Verizon’un 2023 yılında rekor düzeydeki 30.458 güvenlik olayını ve 10.626 doğrulanmış ihlali analiz eden 2024 Veri İhlali Araştırma Raporu’na göre, güvenlik açıklarından ilk giriş noktası olarak yararlanma önceki yıla göre neredeyse üç katına çıktı ve tüm ihlallerin %14’ünü oluşturdu.
Bu artış, öncelikle fidye yazılımı aktörleri tarafından yama uygulanmamış sistem ve cihazlardaki güvenlik açıklarını (sıfır gün güvenlik açıkları) hedef alan saldırıların artan sıklığından kaynaklandı. MOVEit yazılım ihlali, öncelikle eğitim sektöründe gerçekleşen ve daha sonra finans ve sigorta sektörlerine yayılan bu siber saldırıların en büyük etkenlerinden biriydi.
Verizon Business Siber Güvenlik Danışmanlığı Kıdemli Direktörü Chris Novak, “Sıfır gün güvenlik açıklarının fidye yazılımı aktörleri tarafından istismar edilmesi, işletmelerin korunmasına yönelik kalıcı bir tehdit olmaya devam ediyor” dedi.
Yapay zekanın yükselişi, bazı endişeleri hafifletmek için büyük ölçekli güvenlik açığı yönetimindeki zorluklara kıyasla daha az suçluydu. Novak, “Değerli kurumsal varlıklara erişim sağlamak için yapay zekanın benimsenmesi ufukta bir endişe kaynağı olsa da, temel güvenlik açıklarının giderilememesi, tehdit aktörlerinin yaklaşımlarını ilerletmesine gerek kalmamasına neden oluyor” dedi.
CISA Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunun analizi, yamaların kullanıma sunulmasının ardından kuruluşların kritik güvenlik açıklarının %50’sini düzeltmesinin ortalama 55 gün sürdüğünü ortaya çıkardı. Bu arada, CISA KEV’in internetteki kitlesel istismarlarını tespit etmek için gereken ortalama süre beş gün.
Güvenlikten Sorumlu Araştırma Başkan Yardımcısı Craig Robinson şunları söyledi: “Bu yılın DBIR bulguları, günümüzün CISO’larının yönlendirmesi gereken değişen ortamı yansıtıyor; güvenlik açıklarını her zamankinden daha hızlı ele alma ihtiyacını dengelerken, fidye yazılımı ve siber güvenlik hijyeni ile ilgili sürekli çalışan eğitimine yatırım yapıyor” dedi. IDC’deki hizmetler. “Bu raporda incelenen olayların genişliği ve derinliği, ihlallerin nasıl meydana geldiğine dair bir pencere sunuyor ve düşük düzeydeki karmaşıklığa rağmen hala kuruluşlar için inanılmaz derecede maliyetli olduğunu kanıtlıyor.”
Geçen yıl ihlallerin %15’i, veri sorumluları, üçüncü taraf yazılım açıkları ve diğer doğrudan veya dolaylı tedarik zinciri sorunları da dahil olmak üzere üçüncü taraflardan kaynaklandı. 2024 DBIR için yeni olan bu ölçüm, 2023 DBIR’de açıklanan önceki döneme göre %68’lik bir artışı gösteriyor.
Siber suçluların birincil giriş noktası insan faktörü olmaya devam ediyor
Üçüncü bir tarafı içersin veya içermesin, ihlallerin %68’i kötü niyetli olmayan insan unsurunu içeriyor; bu, bir kişinin hata yapması veya bir sosyal mühendislik saldırısının kurbanı olması anlamına geliyor. Bu oran geçen yılla hemen hemen aynı. Potansiyel dengeleyici güçlerden biri raporlama uygulamalarının iyileştirilmesidir: Kullanıcıların %20’si simülasyon etkileşimlerinde kimlik avı tespit edip bildirdi ve e-postayı tıklayan kullanıcıların %11’i de bunu bildirdi.
“İhlallerde insan unsurunun varlığını sürdürmesi, siber güvenlik eğitimi konusunda hala iyileştirme için çok fazla alan olduğunu gösteriyor, ancak kişisel raporlamadaki artış, insan hatasının damgalanmasını ortadan kaldıran bir kültür değişikliğine işaret ediyor ve bu durumun önemine ışık tutmaya hizmet edebilir.” Novak, “Genel iş gücü arasında siber güvenlik farkındalığının artması” diye ekledi.
Bu yılki raporun diğer önemli bulguları arasında şunlar yer alıyor:
- Tüm ihlallerin %32’si fidye yazılımı da dahil olmak üzere bir tür şantaj tekniğini içeriyordu
- Son iki yılda, finansal nedenlerden kaynaklanan olayların kabaca dörtte biri (%24 ile %25 arasında) bahane uydurmayı içeriyordu.
- Son 10 yılda tüm ihlallerin neredeyse üçte birinde (%31) çalıntı kimlik bilgilerinin kullanılması görüldü
- EMEA’daki erişimlerin yarısı şirket içidir
- APAC bölgesinde casusluk saldırıları hakim olmaya devam ediyor
“Verizon 2024 Veri İhlali Araştırmaları Raporu, güvenlik açıklarının keşfedilmesi ve düzeltilmesi arasındaki uzun süreler ve çalışanların dolandırıcılıkları tespit etme konusunda yetersiz eğitim alması gibi kuruluşları riske sokan temel güvenlik hatalarının hala temel olduğunu gösteriyor. Bunun bir öncelik olarak değişmesi gerekiyor çünkü hiçbir işletmenin siber hijyen konusunda kumar oynamayı veya riske girmeyi göze alamaz. Change Healthcare’e bakın, ihlal güvenli olmayan bir çalışanın kimlik bilgileri aracılığıyla gerçekleştirildi ve kuruluş şu anda bir milyarın üzerinde kayıpla karşı karşıya. Kapalı Kapı Güvenliği CEO’su William Wright, Help Net Security’ye “Başka hiçbir kuruluş kendisini bu konumda bulmak istemez” dedi.