Siber güvenlik olaylarının ifÅŸa edilmesine iliÅŸkin güncellenmiÅŸ SEC düzenlemelerine göre, SecurityScorecard’ın bulguları, ÅŸirketlerin %98’inin ihlale maruz kalan üçüncü bir tarafla iliÅŸkili olduÄŸunu ortaya koyuyor.
İhlallerin kamuoyunun bilgisine sunulması genellikle aylar veya daha uzun sürer. Mağdurların bir ihlali keşfetmesi haftalar veya aylar almış olabilir ve bu ihlal daha sonra haftalar veya aylar boyunca kamuya açık raporlamada görünmeyebilir (eğer ortaya çıkarsa).
Teknoloji tedarik zincirindeki güvenlik açıkları, tehdit aktörlerinin operasyonlarını minimum çabayla ölçeklendirmelerine olanak tanıyor. Üçüncü taraf ihlallerine olanak tanıyan harici iÅŸletmeler arası (B2B) iliÅŸkilerin %75’i yazılım veya diÄŸer teknoloji ürün ve hizmetlerinden kaynaklanıyordu. Üçüncü taraf ihlallerinin geri kalan %25’i teknik olmayan ürün veya hizmetleri içeriyordu.
Siber suç gruplarıyla bağlantılı üçüncü taraf ihlalleri
Kötü şöhretli siber suç grubu Cl0p, 2023 yılında atfedilebilir üçüncü taraf ihlallerinin %64’ünden sorumluyken, onu sadece %7 ile LockBit izledi. Cl0p’nin üstünlüğü, büyük ölçüde, aynı zamanda en sık bahsedilen güvenlik açığı olan MOVEit dosya aktarım yazılımındaki sıfır gün güvenlik açığından geniÅŸ çapta yararlanılmasından kaynaklanıyordu.
İhlallerin gruplar arasındaki dağılımındaki bu artan orantısızlık, tehdit aktörlerinin neden ilk etapta ortak üçüncü taraf saldırı vektörlerini seçtiği dikkate alındığında anlamlı hale geliyor. Bu yöntemler genellikle saldırganların çok sayıda kurbanın güvenliğini aynı anda ele geçirmesine olanak tanır ve operasyonlarına çok daha fazla ölçeklenebilirlik kazandırır. Örneğin, bir yönetilen hizmet sağlayıcısından (MSP) taviz vermek, bir aktörün düzinelerce, hatta yüzlerce müşterisinin nispeten minimum çabayla tehlikeye atılmasına olanak sağlayabilir. Bu nedenle, üçüncü taraf saldırı vektörlerini daha sık kullanan tehdit aktörlerinin mağdurların orantısız derecede büyük bir kısmından sorumlu olması mantıklıdır.
MOVEit’e atfedilen üçüncü taraf ihlallerinin %61’i (CVE-2023-34362). Bu devasa kampanyanın yeni tespit edilen kurbanları, ilk saldırılardan aylar sonra bile raporlarda ortaya çıkmaya devam etti. En yaygın olarak istismar edilen üç güvenlik açığı (MOVEit, CitrixBleed ve Proself), belirli bir güvenlik açığını içeren tüm üçüncü taraf ihlallerinin %77’sinde yer aldı. MOVEit sıfır gününün yaygın etkisinin bir nedeni, üçüncü taraf, dördüncü taraf ve hatta beÅŸinci taraf uzlaÅŸmalarına olanak saÄŸlamasıydı.
Üçüncü taraf saldırı vektörü
2023’teki tüm ihlallerin yaklaşık %29’u üçüncü taraf saldırı vektöründen kaynaklandı. Ä°hlallerle ilgili birçok raporda bir saldırı vektörü belirtilmediÄŸi için bu sayı muhtemelen gerçek yüzdeyi olduÄŸundan düşük gösteriyor.
SaÄŸlık hizmetleri ve finansal hizmetler, üçüncü taraf ihlallerinden en ağır etkilenen sektörler olarak ortaya çıktı; saÄŸlık hizmetleri toplam ihlallerin %35’ini, finansal hizmetler ise %16’sını oluÅŸturuyor.
Üçüncü taraf iliÅŸkilerinin karmaşık ekosistemi, saÄŸlık hizmetlerinin neden genel olarak bu kadar çok ihlale ve özel olarak da üçüncü taraf ihlallerine maruz kaldığına ışık tutabilir. SaÄŸlık sektörü, savunmasız tıbbi cihazlar, fidye yazılımı gaspına karşı algılanan güvenlik açığı, dolandırıcılık için daha ayrıntılı PHI’nın daha fazla kullanışlılığı vb. gibi sık sık gerçekleÅŸen ihlalleri açıklayabilecek birçok farklı risk faktörüne sahiptir.
Üçüncü taraf ihlallerinde teknik ilişkilerin ağırlığı finans sektöründe de açıkça görülüyor; bu faaliyetin çoğunluğu özel finansal hizmet yazılımı veya teknolojisine atfediliyor.
ABD tek başına %63’ü temsil ediyor. Bununla birlikte, haber medyasının ve güvenlik saÄŸlayıcılarının ABD ve diÄŸer Ä°ngilizce konuÅŸulan ülkelerdeki ihlallere aşırı derecede odaklanmış olması nedeniyle coÄŸrafi farklılıkların tespit edilmesi daha zor olabilir.
Üçüncü taraf ihlalleri dünya çapında yaygın olsa da, Japonya önemli ölçüde daha yüksek bir oranla (%48) öne çıktı. Otomotiv, imalat, teknoloji ve finansal hizmetlerin merkezi olan Japon şirketleri, uluslararası bağımlılıklar nedeniyle önemli tedarik zinciri siber riskleriyle karşı karşıyadır.
SecurityScorecard Tehdit AraÅŸtırması ve Ä°stihbarattan Sorumlu Kıdemli BaÅŸkan Yardımcısı Ryan Sherstobitoff ÅŸunları söyledi: “Tedarikçi ekosistemi, fidye yazılımı grupları için son derece arzu edilen bir hedeftir. Üçüncü taraf ihlal maÄŸdurları genellikle bir fidye yazılımı notu alana kadar olayın farkına varmazlar, bu da saldırganların tespit edilmeden yüzlerce ÅŸirkete sızmasına zaman tanır.”
Üçüncü taraf siber riski bir iş riskidir
Gartner’a göre, “Üçüncü taraf bir siber ihlalin maliyeti genellikle dahili bir siber güvenlik ihlalini düzeltmenin maliyetinden %40 daha yüksektir.” Bir veri ihlalinin ortalama maliyetinin 2023’te 4,45 milyon dolara ulaÅŸması nedeniyle kuruluÅŸların, iÅŸ riskini azaltmak için tedarik zinciri siber risk yönetimini proaktif bir ÅŸekilde operasyonel hale getirmesi gerekiyor.
“Dijital çaÄŸda güven, siber güvenlikle eÅŸ anlamlıdır. SecurityScorecard CEO’su Dr. Aleksandr Yampolskiy, ÅŸirketlerin dijital ve üçüncü taraf ekosistemlerinde sürekli, ölçüm odaklı, iÅŸ odaklı siber risk yönetimi uygulayarak dayanıklılığı artırması gerektiÄŸini belirtti.