Siber güvenlik olaylarının ifşa edilmesine ilişkin güncellenmiş SEC düzenlemelerine göre, SecurityScorecard’ın bulguları, şirketlerin %98’inin ihlale maruz kalan üçüncü bir tarafla ilişkili olduğunu ortaya koyuyor.
İhlallerin kamuoyunun bilgisine sunulması genellikle aylar veya daha uzun sürer. Mağdurların bir ihlali keşfetmesi haftalar veya aylar almış olabilir ve bu ihlal daha sonra haftalar veya aylar boyunca kamuya açık raporlamada görünmeyebilir (eğer ortaya çıkarsa).
Teknoloji tedarik zincirindeki güvenlik açıkları, tehdit aktörlerinin operasyonlarını minimum çabayla ölçeklendirmelerine olanak tanıyor. Üçüncü taraf ihlallerine olanak tanıyan harici işletmeler arası (B2B) ilişkilerin %75’i yazılım veya diğer teknoloji ürün ve hizmetlerinden kaynaklanıyordu. Üçüncü taraf ihlallerinin geri kalan %25’i teknik olmayan ürün veya hizmetleri içeriyordu.
Siber suç gruplarıyla bağlantılı üçüncü taraf ihlalleri
Kötü şöhretli siber suç grubu Cl0p, 2023 yılında atfedilebilir üçüncü taraf ihlallerinin %64’ünden sorumluyken, onu sadece %7 ile LockBit izledi. Cl0p’nin üstünlüğü, büyük ölçüde, aynı zamanda en sık bahsedilen güvenlik açığı olan MOVEit dosya aktarım yazılımındaki sıfır gün güvenlik açığından geniş çapta yararlanılmasından kaynaklanıyordu.
İhlallerin gruplar arasındaki dağılımındaki bu artan orantısızlık, tehdit aktörlerinin neden ilk etapta ortak üçüncü taraf saldırı vektörlerini seçtiği dikkate alındığında anlamlı hale geliyor. Bu yöntemler genellikle saldırganların çok sayıda kurbanın güvenliğini aynı anda ele geçirmesine olanak tanır ve operasyonlarına çok daha fazla ölçeklenebilirlik kazandırır. Örneğin, bir yönetilen hizmet sağlayıcısından (MSP) taviz vermek, bir aktörün düzinelerce, hatta yüzlerce müşterisinin nispeten minimum çabayla tehlikeye atılmasına olanak sağlayabilir. Bu nedenle, üçüncü taraf saldırı vektörlerini daha sık kullanan tehdit aktörlerinin mağdurların orantısız derecede büyük bir kısmından sorumlu olması mantıklıdır.
MOVEit’e atfedilen üçüncü taraf ihlallerinin %61’i (CVE-2023-34362). Bu devasa kampanyanın yeni tespit edilen kurbanları, ilk saldırılardan aylar sonra bile raporlarda ortaya çıkmaya devam etti. En yaygın olarak istismar edilen üç güvenlik açığı (MOVEit, CitrixBleed ve Proself), belirli bir güvenlik açığını içeren tüm üçüncü taraf ihlallerinin %77’sinde yer aldı. MOVEit sıfır gününün yaygın etkisinin bir nedeni, üçüncü taraf, dördüncü taraf ve hatta beşinci taraf uzlaşmalarına olanak sağlamasıydı.
Üçüncü taraf saldırı vektörü
2023’teki tüm ihlallerin yaklaşık %29’u üçüncü taraf saldırı vektöründen kaynaklandı. İhlallerle ilgili birçok raporda bir saldırı vektörü belirtilmediği için bu sayı muhtemelen gerçek yüzdeyi olduğundan düşük gösteriyor.
Sağlık hizmetleri ve finansal hizmetler, üçüncü taraf ihlallerinden en ağır etkilenen sektörler olarak ortaya çıktı; sağlık hizmetleri toplam ihlallerin %35’ini, finansal hizmetler ise %16’sını oluşturuyor.
Üçüncü taraf ilişkilerinin karmaşık ekosistemi, sağlık hizmetlerinin neden genel olarak bu kadar çok ihlale ve özel olarak da üçüncü taraf ihlallerine maruz kaldığına ışık tutabilir. Sağlık sektörü, savunmasız tıbbi cihazlar, fidye yazılımı gaspına karşı algılanan güvenlik açığı, dolandırıcılık için daha ayrıntılı PHI’nın daha fazla kullanışlılığı vb. gibi sık sık gerçekleşen ihlalleri açıklayabilecek birçok farklı risk faktörüne sahiptir.
Üçüncü taraf ihlallerinde teknik ilişkilerin ağırlığı finans sektöründe de açıkça görülüyor; bu faaliyetin çoğunluğu özel finansal hizmet yazılımı veya teknolojisine atfediliyor.
ABD tek başına %63’ü temsil ediyor. Bununla birlikte, haber medyasının ve güvenlik sağlayıcılarının ABD ve diğer İngilizce konuşulan ülkelerdeki ihlallere aşırı derecede odaklanmış olması nedeniyle coğrafi farklılıkların tespit edilmesi daha zor olabilir.
Üçüncü taraf ihlalleri dünya çapında yaygın olsa da, Japonya önemli ölçüde daha yüksek bir oranla (%48) öne çıktı. Otomotiv, imalat, teknoloji ve finansal hizmetlerin merkezi olan Japon şirketleri, uluslararası bağımlılıklar nedeniyle önemli tedarik zinciri siber riskleriyle karşı karşıyadır.
SecurityScorecard Tehdit Araştırması ve İstihbarattan Sorumlu Kıdemli Başkan Yardımcısı Ryan Sherstobitoff şunları söyledi: “Tedarikçi ekosistemi, fidye yazılımı grupları için son derece arzu edilen bir hedeftir. Üçüncü taraf ihlal mağdurları genellikle bir fidye yazılımı notu alana kadar olayın farkına varmazlar, bu da saldırganların tespit edilmeden yüzlerce şirkete sızmasına zaman tanır.”
Üçüncü taraf siber riski bir iş riskidir
Gartner’a göre, “Üçüncü taraf bir siber ihlalin maliyeti genellikle dahili bir siber güvenlik ihlalini düzeltmenin maliyetinden %40 daha yüksektir.” Bir veri ihlalinin ortalama maliyetinin 2023’te 4,45 milyon dolara ulaşması nedeniyle kuruluşların, iş riskini azaltmak için tedarik zinciri siber risk yönetimini proaktif bir şekilde operasyonel hale getirmesi gerekiyor.
“Dijital çağda güven, siber güvenlikle eş anlamlıdır. SecurityScorecard CEO’su Dr. Aleksandr Yampolskiy, şirketlerin dijital ve üçüncü taraf ekosistemlerinde sürekli, ölçüm odaklı, iş odaklı siber risk yönetimi uygulayarak dayanıklılığı artırması gerektiğini belirtti.