Trustwave'e göre teknoloji sektöründeki hızlı dijital dönüşüm ve teknolojik ilerleme, bu alanda faaliyet gösteren şirketlerin saldırı yüzeyini genişletti.
Sektör geliştikçe Hizmet Olarak Yazılım (SaaS) sağlayıcılarının, bulut altyapısının ve internete bağlı sistem ve cihazların çoğalması da büyümeye devam ediyor. Bu büyüme genellikle şirketi ve müşterilerini açığa çıkaran güvenlik açıklarının takip edilememesi ve düzeltilememesi gibi yeterli güvenlik önlemlerinin uygulanmasını aşan bir oranda gerçekleşiyor.
Siber suçlular çok kanallı saldırılar oluşturmak için yapay zekayı kullanıyor
Yenilik, teknoloji endüstrisini besler, ancak bunun bir bedeli vardır. Değerli veriler ve fikri mülkiyetle dolup taşan sektör, siber saldırıların ana hedefidir. Bu saldırılar yıkıcı olabilir, hassas bilgileri açığa çıkarabilir ve şirketleri felce uğratabilir.
Çoğu durumda teknoloji şirketleri üçüncü taraflardır ve muhtemelen çoğu tedarik zinciri saldırısının temel nedenidir. Ayrıca yazılım şirketleri ve altyapı sağlayıcıları gibi belirli teknoloji alt sektörlerinin karmaşık tedarik zincirleri var ve bu da tüm bileşenlerin ve hizmetlerin güvenliğinin sağlanmasını zorlaştırıyor. Bu üçüncü taraf sağlayıcılar, daha zayıf siber güvenlik savunmalarına sahip olabilecekleri için çekici hedeflerdir.
Teknoloji sektörünün aralıksız yenilik arayışı bazen güvenliğin pahasına gerçekleşebilir. Yapay zeka gibi yeni özelliklerin pazara sunulması, test edilmemiş bileşenlerin entegrasyonu gibi kısayollara yol açabilir. Bu bileşenlerin güvenlik açıkları açısından titizlikle değerlendirilmemesi, saldırganlara potansiyel arka kapılar bırakıyor.
Siber suçlular, sahte videolara bağlantı veren e-postalardan başlayarak çok kanallı saldırılar oluşturmak için yapay zekayı kullanıyor; bu, dolandırıcılığı daha da ikna edici hale getirecek bir hile. Bunun bir örneği, alıcılara sözde hisse senedi alım satım platformu 'Quantum AI' aracılığıyla para kazanma fırsatı sunan ve insanları daha da fazla kandırmak için Elon Musk'un deepfake videosunu kullanan bir e-postadır.
Evleri korumaya yönelik Zil Kapı Zili gibi akıllı teknolojiler aslında onları çeşitli siber saldırılara açık hale getiriyor.
Teknoloji şirketleri artan siber tehditlerle karşı karşıya
Modern fidye yazılımı çeteleri gasp oyununu artırdı. Fidye yazılımını dağıtmadan önce hassas verileri çalıyorlar ve ardından kurbanlara ödeme yapmaları için baskı yapmak amacıyla bunları kamuya açık hale getiriyorlar.
Üç fidye yazılımı grubu (LockBit 3.0, Cl0p, ALPHV, diğer adıyla BlackCat), teknoloji kuruluşlarına yönelik saldırı iddialarının %60'ından fazlasını oluşturuyor. Kötü amaçlı PDF'lerin neredeyse %40'ının Geek Squad, PayPal ve McAfee gibi tanınmış markaların kimliğine büründüğü kimlik avı, en büyük tehdit olmaya devam ediyor.
Evrensel bir kural olmamakla birlikte teknoloji sektöründe çalışan bireylerin diğer sektörlerdekilere göre kripto para kullanma olasılıklarının daha yüksek olduğu sıklıkla gözlemlenmiştir. Kimlik avı saldırıları, dijital cüzdanları hakkında kritik bilgiler elde etmek için kripto kullanıcılarını giderek daha fazla hedef alıyor.
Telekomünikasyon şirketleri, SaaS sağlayıcıları ve barındırma şirketleri gibi teknoloji şirketleri, büyük hacimli hassas ve değerli verilere sahip olmaları nedeniyle siber tehditlerin ana hedefleridir. Bu yüksek değerli veriler, finansal kazanç, casusluk veya diğer kötü niyetli motivasyonlar nedeniyle tehdit aktörleri için caziptir.
Teknoloji sektörü, e-posta ekleri aracılığıyla kötü amaçlı yazılımlarla sıklıkla karşılaşıyor. HTML dosyaları özellikle yaygındır ve kimlik bilgilerine yönelik kimlik avı ve kötü amaçlı sitelere yönlendirme amacıyla kullanılır.
Trustwave CISO'su Kory Daniels, “Teknolojiyi ileriye taşıyan sürekli yenilik, iki ucu keskin bir kılıç olabilir” dedi. ” Yeni araştırmamız teknoloji endüstrisinin karşı karşıya olduğu karmaşık tehlike ağını ortaya çıkarıyor. Küçük bir güvenlik ihlali bile bir şirketi sekteye uğratabilir ve iç iş operasyonları, müşterinin güvendiği yazılım ve ürünler ile tedarik zincirlerini destekleyen altyapı da dahil olmak üzere güvendiğimiz hayati sistemlerde art arda kesintilere neden olabilir. Tehditlerin önünde kalarak riske maruz kalmayı en aza indirmek için güvenliğin teknoloji yaşam döngüsünün her aşamasına yerleştirilmesi gerekiyor.”