CybelAngel’e göre, bir kuruluşun güvenlik duvarı dışındaki kritik riskler, siber güvenlik tehditlerinin en büyük kaynağıdır.
Tüm sektörlerde, korumasız veya güvenliği ihlal edilmiş varlıklardan, verilerden ve kimlik bilgilerinden oluşan bu güvenlik açıklarının, kuruluşların tespit edilmesi ve güvenlik altına alınması için giderek artan bir zorluk olduğu kanıtlanmıştır.
Kritik siber güvenlik riskleri
Rapor ayrıca bilgisayar korsanlarının hedeflerine ulaşmak için izleyecekleri kritik yolların yanı sıra siber suçlardaki eğilimleri, önemli veri riski alanlarını ve sektöre göre risklerin dökümünü vurguluyor.
Teşhirler arasında CybelAngel şunları buldu:
- Tespit edilen tüm tehditlerin %87’si üçüncü taraf veya kötü niyetli aktörlerden gelmektedir.
- Tespit edilen tüm internet varlıklarının neredeyse 10’da 1’i (%9) ilişkili yama uygulanmamış bir güvenlik açığına sahipti. İlk 10 CVE’nin her biri en az 12 milyon kez yamasız bulundu.
- Fikri mülkiyet ve finansal bilgiler de dahil olmak üzere 70 milyardan fazla dosya, güvenli olmayan web sunucularında şu anda ücretsiz olarak, korumasız olarak mevcuttur.
Pasif güvenlik önlemleri artık yeterli değil
Bu tespitlerdeki eğilimler, telekomünikasyon, inşaat ve petrol ve gaz dahil olmak üzere kritik altyapıyı tehdit eden önemli sayıda risk alanına sahip sektörler açısından bakıldığında daha da endişe vericidir. Maruz kalan ilk üç sektör:
- Orantısız şekilde yüksek sayıda kötü amaçlı alan adı ve varlıklarında tespit edilen çok sayıda güvenlik açığı bulunan perakende.
- İncelediğimiz risk alanlarının birçoğunda (açık bağlantı noktaları, güvenli olmayan veritabanları, hassas belgeler, sızdırılmış kimlik bilgileri ve karanlık web etkinliği) oldukça üst sıralarda yer alan telekomünikasyon.
- İş Hizmetleri, karanlık web etkinliğinde ve kötü amaçlı etki alanlarının sayısında aşırı temsil edildi.
“Kurumsal siber güvenlik liderleri ve karar vericiler kendi güvenlik çevrelerini korumada başarılı oldular, ancak kritik altyapı ve diğer modernleşen endüstriler yetersiz kaldı. CybelAngel CEO’su Erwan Keraudy, “Bu başlı başına büyük bir endişe kaynağı” dedi.
“Dış varlıklardan ve aktörlerden kaynaklanan tespit edilen risklerin çoğuyla, bu sektörlerin bugün karşı karşıya olduğu tehditler nihayetinde aynı. Bu, bir güvenlik zihniyetinin elden geçirilmesi için acil bir ihtiyacı vurgulamaktadır – günümüzün güvenlik ortamında pasif ve reaktif güvenlik önlemleri artık yeterli değildir. Siber güvenlik ekipleri, bilinen varlıklar, gölge varlıklar, iş ortağı, satıcı, tedarikçi varlıkları ve daha fazlası dahil olmak üzere EASM’de tam görünürlük gerektiren riskin erken göstergelerini arama konusunda proaktif ve kapsamlı bir duruş sergilemelidir.”
Kimlik bilgisi sızıntıları ve karanlık web pazar etkinliği
Information Stealer kötü amaçlı yazılımı kuruluş içinde çoğalacak. CybelAngel platformunda yapılan bir taramada, müşterilerle ilişkilendirilen e-postaların %50’si hash edilmemiş şifrelerle geldi, yani bunlar düz metin ve şifrelenmemiş. Farklı ihlallerde açığa çıkan e-postaların çoğu ya aynı parolayı ya da açığa çıkan başka bir parolanın yakın bir varyasyonunu paylaşır. Kimlik bilgisi sızıntılarına ve karanlık web pazarı etkinliğine bakıldığında, bu verileri çalmak için tasarlanmış kötü amaçlı yazılımların hızla büyüyeceği görülüyor.
OT ve IoT dahil olmak üzere Gölge BT artacak. Şirketler bilinen varlıklarını korumak için büyük yatırımlar yapsa da, özellikle nadiren güvenli olan internete bağlı varlıkların artan kullanımıyla aynı şeyi Gölge BT kör noktaları için yapmak zordur. Rapor, tespit edilen tüm OT/IoT cihazlarının %8’inin, aksi takdirde güvenli olan bir ağı ihlal etmek için bir köprü görevi görebilecek güvenlik açıklarına sahip olduğunu tespit etti.
Güvenli olmayan ve yanlış yapılandırılmış bulutların sayısı, bulutun benimsenmesiyle artacak. Karmaşık çoklu bulut ortamı, EASM’yi son derece genişletiyor: CybelAngel, 1,4 milyon yanlış yapılandırılmış bulut cihazı tespit etti. Tespit edilen tüm açık bulut cihazlarının neredeyse %50’si kişisel Google Bulut Sürücüleridir. AWS – S3 cihazları veya klasörler, tespit edilen açık ve açık kurumsal hizmetlerde ve bilgisayar korsanları tarafından erişilebilir olmada liderdir.