Yaygın güvenlik açıkları ve maruz kalmalar (CVE’ler) son birkaç yıldır artıyor ve durma belirtisi göstermiyorlar. Ulusal Güvenlik Açığı Veritabanına endişe verici bir hızla yeni güvenlik açıkları ekleniyor ve inanılmaz hacim, bunların izlenmesini giderek zorlaştırıyor.
2000 yılında, açıklanan yalnızca yaklaşık 1.000 güvenlik açığı vardı. Bu düşük hacimle, güvenlik ekipleri bunları verimli bir şekilde gözden geçirip düzeltebildi: Sistemler daha az karmaşıktı ve daha kolay bir şekilde siloya alınıyordu ve toplam sayı bugüne göre daha düşüktü. Şimdi, açıklanan güvenlik açıklarının sayısı 2022’de 23.000’in üzerine çıktı – 22 yılda %2.200’lük bir artış. Ve 10 yıllık verilere dayanan Mevsimsel ARIMA modelimize dayalı olarak Coalition, 2023’te 270’i yüksek önemde ve 155’i kritik önemde CVE dahil olmak üzere ayda 1.900’den fazla yeni CVE öngörüyor.
Bir kuruluşun hayatta kalması için iyi bir siber güvenlik hijyeni gerekli olduğundan, her yerdeki CISO’lar için bu büyük miktarda bilgi göz korkutucu olabilir. Bununla birlikte, tüm CVE’ler kötüye kullanılabilir bile değildir ve CVE’ler için açıklardan yararlanma oluşturmanın farklı derecelerde zorlukları vardır.
Durum, farklı teknik ve dijital gereksinimleri olan ve siberin odak alanı olmayabileceği sektörler için daha da bunaltıcı olabilir. Ayrıca, bu güvenlik kusurları da her sektörü aynı şekilde etkilemez. Örneğin, sağlık veya emlak sektörlerine göre tüketici sektörü için bir güvenlik açığına farklı öncelik verilmesi gerekebilir.
Aşağıda, günümüzün güvenlik açıklarının çeşitli sektörleri nasıl etkilediğini inceleyen Coalition’ın Siber Tehdit Endeksi 2023’ten elde edilen bulguları inceleyeceğiz. Analiz, tamamen sigorta fiyat teklifi süreci sırasında bu şirketler üzerinde yürütülen yüklenim taramalarından oluşturulan toplamalardan kaynaklanmaktadır.
Sağlık ve Gayrimenkul CVE’leri Daha Az Ciddi Olma Eğilimine Sahiptir
Fidye yazılımı saldırganlarının ağa girerlerse yararlanabilecekleri kişisel olarak tanımlanabilir bilgilerin (PII) hacmi göz önüne alındığında, sağlık sektörü siber saldırılara karşı özellikle savunmasızdır. Gayrimenkul sektörü, yönetilen hassas kiracı ve mal sahibi uygulama verileri nedeniyle de birinci sınıf bir hedeftir.
Her ikisi de dijitalleşme ile çekici hedefler haline geldi. Pandemi sürecinde hastaneler sanal doktor randevularına geçmek zorunda kaldı. Gayrimenkul, bina verilerini analiz etmek ve operasyonları iyileştirmek için Nesnelerin İnterneti (IoT) cihazlarını kullanan akıllı binaların yükselişini yaşadı. Bu dijital evrimlerin her ikisi de saldırı yüzeyini buluta doğru genişletti.
Ancak sağlık hizmetleri ve gayrimenkul, varlık veya teknoloji hizmetleri başına daha fazla güvenlik açığı veya sorunu tespit etme eğiliminde olsa da, bunların genellikle hedef alındığını gördük. daha az zararlı CVE’ler. (Gümüş kaplama!)
Sağlık hizmetleri aynı zamanda ortalama olarak en düşük sayıda belirgin ihlalden birine sahip olup, bu daha az zararlı CVE’lerin etkisinin daha küçük olduğunu göstermektedir.
Bu düşük sömürü düzeyi, gayrimenkul ve sağlık hizmetlerinin ortalama olarak daha az teknoloji kullanma eğiliminde olmasından kaynaklanıyor olabilir. Ve bunu kullandıklarında, genellikle diğer sektörlere kıyasla daha güvenilir ve istikrarlı teknoloji yığınlarını tercih ederek genel saldırı yüzeylerini azaltırlar.
Sağlık hizmetleri ve gayrimenkulün daha az ciddi CVE’lere sahip olması, kuruluşların yama uygulamaması gerektiği anlamına gelmez. Ancak, hangi güvenlik açıklarının önceliklendirilmesinin en önemli olduğunu ve güvenlik açıklarının onları nasıl farklı şekilde etkileyebileceğini daha iyi anlamak için güvenlik duruşlarındaki boşluklara daha bütünsel bir bakış açısı getirme ihtiyacına işaret ediyor.
Daha Yüksek Risk Altındaki Tüketici Hizmetleri ve Teknolojisi
Sağlık ve gayrimenkulden farklı olarak, teknoloji ve tüketici hizmetleri karmaşık, dijital yönelimli teknoloji yığınlarına sahiptir. Teknoloji endüstrisi, geliştiricilerin favorileri jQuery, Microsoft IIS, NGINX ve Cloudflare gibi en fazla sayıda farklı teknolojiyi kullanır. Bulutta barındırılan teknolojilerdeki artış, teknoloji endüstrisinin saldırı yüzeyini genişletiyor.
Teknoloji sektörü için kurtarıcı lütuf, güvenliğin daha keskin bir şekilde farkında olması ve bu nedenle sorunları daha hızlı düzeltmesi olabilir. Muhtemelen bu nedenle teknoloji sektörü, 2022’de ortalama 5,59 ihlalle şirket başına en düşük veri sızıntısı oranına sahiptir.
Analizimize göre, tüketici hizmetleri sektörü en yüksek varlık yüzdesini bulutta depoluyor. Bu şaşırtıcı çünkü sektör, müşterilerin PII’sini işliyor ve saklıyor. PII’yi bulutta depolamak önemli bir güvenlik riskidir çünkü doğru şekilde yapılmadığı takdirde herkesin görüntülemesi ve indirmesi için açığa çıkabilir. Tüketici hizmetlerinin buluttaki güvenlik açıklarına karşı tetikte olması ve bir tehdit aktörünün bulutta depolanan verileri nasıl istismar edebileceği konusunda farkındalığı artırması gerekir.
Her sektörü etkileyen CVE’lere baktığınızda, tüketici hizmetleri ve teknoloji sektörleri, 2022’de analiz ettiğimiz sektörler arasında en yüksek ortalama önem derecesine sahip sektörlerdir. Geçen yıl boyunca, tüketici hizmetleri sektörü 10 üzerinden 9,36 ortalama CVE kritikliğine sahipti ve teknoloji ortalama 10 üzerinden 9,29’a sahipti. (Gayrimenkul, bağlam için 10 üzerinden 7,78 gibi çok daha düşük bir puana sahipti). Bu daha yüksek önem düzeyi, bu iki sektörü etkileyen CVE’lerin çok daha önemli etkilere sahip olduğu ve en fazla hasara neden olma potansiyeline sahip olduğu anlamına gelir.
Tehditlere Buna Göre Müdahale Edin
Güvenlik açıklarının bu farklı sektörleri nasıl etkilediğini anlamak, siber sigortacılar da dahil olmak üzere siber güvenlik satıcılarının riski değerlendirirken daha akıllı kararlar almasına yardımcı olabilir. Ayrıca, şirketlerin belirli risklerine göre sorunları ve kusurları yamalayarak güvenlik duruşlarını iyileştirmelerine yardımcı olur. Kuruluşlar, bir güvenlik açığının kritikliğinin ötesine bakmalıdır. Güvenlik ekiplerinin ayrıca güvenlik açığının bulunduğu bağlamı, üzerinde bulunduğu varlığın türünü ve sonuçlanabilecek kayıp türlerini de dikkate alması gerekir.
Ortalama saldırıların dökümü, şiddeti ve saldırı yüzey boyutundaki bu farkın tümü, farklı sektörlerdeki kuruluşların güvenlik açıklarına nasıl farklı şekilde öncelik vermesi gerektiğini belirler. Sonuç olarak, teknoloji savunmalarını ve insan kaynaklarını da nasıl tahsis etmeleri gerektiğini gösteriyor.