Siber istihbarat platformu SecurityScorecard tarafından bugün yayınlanan yeni istatistiklere göre, üçüncü bir taraftan kaynaklanan kayıtlı tüm siber güvenlik ihlallerinin yaklaşık %75’i, kurbanın yazılım ve teknoloji tedarik zincirindeki diğer kuruluşların saldırıya uğramasından sonra meydana geldi.
Veriler, üçüncü taraf ihlallerinin SecurityScorecard tarafından 2023’te kaydedilen tüm ihlallerin yaklaşık %29’unu oluşturduğunu gösteriyor; ancak saldırı vektörlerinin önemli ölçüde eksik raporlandığı göz önüne alındığında, bu büyük olasılıkla gerçek sayının önemli ölçüde eksik beyan edildiği anlamına geliyor.
Kaseya, Progress Software ve SolarWinds gibi büyük isimler tarafından işletilen platform ve hizmetleri kapsayan büyük ölçekli ihlallerin gösterdiği gibi, teknoloji tedarik zincirlerindeki güvenlik açıkları son yıllarda siber suçlular için ölçülemez derecede değerli olduğunu kanıtladı. Bu durumun ortaya çıkmasının nedeni, tedarikçinin teknolojisinden taviz verilmesinin, tehdit aktörlerinin alt müşterilerine minimum çabayla saldırmalarına olanak sağlamasıdır.
“Tedarikçi ekosistemi, fidye yazılımı grupları için son derece arzu edilen bir hedeftir. SecurityScorecard tehdit araştırması ve istihbarattan sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, “Üçüncü taraf ihlal mağdurları genellikle bir fidye yazılımı notu alana kadar bir olayın farkında olmazlar, bu da saldırganların tespit edilmeden yüzlerce şirkete sızmasına zaman tanır” dedi.
SecurityScorecard’ın verileri, geçen yıl, tedarik zinciri saldırılarının özellikle bir tehdit aktörünün, atfedilebilir üçüncü taraf ihlallerinin %64’ünü oluşturan Clop (diğer adıyla Cl0p) fidye yazılımı ekibinin hakimiyetinde olduğunu ve onu yalnızca yönetebilen LockBit’in takip ettiğini ortaya koyuyor. %7. Bu, elbette, Clop/Cl0p’nin, Progress Software’in MOVEit aracını kritik, şimdi yamalı, sıfır gün güvenlik açığı olan CVE-2023-34362’yi kullanarak dramatik ve geniş kapsamlı bir şekilde tehlikeye atmasıyla körüklendi.
Bunlar arasında, MOVEit ve diğer iki güvenlik açığı, Citrix Bleed ve ağırlıklı olarak Japonya’da kullanılan bir dosya depolama sistemi olan Proself, bir güvenlik açığının belirtildiği tüm üçüncü taraf ihlallerinin %77’sinde yer aldı.
Büyük hedefler
Sağlık hizmetleri ve finansal hizmetler, tedarik zinciri saldırıları da dahil olmak üzere üçüncü taraf ihlallerinden en çok mağdur olan sektörler olarak ortaya çıktı; gözlemlenen saldırıların %35’i sağlık uzmanlarını ve %16’sı finansal hizmetleri hedef aldı.
Sağlık sektörü, özellikle özelleştirilmiş, sigorta odaklı pazarlarda hasta bakım döngüsünün çeşitli bölümlerine katkıda bulunan çok sayıda tedarikçi ile karmaşık ilişkiler ekosistemlerine güvenme eğilimi nedeniyle üçüncü taraf saldırılarının kurbanı olmaya özellikle yatkın olabilir. Amerika Birleşik Devletleri’nde olduğu gibi, ancak bir dereceye kadar NHS’de de.
Gözlemlenen ihlallerin çoğunluğu (%64) Kuzey Amerika’da gerçekleşti ve bunların %63’ü ABD’den oluştu. Sadece %9’u Avrupa’da, %3’ü İngiltere’de, %22’si APAC’ta, %4’ü Avustralya’da gerçekleşti. SecurityScorecard analistleri, güvenlik tedarikçilerinin ve haber medyasının ABD, Avustralya ve İngiltere gibi pazarlara odaklanması nedeniyle coğrafi farklılıkları tespit etmenin daha zor olabileceği konusunda uyardı.
İngilizce konuşulan dünyanın ötesinde, Japonya önemli ölçüde daha yüksek oranda üçüncü taraf ihlalleriyle karşılaştı (ve APAC’ta kaydedilen vakaların yüksek hacmine katkıda bulundu). Bu muhtemelen Japonya’nın başlıca endüstrilerindeki uluslararası ortaklıklara olan ciddi güvenden kaynaklanmaktadır ve muhtemelen kısmen Japonya’da karmaşık, birbirine bağımlı şirket ağları üreten geleneksel keiretsu iş modelinin mirasıdır.
Önemli keiretsus’lar arasında kendi adını taşıyan işletmelerinin yanı sıra kamera üreticisi Nikon ve bira fabrikası Kirin’i de işleten Mitsubishi; ve üyeleri arasında otomobil üreticisi Mazda ve elektronik firması NEC’i sayan Sumitomo yer alıyor.
Üçüncü taraf riski herkesi etkiler
Bununla birlikte, Japonya ve ABD ile karşılaştırıldığında Birleşik Krallık’ta çok az sayıda ihlal kaydedilmiş olsa da, herhangi bir kuruluşun üçüncü taraf riskine dikkat etmemesi için hiçbir mazeret yoktur; verilere göre, kuruluşların %98’inin artık bir noktada ihlale uğramış bir üçüncü tarafla ilişkisi var ve Gartner’a göre bu tür bir ihlali düzeltmenin maliyeti genellikle dahili bir ihlali düzeltmenin maliyetinden çok daha yüksek Bazı durumlarda bu oran %40’a kadar çıkıyor.
“Dijital çağda güven, siber güvenlikle eş anlamlıdır. SecurityScorecard CEO’su ve kurucu ortağı Aleksandr Yampolskiy, şirketlerin dijital ve üçüncü taraf ekosistemlerinde sürekli, ölçüm odaklı, iş odaklı siber risk yönetimi uygulayarak dayanıklılığı artırması gerektiğini söyledi.