SecurityScorecard’a göre, güvenlik ekipleri artık üçüncü taraf güvenliğini bir uyumluluk onay kutusu olarak ele alamaz. Yıllık veya üç ayda bir yapılan geleneksel satıcı risk değerlendirmeleri aktif tehditleri tespit etmek için çok yavaştır.
2024’teki tüm ihlallerin% 35.5’i 2023’ten% 6,5’lik bir artış olan üçüncü taraflarla ilişkilidir. Bu rakam muhtemelen yetersiz raporlama ve yanlış sınıflandırma nedeniyle muhafazakardır. Dolayısıyla, güvenlik duvarı kurallarınızı güncellerken, tedarik zincirinizde bir yerde bir satıcı, dışarıda kalmak için çalıştığınız saldırganlara yanlışlıkla izin veriyor olabilir.
Üçüncü taraf ihlallerinin% 46,75’i, geçen yılın% 75’inden bir düşüş olan teknoloji ürünleri ve hizmetlerini içeriyordu ve saldırı yüzeylerinin çeşitlendirilmesine işaret etti. Dosya aktarım yazılımı, büyük ölçekli saldırılar başlatmak için CL0P CLEO yazılımındaki (CVE-2024-50623 ve CVE-2024-55956) güvenlik açıklarını kullanan en iyi üçüncü taraf ihlali etkinleştiricisi olarak kaldı.
Endüstriler arası teknoloji, tedarik zinciri risklerinin geniş erişimini yansıtan, endüstriye özgü teknolojiye göre dört kat daha fazla sömürüldü. Perakende ve misafirperverlik, en yüksek üçüncü taraf ihlal oranını (%52.4), ardından teknoloji endüstrisi (%47.3) ve enerji ve kamu hizmeti endüstrisi (%46.7) izledi.
İhlallerin% 4,5’i artık dördüncü taraflara kadar uzanıyor, bir ihlal birden fazla organizasyonel başarısızlığı tetikliyor.
Spot ışığında sağlık hizmetleri
Sağlık sektörü en üç üçüncü taraf ihlallerine (78) sahipti, ancak ortalamanın altında bir oran (%32.2).
Sağlık hizmetleri genel olarak en çok ihlalden muzdariptir (242 olay, tüm ihlallerin% 24,2’si), ancak bu ihlallerin daha küçük bir yüzdesi üçüncü taraflar arası sanayi ortalamasından daha fazla içerir. Bunun nedeni, üçüncü taraf saldırılara karşı daha fazla esneklikten kaynaklanmaz, aksine sağlık kuruluşlarını hedefleyen doğrudan saldırıların hacmini yansıtır.
Dikkate değer bir üçüncü taraf risk kaynağı, dış satıcılardan değil, bir kuruluşun kendi kurumsal ailesinden gelir. Bağlı ortaklıklardan ve edinilmiş şirketlerin riski birçok güvenlik programında kör bir noktayı temsil etmektedir. İştirakler ve satın alımlar küresel olarak üçüncü taraf ihlallerinin% 11,75’ini oluşturmaktadır.
Fidye yazılımı saldırıları üçüncü taraf ihlal vektörleri ile ilişkilidir
Fidye yazılımı saldırıları ile üçüncü taraf ihlal vektörleri arasında anlamlı bir korelasyon vardır, bu da tedarik zinciri güvenlik açıklarının fidye yazılımı operasyonlarının giderek daha merkezi hale geldiğini düşündürmektedir. Fidye yazılımı saldırılarının% 41,4’ü şimdi üçüncü taraflarca başlıyor.
CL0P en üretken grup olmaya devam etti, ancak payının yıllık% 26’dan% 17’ye düştüğünü gördü. Bu düşüşe rağmen, CL0P’nin payı bir sonraki en aktif grubun iki katından fazla kalır (% 17’ye karşı% 8.2). Lockbit, kolluk kuvvetlerinin bozulmasına rağmen ikinci sırada yer almaya devam ediyor.
Fidye yazılımı saldırıları, üçüncü taraf ihlallerinin (%34.6) toplam ihlallerden (%29.7)%4,9 farktan daha büyük bir payını (%34.6) temsil etti.
Singapur (%71.4) en yüksek üçüncü taraf ihlal oranına sahipti, bunu Hollanda (%70.4) ve Japonya (%60) izledi. ABD, küresel ortalamanın% 4.6’sına düşen daha düşük bir oran (% 30.9) bildirdi.
“Tehdit aktörleri ölçeklenebilirliği için üçüncü taraf erişimine öncelik veriyorlar. Araştırmamız, fidye yazılımı gruplarını ve devlet destekli saldırganların arz zincirlerini giderek daha fazla giriş noktaları olarak kullandığını gösteriyor. Bu tehditlerin önünde kalmak için, periyodik satıcı incelemelerinden, bu riskleri, tedarik zincirleri boyunca artan güvenlik ve svp, bu riskleri içermek için gerçek zamanlı izlemelere geçmelidir.