gerekli olduğunu, ancak aynı zamanda risk yaratıyor... Tedarik zinciri, organizasyon içinde tehlikeye atılanlar kadar zarar verici olabilir".

Ulusal Gelişmekte Olan Bilimler Üniversitesi'nden Muhammed Ali Nasir, yukarıda belirtilen riski daha geniş küreselleşme eğilimi ile ilişkilendirirken, "… dahil olan varlıkların sayısı ve bunlar da dünyanın dört bir yanına dağılmış durumda… [a] tedarik zincirine yapılan siber saldırı, dalga etkisi nedeniyle birçok bağlantılı varlığa aynı anda zarar vermenin en yıkıcı yoludur."

Kötü yönetilen tedarik zinciri yönetim sistemleri, hassas müşteri bilgilerinin kaybolmasına, üretim sürecinin kesintiye uğramasına ve bir şirketin itibarının zedelenmesine neden olabilecek siber saldırılar için önemli tehlikeler haline gelebilir.

Örnekler

Derleyici saldırıları

Wired , 3 Mayıs 2019 itibarıyla son yazılım tedarik zinciri saldırılarında bağlantı olduğunu bildirdi. Bunların korsan web sitelerinde yayınlanan virüslü, korsan, popüler derleyicilerden yayıldığı tahmin ediliyor. Yani, Apple'ın XCode ve Microsoft Visual Studio'nun bozuk sürümleri. (Teorik olarak, derleyici güven kökü olduğunda, alternatif derleyiciler derleyici saldırılarını algılayabilir.)

Hedef

27 Kasım ve 15 Aralık 2013 tarihleri ​​arasında bir tedarik zinciri saldırısının 40 milyon müşterinin finansal bilgilerini çaldığı Target gerçek bir mağazanın görüntüsü.

2013'ün sonunda, ABD'li bir perakendeci olan Target , perakende sektörü tarihindeki en büyük veri ihlallerinden birine maruz kaldı.

27 Kasım ve 15 Aralık 2013 tarihleri ​​arasında Target'in Amerika'daki gerçek mekanda faaliyet gösteren mağazaları bir veri hackine maruz kaldı. Yaklaşık 40 milyon müşterinin kredi ve banka kartları, 1800'den fazla mağazada POS sistemine kötü amaçlı yazılım girdikten sonra dolandırıcılığa açık hale geldi . Target'in müşteri bilgilerinin veri ihlali, şirketin 2013'ün dördüncü çeyreğinde yüzde 46 düşen kârı üzerinde doğrudan bir etki gördü.

Altı ay önce şirket 1,6 milyon dolarlık bir siber güvenlik sistemi kurmaya başladı. Target, bilgisayarlarını sürekli olarak izlemek için bir güvenlik uzmanı ekibine sahipti. Bununla birlikte, tedarik zinciri saldırısı bu güvenlik önlemlerini atlattı.

Siber suçluların Target'in ana veri ağına erişmek için üçüncü taraf bir tedarikçiye sızdığına inanılıyor. Resmi olarak doğrulanmamasına rağmen, soruşturma yetkilileri, bilgisayar korsanlarının ilk olarak 15 Kasım 2013'te Pennsylvania merkezli bir HVAC sistemleri sağlayıcısı olan Fazio Mechanical Services'den çalınan şifre kimlik bilgilerini kullanarak Target'ın ağına girdiğinden şüpheleniyor .

Müşteriler tarafından Target aleyhine dikkatsizlik ve tazmin edici tazminat davası açılmıştır. Hedef, yatırımcılara dördüncü çeyrek raporuna göre, ihlale yanıt vermek için yaklaşık 61 milyon dolar harcadı.

Stuxnet

Bushehr Nükleer Santrali'nin Modeli - EXPO 2010 Şanghay'ın İran pavyonunda

Amerikan-İsrail siber silahı olduğuna inanılan Stuxnet, kötü niyetli bir bilgisayar solucanıdır . Solucan, özellikle fabrika montaj hatlarındaki makineleri veya nükleer malzemeyi ayırmak için kullanılan ekipmanları kontrol etmek için kullanılan elektromekanik süreçleri otomatikleştiren sistemleri hedefliyor.

Bilgisayar solucanının İran Hükümeti tarafından potansiyel uranyum zenginleştirme programlarına zarar vermek için özel olarak geliştirildiği söyleniyor ; Symantec Güvenlik Müdahalesi Kıdemli Direktörü Kevin Hogan, Stuxnet solucanının bulaştığı sistemlerin çoğunluğunun İran İslam Cumhuriyeti'nde bulunduğunu ve bunun kasıtlı olarak "yüksek değerli altyapıyı" hedef almış olabileceği yönünde spekülasyonlara yol açtığını bildirdi. Bushehr Nükleer Santrali veya Natanz nükleer santrali de dahil olmak üzere ülke .

Stuxnet, tipik olarak, sisteme fiziksel erişimi olan kişilerin bulunduğu virüslü bir USB flash sürücü aracılığıyla tedarik ağına dahil edilir. Solucan daha sonra siber ağda dolaşarak programlanabilir bir mantık denetleyicisini (PLC) kontrol eden bilgisayarlardaki yazılımı tarar . Stuxnet, PLC'ye virüslü rootkit'i tanıtarak kodları değiştirerek ve PLC'ye beklenmedik komutlar verirken, kullanıcılara bir normal çalışma değeri geri bildirimi döngüsü döndürür.

ATM kötü amaçlı yazılımı

Son yıllarda Suceful, Plotus, Tyupkin ve GreenDispense olarak bilinen kötü amaçlı yazılımlar , özellikle Rusya ve Ukrayna'da olmak üzere küresel olarak otomatik vezne makinelerini etkiledi . GreenDispenser, özellikle saldırganlara virüslü bir ATM sistemine yaklaşma ve nakit kasasını kaldırma yeteneği verir. GreenDispenser kurulduğunda, ATM'de bir 'hizmet dışı' mesajı görüntüleyebilir, ancak doğru erişim kimlik bilgilerine sahip saldırganlar, ATM'nin nakit kasasını boşaltabilir ve izlenemeyen bir silme işlemi kullanarak kötü amaçlı yazılımı sistemden kaldırabilir.

Diğer kötü amaçlı yazılım türleri genellikle benzer şekilde davranır, makinenin bellek deposundan manyetik şerit verilerini yakalar ve makinelere nakit çekme talimatı verir. Saldırılar, kötü amaçlı yazılımı ATM'ye yerleştirmek için ATM teknisyeni veya makinenin anahtarına sahip herhangi biri gibi içeriden erişime sahip bir kişinin olmasını gerektirir.

Doğu Avrupa'daki bankacılık kurumlarındaki 50'den fazla ATM'de Mart 2014'te aktif olan Tyupkin kötü amaçlı yazılımının o sırada ABD, Hindistan ve Çin'e de yayıldığına inanılıyor. Kötü amaçlı yazılım, Microsoft Windows 32 bit işletim sistemlerini çalıştıran büyük üreticilerin ATM'lerini etkiler. Kötü amaçlı yazılım, her makinede ne kadar para bulunduğuna ilişkin bilgileri görüntüler ve bir saldırganın her ATM'nin seçilen kasetinden 40 banknot çekmesine olanak tanır.

NotPetya / MEDoc

2017 baharında Ukrayna'da kullanılan "MEDoc" finansal paketinin çekirdek koduna NotPetya virüsü bulaştı ve ardından aboneler tarafından indirildi. Hack, sağlayıcının sisteminde gerçekleştirildi: ya sağlayıcıda kodun kendisini hacklemek ya da başka bir sunucuya yeniden yönlendirme isteklerini yeniden yönlendirmek. O zamanki basın raporları bunun bir tedarik zinciri saldırısı olduğunu açıkça ortaya koyuyor, ancak kullanılan saldırı vektörü belirtilmedi.

ingiliz Havayolları

Ağustos ve Eylül 2018 boyunca, British Airways web sitesi ödeme bölümü, müşteri ödeme verilerini toplayan kod içeriyordu. Enjekte edilen kod, kredi kartı bilgilerini baways.com alan adındaki ve yanlışlıkla British Airways'e ait olduğu düşünülebilecek bir web sitesine yönlendirmek için özel olarak yazılmıştır.

Güneş Rüzgarları

2020 Küresel Tedarik Zinciri Cyberattack hedefleyen bir tedarik zinciri saldırı yoluyla sonuçlandı olduğuna inanılan BT altyapı şirketi solarwinds iş bilgisayarlar dahil müşterileri arasında birçok federal kurumlar, sayar, Ulusal Nükleer Güvenlik İdaresi (NNSA). İç Güvenlik Bakanlığı Acil Direktifi 21-01 yayınladı, kendi kurumsal etki alanından herhangi etkilenen Windows ana işletim ayırmadan ve güvenilen kaynakları kullanarak bu Windows hosts yeniden içerir "Azaltmak SolarWinds Orion Kod Uzlaşma". Etkilenen Windows işletim sistemi (OS) ana bilgisayarları, SolarWinds Orion izleme yazılımı tarafından izlenenlerdi. DOE'nin NNSA'sı, ihlal edilen Windows ana bilgisayarlarının bağlantısını kesti.

ABD federal hükümetine ek olarak, SolarWinds Orion yazılım güncelleme platformunu kullanan SolarWinds'in 33.000 müşterisinden 18.000'i savunmasız durumda. Orion, Aralık 2020'de FireEye tarafından siber ihlal tespit edilmeden önce Mart ve Haziran 2020'de güvenliği ihlal edilmişti . Örneğin, Microsoft'un kendisi güncelleme yazılımı ihlalinin kurbanıydı. Microsoft, "Kuzey Amerika, Avrupa, Asya ve Orta Doğu'daki hükümet, danışmanlık, teknoloji, telekom ve maden işletmeleri" (FireEye) tarafından kullanılan tedarik zinciri yazılımında yer alan devam eden siber saldırıyı kontrol altına almak için şimdi FireEye ile birlikte çalışıyor.

Bir siber güvenlik firması olan Volexity, adı açıklanmayan bir ABD düşünce kuruluşunda saldırı sırasını yeniden yapılandırdı: ilk olarak, saldırgan şirket içi bir Microsoft Exchange sunucusunda bir uzaktan kod yürütme güvenlik açığından yararlandı; bu güvenlik açığı giderildikten sonra, saldırgan SolarWinds Orion platformunda Aralık 2020'de açığa çıkan güvenlik açıklarından yararlandı; üçüncüsü, düşünce kuruluşunun Duo iki faktörlü kimlik doğrulama proxy sunucusu, düşünce kuruluşunun altyapısını bir kez daha ihlal etmek için erişim sağlamak için kullanıldı. Volexity'nin yeniden yapılandırılmasına dayanan Breaking Defense , dünya çapında tahmini 30.000 müşteriye Exchange Server saldırısını açıklayan basitleştirilmiş bir öldürme zinciri yayınladı . Temmuz 2021'de SolarWinds yine saldırıya uğradığını duyurdu.

Microsoft Exchange Sunucusu

Şubat 2021'de Microsoft, saldırganların aşağıdakilerden birkaç "(hizmet, güvenlik, kimlik alt kümeleri)" dosyası indirdiğini belirledi:

  • "Azure bileşenlerinin küçük bir alt kümesi"
  • "Intune bileşenlerinin küçük bir alt kümesi"
  • "Değişim bileşenlerinin küçük bir alt kümesi"

Microsoft depolarının hiçbiri üretim kimlik bilgilerini içermiyordu. Depolar Aralık ayında güvence altına alındı ​​ve bu saldırılar Ocak ayında sona erdi. Ancak Mart 2021'de, Exchange Server'daki kusurlar yoluyla kurulan bir arka kapı aracılığıyla 20.000'den fazla ABD kuruluşunun güvenliği ihlal edildi. Etkilenen kuruluşlar, kredi birlikleri, belediyeler ve küçük işletmeler gibi kendi kendine barındırılan e-postayı (bulut tabanlı yerine yerinde) kullanır. Kusurlar 2 Mart 2021'de düzeltildi, ancak 5 Mart 2021'e kadar güvenliği ihlal edilen kuruluşların yalnızca %10'u yamayı uygulamıştı; arka kapı açık kalır. ABD yetkilileri, Aralık 2020'de etkilenen kuruluşlardan daha küçük olan etkilenen kuruluşları bilgilendirmeye çalışıyor.

Microsoft, Uzlaşma Göstergeleri aracını güncelleştirdi ve Exchange Server kusurları için acil durum azaltma önlemleri yayınladı. SolarWinds ve Microsoft yazılımlarına yönelik saldırıların şu anda Mart 2021'den itibaren bağımsız olduğu düşünülüyor. Uzlaşma Göstergeleri aracı, müşterilerin Exchange Server günlük dosyalarını uzlaşma için taramalarına olanak tanır. En az 10 saldırgan grup, Exchange Server kusurlarını kullanıyor. Web kabukları , yamalı bir sunucuda kalabilir; bu yine de etkilenen sunuculara dayalı siber saldırılara izin verir. Check Point Research'e göre, bazıları güvenlik araştırmacıları adına 12 Mart 2021'den itibaren istismar girişimleri birkaç saatte bir ikiye katlanıyor.

14 Nisan 2021'e kadar FBI , etkilenen sunuculardan web kabuklarını kaldırmak için gizli bir siber operasyonu tamamlamıştı ve sunucu sahiplerini yapılanlar hakkında bilgilendiriyordu.

Mayıs 2021'de Microsoft, Microsoft'un 'Nobelium' olarak adlandırdığı bir grup tarafından başlatılan ve 24 ülkedeki 150 kuruluşa 3000 kötü amaçlı e-posta tespit etti. Bu e-postaların çoğu teslimattan önce engellendi. 'Nobelium' bir Constant Contact "ABD Uluslararası Kalkınma Ajansı ( USAID ) tarafından kullanılan e-posta pazarlama hesabına" erişim kazandı . Güvenlik araştırmacıları, 'Nobelium'un, şüpheli olmayan kullanıcılar tarafından tıklanan hedef odaklı kimlik avı e-posta iletileri ürettiğini iddia ediyor; bağlantılar daha sonra, kullanıcıların sistemlerine bulaşmak için kötü niyetli 'Nobelium' kodunun doğrudan yüklenmesini sağlayarak onları fidye, casusluk, dezenformasyona vb. maruz bırakır. ABD hükümeti, 'Nobelium'un Rusya'nın Federal Güvenlik Servisi'nden kaynaklandığını tespit etti. Temmuz 2021'e kadar ABD hükümetinin Exchange Server saldırılarını başlatan kişinin adını vermesi bekleniyor: "Çin Devlet Güvenlik Bakanlığı, sözleşmeli suç korsanlarını kullanıyor".

Eylül 2021'de, Menkul Kıymetler ve Borsa Komisyonu (SEC) uygulama personeli, güvenliği ihlal edilmiş SolarWinds güncellemelerini indiren tüm şirketlerden, güvenliği ihlal edilmiş güncellemeleri sunucularına yüklemişlerse verileri gönüllü olarak SEC'e devretmelerini talep etti.

Fidye yazılımı saldırıları

Mayıs 2021'de Colonial boru hattına yapılan bir fidye yazılımı saldırısı, ABD'nin Doğu kıyısındaki benzin arzının savunmasızlığını ortaya çıkardı. 16 Haziran 2021'de Başkan Biden, Başkan Putin'i 16 tür altyapının siber saldırıya kapalı olacağı, aksi takdirde Rusya'nın aynı şekilde zarar göreceği konusunda uyardı. Tedarik zinciri saldırısı ve fidye yazılımı saldırısının bir kombinasyonu, 2 Temmuz 2021'de 17 ülkedeki binlerce şirkette ortaya çıktı. Rusça kullanan sitelere çarpmamak için bir REvil fidye yazılımı kodu yazılır. The New York Times'a göre REvil sitesi artık çevrimdışı .

Önleme

12 Mayıs 2021'de, ülkenin siber güvenliğinin iyileştirilmesi 14028 (EO) Kararnamesi , NIST'in yanı sıra diğer ABD devlet kurumlarını ABD'nin siber güvenliğini artırmakla görevlendirdi . 11 Temmuz 2021'de (EO zaman çizelgesinin 60. günü) NIST, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Yönetim ve Bütçe Ofisi (OMB) ile istişare halinde, '4i'yi teslim etti: kritik yazılım kullanıcıları için şu şekilde rehberlik etti: ayrıca '4r': yazılım tedarik zincirinin güvenlik ve bütünlüğünün minimum satıcı testi için.

  • 30. Gün: girdi isteme
  • 45. Gün: 'kritik yazılımı' tanımlayın
  • 60. Gün: EO görevi 4i, 4r: kullanıcı rehberliği ve satıcı testi
  • 180. Gün: EO görevi 4c: tedarik zinciri yazılım güvenliğini artırmaya yönelik yönergeler
  • 270. Gün: EO görevi 4e, 4s, 4t, 4u: tedarik zinciri yazılımını geliştirmeye yönelik yönergeler
  • 360. Gün: EO görevi 4d: tedarik zinciri yazılımının gözden geçirilmesi ve güncellenmesi için yönergeler
  • Gün 365: EO görevi 4w: pilot uygulamanın özet desteği

Devlet

Kapsamlı Ulusal Siber Girişimi ve Siber Politikası İnceleme, sırasıyla Bush ve Obama tarafından küresel tedarik zinciri risk yönetimi için çok yönlü yaklaşımların geliştirilmesi için doğrudan ABD federal fon geçti. Technology Innovation Management Review'den Adrian Davis'e göre, kuruluşları tedarik zinciri saldırılarından korumak, siber dirençli sistemler oluşturmakla başlıyor. Tedarik zinciri risk yönetimi uzmanı Donal Walters'a göre, tedarik zinciri esnekliği "tedarik zincirinin beklenmedik rahatsızlıklarla başa çıkma yeteneğidir" ve özelliklerinden biri, tedarik zincirinin sızmaya en duyarlı olduğu yerin şirket çapında tanınmasıdır. Tedarik zinciri yönetimi, etkili tedarik zinciri esnekliği yaratmada çok önemli bir rol oynar.

Mart 2015'te Muhafazakar ve Liberal demokratik hükümet koalisyonu altında, Birleşik Krallık İş Departmanı, KOBİ'leri siber saldırılardan korumaya yönelik, tedarik zinciri esnekliğini artırmaya yönelik önlemleri içeren yeni çabaların ana hatlarını çizdi .

Birleşik Krallık hükümeti, firmaları tedarik zincirlerini ve genel siber güvenliği korumak için iyi uygulamalar konusunda eğiten Siber Temeller Planı'nı üretti.

Finansal Kurumlar

Bir Amerikan ticaret sonrası şirketi olan Depository Trust ve Clearing Group, faaliyetlerinde tedarik zinciri boyunca güvenlik açığı yönetimi için yönetişim uygulamıştır ve tüm geliştirme yaşam döngüsü boyunca BT güvenliğine bakar; bu, yazılımın nerede kodlandığını ve donanımın nerede üretildiğini içerir.

"Akıllı Tehdit: Siber Esnek Bir Finansal Kurum Oluşturmak" başlıklı bir 2014 PwC raporunda, finansal hizmetler firması bir siber saldırıyı azaltmak için aşağıdaki yaklaşımı önermektedir:

"Bir finans kuruluşunun kârlılığı, itibarı, markası ve fikri mülkiyetine gelebilecek olası zararları önlemek için, yürütme ekibinin siber riskin sahipliğini alması gerekiyor. Özellikle, kurumun siber saldırılara karşı nasıl savunacağını ve bunlara nasıl yanıt vereceğini anlamak için önceden işbirliği yapmalıdırlar. riskler ve kuruluşlarını siber dirençli hale getirmek için nelerin yapılması gerektiği.

Siber güvenlik firmaları

Gelişmiş kalıcı tehditler ve hedef odaklı kimlik avı gibi gelişmiş siber tehditlere karşı otomatikleştirilmiş tehdit adli tıp ve dinamik kötü amaçlı yazılım koruması sağlayan bir ABD ağ güvenliği şirketi olan FireEye , firmalara tedarik zincirlerinde esneklik oluşturmak için aşağıdakileri içeren belirli ilkelere sahip olmalarını önerir:

  • Küçük bir tedarikçi tabanı: Bu, bir firmanın tedarikçileri üzerinde daha sıkı kontrol sahibi olmasını sağlar.
  • Sıkı satıcı kontrolleri: Onaylanmış protokol listelerine uymak için tedarikçilere sıkı kontroller uygulamak. Ayrıca tedarikçi lokasyonlarında ara sıra saha denetimleri yapmak ve sahaları iş amacıyla düzenli olarak ziyaret eden personel bulundurmak daha fazla kontrol sağlar.
  • Tasarımda yerleşik güvenlik: Kontrol rakamları gibi güvenlik özellikleri, koda daha önce herhangi bir yetkisiz erişimi algılamak için yazılımda tasarlanmalıdır. Kodu işlevsel olarak sağlamlaştırmak ve güvenliği sağlamlaştırmak için yinelemeli bir test süreci iyi bir yaklaşımdır.

27 Nisan 2015'te Kaspersky Lab'de GReAT'de Kıdemli Güvenlik Araştırmacısı olan Sergey Lozhkin, siber güvenlik konulu bir konferansta hedefli saldırılar ve siber casusluk kampanyalarından kaynaklanan risklerin yönetilmesinin öneminden bahsetti:

"Gelişmiş tehditler için azaltma stratejileri, güvenlik ilkeleri ve eğitimi, ağ güvenliği, kapsamlı sistem yönetimi ve yazılım yama özellikleri, uygulama denetimi, beyaz listeye alma ve varsayılan reddetme modu gibi özel güvenlik çözümlerini içermelidir."

Ayrıca bakınız

Referanslar

Dış bağlantılar