Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
IBM’in Yıllık İhlal Çalışmasına Göre Sağlık Sektörü En Fazla Harcamayı Temizlik İçin Yapıyor
Mathew J. Schwartz (euroinfosec) •
25 Temmuz 2023
IBM’in veri ihlallerine ilişkin yeni bir çalışması, izinsiz girişleri etkili bir şekilde tespit etme ve düzeltmeyle ilgili temel bilgilerin çoğunun değişmeden kaldığını ortaya çıkardı. Yani, bir kuruluşun dahili ekibi önce bir ihlali tespit ederse ve kuruluşun iyi uygulanmış olay müdahale planlarına sahipse, o kuruluş daha hızlı bir şekilde tespit edip müdahale edebilecek ve bu da ihlal temizleme maliyetlerinin düşmesine yol açacaktır.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Bu hazırlıklı olma durumu, IBM’in Ponemon Institute tarafından yürütülen ve IBM Security tarafından analiz edilen en son yıllık Veri İhlali Maliyeti çalışmasından (şu anda 18. yılında) elde edilen en önemli çıkarımlardan biridir.
Bu yılın raporu, Mart 2022 ile Mart 2023 arasında güvenlik ihlali yaşayan 550 kuruluşta 3.475 kişiyle yapılan görüşmelere dayanıyor.
Bu kuruluşlar genelinde, ortalama veri ihlali vakası 4,5 milyon dolara mal oldu ve bu, tüm zamanların en yüksek seviyesini ve üç yıl öncesine kıyasla %15’lik bir artışı temsil ediyor.
İşte çalışmadan en iyi 10 çıkarım:
- Kimlik avı hakimdir. Kurbanlar bir saldırganın ilk saldırı vektörünü belirlediklerinde, saldırıların %16’sını oluşturan kimlik avı en yaygın olanıydı, bunu %15 ile çalınan veya güvenliği ihlal edilen kimlik bilgileri, %11 ile bulutta yanlış yapılandırma ve %9 ile iş e-postasının gizliliğinin aşılması izledi. Vakaların %5’inde saldırganlar, kurbanın henüz yama yapmadığı bilinen bir güvenlik açığından yararlandı.
- Çalınan kimlik bilgileri algılamayı geciktirir. Bir ihlali tespit etmek için ortalama süre 204 gündü ve bir ihlali düzeltmek için ortalama süre 73 gündü. Bu rakamlar önceki yıllara göre çok az değişti. Saldırganların kurbanı nasıl hacklediği, bir ihlali tespit etmenin ne kadar süreceği konusunda büyük bir fark yaratabilir. Saldırganlar, örneğin çalınan veya tehlikeye atılan kimlik bilgilerini kullandığında, kurbanların bunu tespit etmesi için ortalama 240 gün (veya normalden %20 daha uzun süre) gerekiyordu.
- Üçüncü taraf bildirimi en yaygın olanıdır. Kolluk kuvvetleri de dahil olmak üzere tarafsız üçüncü taraflar, tüm vakaların %40’ında bir mağduru bir ihlal hakkında bilgilendirdi ve saldırganlar, saldırının %27’sinde – tipik olarak fidye yazılımı veri sızıntısı siteleri aracılığıyla – ifşa etti. İhlal saldırganlar aracılığıyla ortaya çıktığında, kurbanlar ihlal maliyetlerinin normalden ortalama 1 milyon dolar daha yüksek olduğunu bildirdi.
- Dahili keşif idealdir: Veri ihlali saptama ideali, IBM’in vakaların %33’ünde gerçekleştiğini söylediği dahili ekipler tarafından keşiftir. Bu tür ihlaller, tarafsız üçüncü taraf bildirimi için 203 gün ve bir saldırgan aracılığıyla bildirim için 233 gün yerine ortalama 182 günde tespit edilir.
- Daha hızlı algılama daha iyidir. Sürpriz yok: Bir ihlal ne kadar uzun sürerse maliyeti de o kadar artar. IBM, 200 günlük işarette büyük bir bükülme noktası gördü. Daha azının düzeltilmesi ortalama 3,9 milyon dolara mal olurken, daha fazlası 5 milyon dolara veya %23 daha fazlaya mal oluyor.
- Sağlık en çok öder. Sektöre göre temizleme maliyetleri söz konusu olduğunda, IBM, 2022’de olduğu gibi, ihlal edilen sağlık kuruluşlarının ortalama olarak bir ihlali tespit etmek ve düzeltmek için en fazla ödemeyi yaptığını bildiriyor. Ortalama sağlık bakımı temizliği 10,9 milyon dolara mal oluyor. Finansal hizmetlerin maliyeti 5,9 milyon dolar, ilaç ve enerji maliyeti 4,8 milyon dolar ve endüstriyel maliyet 4,7 milyon dolar.
- Daha küçük kurbanlar daha çok acı çeker. 2022 ile 2023 arasındaki ihlal temizleme maliyetleri karşılaştırıldığında, 5.000 veya daha fazla çalışanı olan kuruluşlar için ortalama maliyetler çok az düştü, ancak orta ölçekli kuruluşlar için %20 ve daha küçük şirketler için %15 arttı.
- Alıştırma tepki süresini azaltır. IBM, “yüksek düzeyde olay yanıt planlaması ve testi”ne sahip olarak derecelendirdiği kuruluşların, bir ihlali kontrol altına almak için ortalama 1,5 milyon dolar daha az harcadığını söyledi; bunun kısmen nedeni, kuşkusuz daha hızlı bir şekilde hafifletebilmeleriydi.
- DevSecOps tasarruf sağlar. IBM’in, güvenliği geliştirme yaşam döngülerine entegre eden üst düzey DevSecOps uygulamalarına sahip olarak derecelendirdiği kuruluşlar, bir ihlali düzeltmek için ortalama 1,7 milyon dolar daha az harcadı. Muhtemel bir açıklama, gelişmiş güvenli geliştirme uygulamalarına sahip kuruluşların, saldırıya uğraması daha zor olan ve saldırganlar tarafından istismar edilen güvenlik açıklarını daha hızlı bir şekilde belirleyip kilitleyebilen ortamlara sahip olmasıdır.
- Servis sağlayıcılar yardımcı olabilir. İhlal maliyetlerini düşük tutmaya başka ne yardımcı olur? Yönetilen bir güvenlik hizmeti sağlayıcısı (IBM’in sattığı bir hizmet) ile çalışan kuruluşlar, veri ihlallerini ortalama %21 daha kısa sürede tespit etti ve kontrol altına aldı. IBM’in sattığı bir hizmet olan tehdit istihbaratı da yardımcı olur. Tehdit istihbaratı akışlarını kullanan kuruluşlar, ihlalleri 16 gün önce veya %8 daha kısa sürede tespit etti. Tehdit istihbaratı kullanmayan kuruluşların bir ihlali tespit etmesi ortalama 12 gün veya %6 daha uzun sürdü.
IBM’in çalışmasında dikkate değer bir eksiklik: Araştırmacılar, bir kurbanın ödemiş olabileceği herhangi bir fidyenin maliyetini hesaba katmadılar. IBM’in araştırmasının zaman çerçevesi boyunca, fidye yazılımı olay müdahale şirketi Coveware, soruşturmaya yardımcı olduğu binlerce vakanın kurbanlarının zamanın %37 ila %45’i arasında bir fidye ödediğini bildirdi. Bu nedenle, IBM’in anket yaptığı bazı kuruluşlar için bir ihlalin ortalama maliyeti çok daha yüksek olabilir.
Ayrıca IBM’in araştırması, ihlal edilen kuruluşların %18’inin siber sigorta taşıdığını ortaya çıkardı, ancak bunun doğrudan veya dolaylı olarak ihlal maliyetlerini ne ölçüde azaltmış olabileceğini belirtmedi.
Her şeye rağmen raporun bulguları, daha gelişmiş güvenlik ekiplerine, politikalarına ve prosedürlerine sahip kuruluşların en iyi sonucu verdiğini ve bunun da tüm kuruluşların siber güvenlik evlerini düzene sokmaları için itici güç sağlaması gerektiğini vurguluyor.