Saldırı vektörü işletmelere bir yılda %2,5 daha pahalıya mal oldu
Tedarik zinciri saldırıları artıyor ve kuruluşlar sıfır güven stratejilerini uygulayamadığı için işletmelere her yıl daha fazla maliyet getiriyor.
Bu, IBM’in yeni Veri İhlalinin Maliyeti raporuna göre, her beş ihlalden birinin bir iş ortağındaki bir uzlaşma nedeniyle meydana geldiğini ve bir tedarik zinciri ihlalinin tanımlanması ve kontrol altına alınmasının küresel ortalamadan ortalama 26 gün daha uzun sürdüğünü tespit etti.
Bir tedarik zinciri uzlaşmasının toplam maliyeti 4,46 milyon dolardı – ortalamadan %2,5 daha yüksek.
Rapor ayrıca, bir veri ihlalinin küresel ortalama maliyetinin, son iki yılda yaklaşık %13 artarak tüm zamanların en yüksek seviyesi olan 4,35 milyon dolara ulaştığını da ortaya koydu.
IBM Security strateji başkanı John Hendley, “Kritik altyapı kuruluşlarındaki ihlallerin yüzde on yedisi, bir iş ortağının başlangıçta güvenliğinin ihlal edilmesi nedeniyle meydana geldi – bu bize kuruluşların üçüncü kişi erişimini yöneten güvenlik kontrollerine daha fazla odaklanması gerektiğini gösteriyor” X-Force anlattı Günlük Swig.
Sıfır güven, sıfır sorun?
IBM, finansal hizmetler, endüstriyel, ulaşım ve sağlık şirketleri gibi kritik altyapı kuruluşlarının bu saldırılar için büyüyen bir hedef olduğunu ve saldırılara karşı korunmanın en iyi yolunun sıfır güven olduğunu söylüyor.
Hendly, “Kuruluşların her zamankinden daha uyanık olmaları ve ortamlarına doğrudan ağ erişimi, uygulamalar ve hatta fiziksel erişim yoluyla bu harici erişim noktalarını yakından incelemeleri gerekiyor” diyor.
“Tedarik zinciri saldırıları, hem ne kadar sinsi oldukları hem de etkilerinin ne kadar aşırı olabileceği nedeniyle büyük endişe kaynağı. Bu oyunu SolarWinds ile gördük ve gelecekte bu saldırıların daha fazlasını kesinlikle göreceğiz.”
Yazılım tedarik zinciri saldırıları hakkında en son haberleri okuyun
Sıfır güven güvenlik yaklaşımı uygulayan kuruluşlar, ortalama 1,5 milyon dolarlık bir maliyet tasarrufu ile ihlallerin kendilerine daha az maliyetli olduğunu gördüler.
Ancak, özellikle kritik altyapı kuruluşları, genel küresel ortalama %41 ile karşılaştırıldığında, beşte yalnızca biri sıfır güven modelini benimsediği için bunu yapmakta başarısız oluyor.
KnowBe4’ün güvenlik farkındalığı savunucusu Javvad Malik, tedarik zincirinde daha fazla şeffaflığa ve tüm bileşenlerin yeterince güvenli olduğuna dair daha fazla teknik güvenceye ihtiyaç olduğunu söylüyor.
“Birçok organizasyonun ihlal edildiğini gördük, organizasyonun kendisi için değil, bir başkasına girmenin bir yolunu sağlayacağı için. Bunların popüler örnekleri arasında Target, RSA ve daha yakın zamanda SolarWinds yer alıyor” dedi. Günlük Swig.
“Birçok kuruluş, kullandıkları güvenlik düzeyini belirlemek için uğraştığı üçüncü taraflara uzun anketler göndererek riskleri azaltmaya çalışırken, genellikle tedarik zincirinin tamamını kapsamak için yeterli değildir ve öyle olsa bile, yeterli değildir. teknik güvence sağlar.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR ‘Hala son on yılın savaşını veriyoruz’ – Sonatype CTO’su Brian Fox, ihmal edilen yazılım tedarik zincirini güvence altına alma mücadelesi üzerine