Üçüncü taraflardan kaynaklanan ihlaller, özellikle fidye yazılımı ve gasp saldırılarında kullanılan yazılım açıklarından dolayı geçen yıl %68 arttı.
Tedarik zinciri ihlalleri yaşandı bir süredir yükselişte. Verizon’un son açıklamasına göre Veri İhlali Araştırmaları Raporu (DBIR)Bu artış son aylarda çok dik oldu. 2023’teki tüm ihlallerin yaklaşık %15’i üçüncü taraflardan kaynaklandı; bu, 2022’deki %9’a kıyasla belirgin bir artış. Ancak bu rakamların saldırı kadar muhasebeyle de ilgisi var.
Bu yılki DBIR’de Verizon Business, “tedarik zinciri ihlali” tanımını yalnızca satıcılar (örneğin, 2013’te Target), veri sorumluları (MOVEit) ve yazılım güncellemeleri (SolarWinds) yoluyla yapılan uzlaşmaları değil, aynı zamanda üçüncül güvenlik açıklarını da kapsayacak şekilde genişletti. parti yazılımı.
Aslında istismar edilen güvenlik açıkları, DBIR’in tedarik zinciri ölçümünün bir parçası olarak takip edilen en yaygın Olay Kaydı ve Olay Paylaşımı (VERIS) eylemiydi ve bunu arka kapılar/komuta ve kontrol (C2) ve gasplar izliyordu. “Geçen yıl fidye yazılımı alanında, ister kendileri araştırıyor, ister satın alıyor olsunlar, şunu gördük: [threat actors] Verizon Business tehdit istihbaratı direktör yardımcısı ve DBIR’in ortak yazarı Alex Pinto, “Çok sayıda sıfır gün güvenlik açığını ele geçirdiler” diyor.
Ancak bunun gibi saldırılar bir tedarik zinciri sorunu olarak mı görülmeli? Kuruluşlar tüm bu farklı saldırı vektörlerini bir araya getirmenin faydasını görebilir mi?
CVE’leri Tedarik Zinciri Sorunu Olarak Tedavi Etmek
Pinto, üçüncü taraf hataları şöyle anımsıyor: “İncelediğimizde bunun sadece bir güvenlik açığı yönetimi sorunu değil, aynı zamanda bazı açılardan satıcı yönetimi sorunu da olabileceğini düşündük. İşte o zaman karar verdik: ‘Denesek nasıl olur? buna bütünsel olarak bakmak için?”
DBIR ekibi için hataların giderilmesi, ortaya çıktıklarında yama yapmaktan daha önemlidir. Kuruluşların tedarikçilerini nasıl seçtikleri ve onlarla nasıl etkileşime geçtikleri ile ilgilidir. Hiçbir kuruluş, kullandıkları yazılımdaki tüm olası güvenlik açıklarını önleyemez, ancak satıcılar, değerli olduklarını gösterebilecek belirli türdeki sinyalleri “sızdırırlar”.
Örneğin Pinto şöyle diyor: “SEC’in yaptığı çalışmaları düşündüğünüzde son zamanlarda daha fazla dış sinyal alıyoruz. Şimdi, gerçekten kötü bir şey olduğunda, [vendors] zorunda SEC’e söyle. Bu bize şu konuda daha fazla sinyal veriyor: İyi bir iş çıkarıyorlar mı, yapmıyorlar mı?”
Verizon Business raporunda kuruluşların “zincirdeki en zayıf halkaları ödüllendirmemek için” daha iyi seçimler yapmanın yollarını aramaya başlamasını tavsiye etti. yanlış seçimler yapmanın sonuçları kaçınılmaz olarak başa çıkılması gereken daha fazla güvenlik açığı olacaktır.
“Tedarikçi yönetimi sürecinde kontrol edebildiğimiz ve kontrol edemediğimiz şeyler var. Dolayısıyla bu tür dış sinyalleri ve duruşumuzu geliştirmek ve satıcılarımızı daha iyi bir duruşa sahip olmaya teşvik etmek için bunu nasıl kullanabileceğimizi hesaba katmalıyız. ” diyor Pinto.