Mobil Uygulamalarınızın İçinde Gizlenen Beş Tedarik Zinciri Güvenliği Riski

Günümüzün tedarik zinciri ekipleri tedarikçileri inceliyor, bileşen riskini değerlendiriyor ve lojistik ortaklarını izliyor ancak en karmaşık genişletilmiş tedarikçi ağlarından biri neredeyse hiçbir zaman radarlarında olmuyor: kuruluşlarının her gün kullandığı mobil uygulamalar. İster satın alma, çalışan cihazları, müşteri etkileşimi veya iş ortağı araçları olsun, mobil uygulamalar beraberinde yukarı yönlü bağımlılıkları, görünmez kod tedarikçilerini ve geleneksel risk programlarının nadiren dikkate aldığı dinamik mekanizmaları getirir. Kör nokta gerçektir. Yaygın olarak kullanılan kurumsal izleme yazılımına kötü amaçlı kodların enjekte edildiği 2020 SolarWinds tedarik zinciri saldırısı, yukarı akış bağımlılıklarının oluşturduğu sistemik riskin altını çizdi ve bu durum, ulusal politika tepkilerine ve endüstriler arasında yayılan tedarik zinciri güvenlik çerçevelerine yol açtı. Yine de elimizde

Geçen yılın üçüncü çeyreğinde kimlik bilgilerini çalmak amacıyla 180'den fazla düğüm paket yöneticisi (npm) sistemini etkileyen, kendi kendini kopyalayan bir solucan gibi savunmasız tedarik zincirlerine yönelik saldırılar görmeye devam etti. Aşağıda, mobil uygulamaların tedarik zinciri riskine yol açmasının beş şaşırtıcı yolu ve neden donanım, lojistik ortakları ve geleneksel üçüncü taraf satıcılarla aynı yönetişim ilgisini talep ettikleri anlatılmaktadır. Riski hiç değerlendirmediğiniz tedarikçilerden devralırsınız. Kuruluşunuz bir mobil uygulamayı indirdiğinde veya lisansladığında, geliştiricinin uygulamaya yerleştirdiği her üçüncü taraf bileşenine dolaylı olarak güvenmiş olursunuz. Bu bileşenler analitik yazılım geliştirme kitlerini (SDK'ler), kimlik doğrulama kitaplıklarını, açık kaynak paketlerini, şifreleme modüllerini ve özel ikili dosyaları içerebilir. Çoğu işletme asla

bu tedarikçi haritasına bakın ve satıcı risk değerlendirmeleri nadiren birincil yazılım sağlayıcısının ötesine geçer. Bileşenlere ve bunların kökenlerine ilişkin görünürlük de dahil olmak üzere yazılım tedarik zinciri şeffaflığı, endüstriler arasında kabul edilen en iyi uygulama haline geldi, ancak mobil ortamlarda bu görünürlük hâlâ nadirdir. Ürün yazılımı ve önceden yüklenmiş yazılım, satın alma gözetiminin dışında kalır. Mobil uygulamalar, ürün yazılımı, işletim sistemi katmanları, taşıyıcı yazılım ve önceden yüklenmiş hizmetleri içeren cihazlarda çalışır. Kuruluşların ve kullanıcıların genellikle bu bileşenleri kaldırma veya değiştirme olanağı yoktur. Geleneksel satıcı sözleşmesinin aksine, bu gömülü katmanlar için sözleşme müzakeresi, güvenlik anketi veya resmi risk kabul süreci yoktur. Cihaza erişebileceklerini düşünürsek bu bir sorun

veriler, ağ bağlantıları ve sistem kaynakları. Daha geçen ay Android cihazlara yönelik Keenadu adlı yeni bir kötü amaçlı yazılım tespit edildi. Çeşitli dağıtım yöntemleri arasında, cihaz yazılımına önceden yüklenmiş ve sistem uygulamalarına gömülü olarak bulunması, mobil uygulama tedarik zincirinde ürün yazılımı güvenliğinin önemini göstermektedir. Tedarik zinciri perspektifinden bakıldığında bunlar, kurumsal risk duruşunu etkilemelerine rağmen yönetişim kontrolleri dışında faaliyet gösteren üst kademelerdir. Pazaryeri onayı bir risk denetimi değildir. Birçok kuruluş, bir uygulamanın büyük bir pazarda mevcut olması durumunda anlamlı bir güvenlik incelemesinden geçtiğini varsayar. Bu her zaman böyle değildir. Apple'ın App Store'u ve Google Play pazarı, yayınlanan uygulamalar için belirli kalite ve politika standartlarını uygular ancak

bu standartların tedarik zinciri risk değerlendirmesine eşit olmadığını anlamak önemlidir. Bu nedenle kötü amaçlı uygulamaların milyonlarca kez indirildiğine dair haberler görmeye devam ediyoruz. Pazaryeri incelemeleri tedarik zinciri şeffaflığı, güvenli geliştirme uygulamaları veya güvenlik açığı durumuna değil, içerik ve platform kurallarına uyuma odaklanır. Tedarikçilerin, bir uygulamayı listelemeden önce yukarı yönlü bileşenleri açıklaması veya tedarik zinciri güvenlik çerçeveleriyle uyumluluğunu göstermesi gerekli değildir. Mobil kod bağımlılıkları sürekli değişiyor. Bir sonraki siparişe kadar sabit kalan fiziksel parça satın alma işlemlerinin aksine, mobil uygulamalar her gün, hatta her an güncellenebilir.