Tedarik Zinciri Saldırısı Nedir?

İngilizce: Supply Chain Attack

Tedarik zinciri saldırısı, yazılım bağımlılığı, araç veya tedarikçi hesabı ele geçirilerek hedef sisteme dolaylı yoldan sızma girişimidir.

Tedarik Zinciri Saldırısı Nedir?

Tedarik zinciri saldırısı, hedef kuruma doğrudan saldırmak yerine onun güvendiği yazılım, paket, geliştirme aracı, CI/CD adımı veya hizmet sağlayıcı üzerinden sisteme girmeyi amaçlar. Açık kaynak paket hesabının ele geçirilmesi, zararlı güncelleme yayınlanması veya build sürecine gizli veri sızdıran kod eklenmesi bu kapsamdadır.

Bu saldırı türü tehlikelidir çünkü bağımlılıklar çoğu zaman otomatik güncellenir ve güvenilir kaynak varsayılır. npm, PyPI, Docker imajları, tarayıcı eklentileri, SaaS entegrasyonları ve üçüncü taraf SDK’lar yazılım tedarik zincirinin parçalarıdır.

Korunma Yaklaşımı

Korunma, tek bir güvenlik aracıyla bitmez. Bağımlılık kilit dosyaları, sürüm sabitleme, imzalı paketler, iki aşamalı kimlik doğrulama, secret taraması, SBOM, kod inceleme ve üretim yetkilerinin ayrılması birlikte düşünülmelidir. Vulnerability taraması bilinen açıkları gösterir, ancak yeni eklenen kötü niyetli davranışı her zaman yakalayamaz.

OWASP kaynaklarında da vurgulanan temel prensip, güvenilen bileşenleri envanterlemek ve değişiklikleri izlenebilir hale getirmektir. Kritik sistemlerde yeni bağımlılık ekleme süreci onaylı olmalı, paket bakım durumu ve indirme kaynağı düzenli kontrol edilmelidir.