Bu hafta bir uyandırma çağrısı yapan telekomünikasyon şirketi Verizon’a göre, Avrupa, Orta Doğu ve Afrika (EMEA) genelinde kuruluşların, veri ihlallerine ve siber güvenlik olaylarına yol açan insan faktörlerini ele alma konusunda oyunlarını geliştirmeleri gerekiyor. 17’nin formuo çığır açan küresel Veri İhlali Araştırma Raporunun (DBIR) yıllık baskısı
İncelemek için buradan indirebileceğiniz DBIR derlemesinde Verizon, bölgedeki 8.302 güvenlik olayını analiz etti; bunların %72’si doğrulanmış ihlallerdi ve bunların yarısından biraz azının, yani %49’unun içeriden kaynaklandığını buldu. Farkındalık veya eğitim eksikliğinden kaynaklanan yüksek derecede insan hatası ve ayrıcalığın kötüye kullanılması gibi diğer hatalar.
Gerçekten de, doğrulanan siber güvenlik olaylarında Verizon, ihlallerin %87’sinin arkasında üç faktörün olduğunu buldu: çeşitli hatalar, sisteme izinsiz giriş ve sosyal mühendislik. Bu yüzde, Verizon tarafından tanımlanan “potansiyel telafi edici güç” olarak raporlama uygulamasında bariz bir gelişme olarak geçen yılın rakamıyla hemen hemen aynıydı; artık daha fazla insan bir kimlik avı e-postasını fark edebiliyor ve daha fazla kişi bunları bildiriyor.
Dünya çapında, ihlallerin toplam %68’i (üçüncü bir taraf içersin veya içermesin) kötü niyetli olmayan bir insan eylemini içeriyordu; bu, birisinin hata yaptığı veya bir sosyal mühendislik saldırısının kurbanı olduğu anlamına gelir
Verizon Business EMEA başkan yardımcısı Sanjiv Gossain, “İhlallerde insan unsurunun varlığını sürdürmesi, EMEA’daki kuruluşların eğitime öncelik vererek ve siber güvenlik için en iyi uygulamalar konusunda farkındalığı artırarak bu eğilimle mücadele etmeye devam etmesi gerektiğini gösteriyor” dedi.
“Ancak kişisel raporlamadaki artış umut verici ve genel işgücü arasında siber güvenlik farkındalığının öneminde kültürel bir değişime işaret ediyor.”
Sıfır gün kalıcı bir tehdit
Öyle olsa bile, verilerde insan kaynaklı ihlallerin yaygınlığı diğer kritik tehditleri maskelememelidir. Küresel olarak, raporlama döneminde (1 Kasım 2022’den 31 Ekim 2023’e kadar) kötü niyetli aktörler tarafından ilk giriş noktası olarak güvenlik açıklarından yararlanma, geçen yıldan bu yana arttı ve Verizon ekibinin takip ettiği tüm gözlemlenen ihlallerin %14’ünü oluşturdu.
Bu ani artış, fidye yazılımı aktörleri tarafından gerçekleştirilen sıfır gün istismarının kapsamı ve artan hacminden, özellikle de 2023 yılının Mayıs ve Haziran aylarında ortaya çıkan ve Clop/Cl0p fidye yazılımı çetesi tarafından muhtemelen çarpıklığa yetecek kadar toplu istismara tanık olan MOVEit dosya aktarım ihlalinden kaynaklandı. istatistikler biraz.
Verizon Business EMEA kıdemli güvenlik direktörü Alistair Neil, “Fidye yazılımı aktörleri tarafından sıfır gün güvenlik açıklarının istismar edilmesi, büyük ölçüde tedarik zincirlerinin birbirine bağlı olmasından dolayı işletmeler için kalıcı bir tehdit olmaya devam ediyor” dedi.
“Geçen yıl, veri sorumluları, üçüncü taraf yazılım açıkları ve diğer doğrudan veya dolaylı tedarik zinciri sorunları da dahil olmak üzere ihlallerin %15’i üçüncü taraflardan kaynaklandı.”
Verizon, yamalar kullanıma sunulduktan sonra kuruluşların kritik güvenlik açıklarının %50’sini (sıfır gün olabilir veya olmayabilir) düzeltmesinin ortalama olarak yaklaşık 55 gün sürdüğünü, en ciddi güvenlik açıklarının toplu olarak kullanılmasının ise beş gün kadar kısa sürebileceğini belirtti. Bu, yaygın olarak kullanılan Siber Güvenlik Altyapısı ve Güvenlik Ajansı’nın (CISA’nın) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunun analizine dayanmaktadır.
Endüstri reaksiyonu
Her zaman olduğu gibi Verizon DBIR güvenlik dünyasında heyecanla bekleniyordu ve piyasaya sürülmesinin ardından çok tartışıldı. Verizon’un bulguları hakkında yorum yapanlar arasında, İskoçya merkezli yönetilen güvenlik hizmetleri sağlayıcısı (MSSP) Closed Door Security’nin CEO’su William Wright da vardı ve yüksek profilli ihlallerin sürekli gürültüsüne rağmen kuruluşların siber olgunluktan açıkça çok uzak olduğunu söyledi.
“ Verizon DBIR, güvenlik açıklarının keşfedilmesi ve düzeltilmesi arasındaki uzun süreler ve çalışanların dolandırıcılıkları tespit etme konusunda yetersiz eğitim alması gibi kuruluşları riske sokan temel güvenlik hatalarının hala temel güvenlik hataları olduğunu gösteriyor” dedi Wright. “Bunun bir öncelik olarak değişmesi gerekiyor çünkü hiçbir işletmenin siber hijyenle kumar oynamayı veya riske girmeyi göze alamaz. Change Healthcare’e bakın, ihlal güvenli olmayan bir çalışanın kimlik bilgileri aracılığıyla gerçekleştirildi ve kuruluş şu anda bir milyarın üzerinde kayıpla karşı karşıya. Başka hiçbir kuruluş kendisini bu konumda bulmak istemez.”
“Organizasyonların bunun yerine yamaların sıklıkla uygulandığı ve kritik güvenlik açıklarının normal yama pencerelerinin dışında olsalar bile anında güncelleme aldığı süreçleri benimsemesi gerekiyor. Kimlik avına karşı savunmayı artırmak için çalışanlara düzenli eğitim verilmeli ve MFA benimsenmelidir. Wright, “Bu aynı zamanda bir işletmeyi riske atabilecek hiçbir boşluk olmadığından emin olmak için kapsamlı bir şekilde test edilmelidir” dedi.
Qualys’in güvenlik açığı araştırması müdürü Saeed Abbasi, güvenlik açığından yararlanmadaki artışın özellikle endişe verici olduğunu söyledi ve acil ve stratejik yönetim ihtiyacını vurguladı.
“Olası ihlalleri önlemek için kuruluşlara aracı tabanlı ve aracısız güvenlik önlemleri de dahil olmak üzere kapsamlı, proaktif stratejiler uygulamalarını tavsiye ediyoruz. Ek olarak kuruluşlar, gelişmiş tespit araçlarını, sıfır güven çerçevelerini ve hızlı yama yönetimini entegre eden çok katmanlı bir savunma stratejisine ihtiyaç duyuyor” dedi Abbasi.
“Tedarik zincirlerinin artan karmaşıklığı ve birbirine bağlılığı göz önüne alındığında, siber güvenliğe yönelik bu bütünsel yaklaşım hayati önem taşıyor. Bu ağlar genellikle yalnızca bireysel kuruluşları değil, aynı zamanda üçüncü taraf etkileşimlerini ve daha geniş tedarik zincirini de etkileyen siber tehditlerin hedefi oluyor.”
Diğerleri de Verizon DBIR’de ortaya çıkan güvenlik açığı istismarıyla ilgili sorunları ele aldı. Bir risk yönetimi platformu olan Sevco Security’nin CEO’su JJ Guy, artan istismar hacimlerine yönelik çözümün bir güvenlik sorunu değil, organizasyonel bir sorun olduğunu söyledi.
Guy, “CISO’lar kurumsal ağın güvenliğinden sorumludur, ancak ne o ağdaki varlıkların envanterini tutmak ne de bu varlıklardaki güvenlik açıklarını düzeltmek konusunda yetki veya sorumluluğa sahip değiller” dedi.
“İşlevsiz bir organizasyon modelinin kötü sonuçlara yol açmasına ve CISA tarafından takip edilen en kritik, aktif olarak yararlanılan güvenlik açıklarının %10’unun bir yıl sonra hâlâ yamalanmamış olmasına kimse şaşırmamalı. Organizasyon liderleri ya bu kritik faaliyetler için hesap verebilirlik ve sorumluluğu uyumlu hale getirmeli ya da BT ve güvenlik ekipleri departmanlar arasında işbirliği yapmak için daha iyi araçlara ihtiyaç duymalıdır.”
Glasgow merkezli MSSP Acumen COO’su Kevin Robertson ise özellikle bir kuruluşa yönelik sert sözler söyledi.
“Suçlular, genellikle kuruluşların yama pencerelerindeki gecikmelere güvenerek, işletmelere yönelik saldırılar başlatmak için açıkça sıfır günlere yatırım yapıyor. Microsoft bunun sorumluluğunu üstlenmeli, aksi takdirde gerçek sonuçlardan zarar görecek olanlar değerli müşterileri olur” dedi.