Egress’e göre, kuruluşların %94’ünün son 12 ayda olay yaşaması nedeniyle e-posta güvenliği riskleri hala yüksek.
Gelen e-posta olayları öncelikle kötü amaçlı URL’ler, güvenliği ihlal edilmiş bir hesaptan gönderilen saldırılar ve kötü amaçlı yazılım veya fidye yazılımı ekleri şeklinde gerçekleşti.
Giden e-posta olaylarına bakıldığında, kuruluşların %91’i “işi bitirmek” için dikkatsiz davranışlar, insan hatası veya kötü niyetli sızma ve diğer katkıda bulunan faktörler nedeniyle veri kaybı ve sızma yaşadı.
E-posta güvenliği olaylarının ciddi etkisi
Bir e-posta güvenliği olayının etkisi çalışanlar ve onların kuruluşları için ciddi olabilir. Ankete katılan kuruluşların %96’sı kimlik avı saldırılarından olumsuz etkiler yaşadı; bu, geçen yılın raporuna göre %10’luk bir artış (sayı %86’daydı).
Rapordan elde edilen bulgular, şirketlerin %74’ünde liderlerin, çalışanlar açısından olumsuz sonuçlar doğuran kimlik avı saldırılarına yakalanan çalışanlara karşı sert bir duruş sergilediğini gösteriyor. Rapor özellikle kuruluşların şu şekilde yanıt verme şeklini ortaya koydu:
- Kimlik avı saldırılarına yakalanan çalışanların %51’i disiplin cezasına çarptırıldı
- Kimlik avı saldırılarına yakalanan çalışanların %39’u kovuldu
- Kimlik avı saldırılarına yakalanan çalışanların %27’si gönüllü olarak görevlerinden ayrılıyor
Dışarıya yönelik tehditlere bakıldığında, ankete katılan kuruluşların %94’ünün olumsuz etkilendiğini bildirdiği benzer bir tablo görülüyor; bu, geçen yılın raporuna göre %8’lik bir artış. Giden e-posta olaylarında, kişilerin %67’si disiplin cezasına çarptırıldı, işten çıkarıldı veya kuruluştan ayrılmayı seçti. Çalışanların disipline edilmesi kuruluşların %51’inde görülen en yaygın sonuçtu.
Raporun verileri, e-posta güvenliği olaylarının kuruluşlar üzerinde geniş kapsamlı etkiler yaratmaya devam ettiğini, müşteri kaybından kaynaklanan mali kayıpların ve itibar kaybının hem gelen hem de giden olaylarda kurumsal maliyetlerin üzerine çıktığını gösteriyor. Kuruluşlar, gelişmiş tehditleri tespit etmek için ekiplerine doğru teknolojiyi ve ileriye yönelik gerçek tehditlere ilişkin anlayışlarını gerçekten artıran SAT programlarını sağlamalıdır.
Yapay zeka siber risk konusunda giderek artan bir endişe kaynağı
Yapay zeka, sektörün en çok konuşulan konularından biri olmaya devam ediyor ve siber güvenlik liderlerimiz, yeni araçların, geniş dil modellerinin ve üretken yapay zekanın kimlik avı saldırıları üzerindeki etkisi konusunda bilgili. Katılımcıların %63’ü geceleri deepfake yoluyla uyanık tutuluyor, %61’i ise etkili kimlik avı kampanyaları oluşturmak için kullanılan yapay zeka sohbet robotları tarafından uyanık tutuluyor. Kuruluşların savunmalarını sürekli olarak gözden geçirmelerinin teşvik edilmesiyle bu eğilimin 2024 ve sonrasında da devam etmesi bekleniyor.
Microsoft kimlik bilgileri “krallığın anahtarları” olmakla eş anlamlıdır; siber suçlulara, verileri sızdırmak ve daha fazla saldırı ile müşterileri ve tedarikçileri hedeflemek üzere e-posta hesaplarına erişmek için sistemler ve ağlar arasında yatay olarak hareket etme gücü verir.
Rapordan elde edilen bulgular, hesap ele geçirme saldırılarının (ATO’lar) siber güvenlik liderleri için önemli bir endişe kaynağı olduğunu gösteriyor çünkü kuruluşların %58’i hesap ele geçirme olayları yaşadı. Bunlardan: %79’u bir çalışanın kimlik bilgilerini toplayan bir kimlik avı e-postasıyla başladı ve %83’ü, hesap devralma işlemine geçmeden önce MFA’nın atlandığını gördü.
Ayrıca son 12 ayda kuruluşların %51’i tedarik zincirlerindeki ele geçirilmiş hesaplardan gönderilen kimlik avı saldırılarının kurbanı oldu. Güvenilir bir alan adı kullanmak, saldırıların geleneksel çevre savunmalarını aşmasına yardımcı olur ve insanlar tanıdıkları adreslerden gönderilen e-postalardan daha az şüphelenir. Siber güvenlik liderleri, tedarik zincirindeki uzlaşmalar ve ATO’nun en büyük stres kaynakları olması nedeniyle zayıflıklarının çok iyi farkındalar.
E-posta güvenliği riskleri kuruluşlar için en önemli endişe kaynağı olmaya devam ediyor
Microsoft 365’in sunduğu e-posta güvenliği özelliklerinin çoğu, SEG’lerde (Güvenli E-posta Ağ Geçidi) bulunan işlevlerle örtüşüyor ve kuruluşun kendi teknoloji yığınını sorgulamasına neden oluyor. SEG kullananların %91’i bundan duyduğu hayal kırıklığını dile getirdi ve %87’si SEG’lerini değiştirmeyi düşünüyor veya zaten yapmış durumda. Kuruluşlar SEG’ler lehine yerel kontrolleri benimsedikçe, imza tabanlı ve itibara dayalı tespitin yanı sıra insan hatası gibi giden olaylara yol açan çalışanların davranışlarını atlayabilen gelişmiş kimlik avı saldırılarına karşı hâlâ savunmasız kalıyorlar.
Microsoft’un kontrolleri ile entegre bulut e-posta güvenliği (ICES) çözümlerinin birleştirilmesi, gelen ve giden e-posta güvenliği olaylarının tüm yelpazesini kapsar; dolayısıyla kuruluşların büyük bir kısmının seçeneklerini tartması pek de şaşırtıcı değildir.
Rapordan elde edilen bulgulara göre, e-posta güvenliği riskleri, geçtiğimiz yıl %94’ünün güvenlik olayları yaşadığı kuruluşlar için en büyük endişe kaynağı olmaya devam ediyor. Buna rağmen katılımcıların çoğunluğuna göre eğitim yalnızca uyumluluk gerekliliklerini karşılamak için veriliyor ve %88’i SAT’ı uyumluluk amacıyla yaptığını kabul ediyor.
Siber güvenlik liderleri geleneksel eğitimin etkinliği konusundaki şüphelerini dile getiriyor
Eğitim ilgi çekici, kısa modüller halinde ve çalışanın görevleriyle alakalıysa, iş günü boyunca gerçek zamanlı öğretilebilir anlarla zenginleştirici bir aktivite olmalıdır, ancak siber güvenlik liderleri şu anda çalışanların eğitimi olabildiğince çabuk atlamasından ve bunun eğitimi sinir bozucu buluyorlar.
Bunu akılda tutarak, siber güvenlik liderlerinin %91’inin geleneksel eğitimin etkinliği konusunda şüpheleri olması ve eğitimlerin ekiplere veya bireylere özel hale getirilmesinin yaygın olarak sunulmaması şaşırtıcı değil.
Kuruluşların yalnızca %19’u çalışanların çalıştığı departmana veya ekibe yansıyan SAT sağlıyor ve kuruluşların yalnızca %9’u eğitimi bireysel çalışana göre uyarlıyor.
Kaliteli öğrenme bir şirketin en büyük riskini en güçlü savunmalarından birine, yani çalışanlarına dönüştürebildiğinden, bunun sonuçları hem çalışanlar hem de organizasyonlar için önemlidir.
Egress Tehdit İstihbaratı Başkan Yardımcısı Jack Chapman, “Kuruluşlar gelişmiş kimlik avı saldırıları, insan hatası ve veri hırsızlığı söz konusu olduğunda güvenlik açıklarıyla karşı karşıya kalmaya devam ediyor ve ortaya çıkan eğilimleri analiz etmek, savunmaları güçlendirmenin anahtarı olacak” dedi.
“Rapor aynı zamanda siber güvenlik liderlerinin kimlik avı saldırılarına karşı savunmasız olduklarını nasıl bildiklerini de vurguluyor. Kuruluşların %58’i son 12 ayda hesap ele geçirme olayları yaşadı ve bunların %79’u bir çalışanın kimlik bilgilerini toplayan bir kimlik avı e-postasıyla başladı. Bu nedenle, kimlik avı saldırılarının ve ele geçirilen hesapların Siber Güvenlik liderlerimiz için endişe yaratması şaşırtıcı değil.
“Yapay zekanın siber suçlular tarafından kullanılması da liderlerimizin aklında yer alıyor ve haklı olarak da öyle. Chatbotların kimlik avı saldırıları oluşturmak için kullanıldığını kanıtlamak şu anda imkansız olsa da, siber suçlular genellikle elde edebilecekleri her avantajdan yararlanıyor. Kuruluşlar geride kalmayı göze alamaz ancak savunmalarının siber suçluların metodolojisine ve bunun sonucunda ortaya çıkan saldırılara ayak uydurmasını sağlamalıdır.
“Bu son rapordaki istatistikler gerçekten şaşırtıcı; Şirketlerin %94’ü son 12 ayda güvenlik olayları yaşadı ve siber güvenlik liderlerinin %95’i e-posta güvenliği konusunda stresli. Organizasyonların acilen yaklaşımlarını uyarlamaları gerekiyor, aksi halde kendilerini gelecek yıl aynı konumda bulma riskiyle karşı karşıya kalacaklar,” diye tamamladı Chapman.