2020 Veri Sızıntısı Raporu Değerlendirmesi

2020 Veri Sızıntısı Raporu Değerlendirmesi

2020’nin hayatımızdaki en önemli dönemlerden biri olduğu oldukça açık, teknolojideki ve tehditlerdeki döngüsel değişikliklerin yanı sıra, küresel bir pandemi ile tüm dünyadaki kurumlar ve tüketiciler için bir çok şeyin yeniden planlandığı bir yıl oldu.


Pandemi ile kuruluşların çoğunluğunun (%76) (IBM DBR Report), uzaktan çalışmaya kolay adapte olamaması ve mevcut altyapıların buna hazır olmaması olası bir veri ihlalinde organizasyonlar verimli ve hızlı aksiyon alamamalarına neden oldu.


Yapılan bazı araştırmalarda güvenlik açıkları ve istismarı ile kırmızı takım(RedTeaming) çalışmalarında özellikle sızma testlerine farklı bir yaklaşım olarak geliştirilen pen-test otomasyonları ve çeşitli atak simulasyon/emilasyon yaklaşımları ile güvenliğin doğrulanmasına dayanarak yapılandırılan güvenlik katmanı mavi takim ve ara bir fonksiyon olan Mor Takım(Purple Teaming) performansı üzerine oldu.


Belki şaşırtıcı olmayacak şekilde bu üç takımın en ortak noktası Skills-Gap dediğimiz özellikle saldırgan davranışları ile teknik/taktiklerinin tam olarak anlaşılamaması, bir şekilde beceri eksikliğinin en bariz çıktısını oluşturmaktadır. Buna ek olarak, hangi teknolojinin ataklara nasıl müdahale edeceği ve tespit aşamasında kullanılacağı başlı başına en büyük problem. Mitigation/iyileştirme olarak yapılandırılan bu süreç bir güvenlik modeli içerisinde ilgili teknolojilerin saldırılara karşı verimli kullanılması ve aynı zamanda karmaşıklıktan kaçınılması(Complexity) önemli notlar arasında.


IBM DBR raporuna göre bu yıl veri ihlallerinde ortalama toplam maliyetinin geçen yıla göre düştüğü belirtilmiş. Veri sızıntısı maliyeti 2019’da 3,92 milyon dolardan 3,86 milyon dolara düştü ortalama (-%1.5), bunun etkisi muhtemelen ekonomik olarak küçülmeden kaynaklandığı düşünülebilinir, bunun yanında %52 oranında tehdit aktörleri tarafından gerçekleştirilen hedefli saldırılar olduğu gözlemlenmiş, geçmiş yıllara göre hedefli saldırıların tanımlı bir APT grupları tarafından yapılandırıldığı ve çoğunlukla PII (Personally Identifiable Information) veri türüne yönelik atakların %80 olarak gerşekleşti. Bu durum aslında çok şaşırtıcı değil, verilere illegal erişimlerde geçen sene 143USD olan veri başına maliyet bu sene için ortalama 150USD’a çıkmış durumda. Kritik önemdeki hedefli saldırılarda 175USD seviyesine kadar ulaşabildiği raporlarda belirtilmiş.


COVID-19 ile birlikte uzaktan çalışma organizasyonlara ortalama 137K maliyet getirirken, siber atakların %19u kimlik bilgilerinin elde edilerek siber saldırılar içerisinde kullanılması ile sonuçlanmış, siber ataklar içerisinde güvenlik farkındalığı riski içeren insan etkeni(human error) %23, sistem eksik konfigürasyon ve yapılandırma riski ise %25 olarak belirtilmiş. Bu alanda cloud tarafındaki riskler’de bir yandan büyümekte olduğu ve geçen seneye göre %14 oranında cloud güvenlik teknolojilerinde konfigürasyon eksikleri belirtilmiş.


Sektör dikey kırılımlarına her zamanki gibi finansal kurumları hedefleyen saldırılar %53 oranında gerçeklişmiş sadece COVID-19 gündeminden dolayı bu sene sağlık sektörü finanstan biraz daha fazla atakların hedefi olmuş. Atak profillerinde ise, %13’ü nation state actor dediğimiz devlet destekli saldırılardan oluşmuş, yine %13 haktivist gruplar tarafından ve geriye kalan %21’lik dilim için tehdit aktör profillenedirmesi tamamen bilinmez olarak kalmış durumda, bu yüzde aynı zamanda atak karmaşıklığının ve profillendirmenin zorluğuna da işaret etmekte.


Diğer bir konu özellikle tespit katmanı için kritik önemi olan TTP bilgisinin ilk atak semptomu ortaya çıktıktan sonraki tespit süresine (identify) süresi, patient zero(ilk hasta) olarak adlandırılan bu süre 73 gün ve atağın izlolasyonu (containment) süresi 280 gün olarak belirtilmiş, geçen seneden çok farklı değil aslında. Buradan SOAR teknolojilerinin en azından süreç olgunluğu açısından aynı yerde olduğu yorumunu yapabiliriz. Playbook ve IR süreçlerinin daha iyi yapılandırması bu noktada çok kritik.


Bu seneki enterasan çıktı ise güvenlik olgunluğu ve teknolojik yapılandırması iyi seviyede olanlar ile olmayanlar arasında, buradaki form faktör güvenlik otomasyonu olarak belirlenmiş durumda. Siber dayanıklılık yanı savunma, tespit ve tepki katmalarındaki tüm yapının işlevselliği bu noktada çok önemli. buradaki toplam süreler 74 gün gibi seviyelere düşmekle birlikte ve halen çok yeterli değil gibi duruyor. Gelişmiş bir atağın ilgili zayıflık keşfi ve zararlı aracın geliştirme sürecinin 5-7 gün arasında gerçekleştiği düşünülürse bu rakamlar halen çok yüksek ve verimli değil.


Güvenlik yatırımlarının en çok olduğu ve kurum çalışan sayısı 25K+ olan kurumlarda riskler geçmiş yıllar göre artmış hatta bu seneki genel ortalamanın üzerinde gerçekleşerek 5.52M USD seviyesine ulaşmış. Kurum büyüklüğü 500+ ortalama mid-size kurumlarda ise 2.64MUSD olarak gerçekleşmiş.


Bildiğiniz gibi son bir kaç yıldır Türkiye’de bu tip raporlara ekleniyor, bu sene 1.77MUSD veri sızıntısı maliyeti, ve Amerika Birleşik Devletleri ortalama maliyetlerinde 8.64M ile en yüksek değeri elde etmiş durumda.


Her ülkenin kendi para birimlerinde yapılan analizde ise Türkiye %10.3 ile 2019-2020 arasında bir ivme yakalamış durumda.


COVID-19 nedenli özellikle ransomware saldırı türlerindeki artış bu sene sağlık sektörünü en tepeye çıkarmış ortalama 7.13MUSD ile sağlık kurumları tehdit aktörlerinin öncelikli hedefi olmuş durumunda.


Tehdit aktörleri temelli atak vektörlerine baktığımızda ise kimlik bilglerinin çalınması ve cloud temelli konfigürasyon eksiklikleri lider durumda.


Bu sene ilk defa gördüğümüz bir analiz olan veri sızıntısına pozitif ve negatif etki edebilecek güvenlik teknolojileri üzerine. Bu çıktı güvenlik ataklar karşısındaki güvenlik verimliliği ve yatırımları konusunda oldukça kritik bilgiler sağlıyor.


Raporlarda SOAR teknolojileri ve bu alandaki destekleyici araçların(CTI, VM, DevSecOPS vb) faktörler çok net olarak vurgulanmış, diğer taraftan siber güvenlik profesyonelleri ve kurumların güvenlik yapılandırmalarında ürün karmaşıklığını oldukça arttırmış olmaları siber aktörler için adeta bir oyun sahası haline gelmiş durumda. Güvenlik süreçlerinin standart haline getirilmesi ve entegrasyon önemli faktörler arasında, bunun yanında tehdit aktörlerin saldırı araçları içerisinde TTP bağlamına çok dikkat edilmesi buradaki davranış ve araçların kullanım şekline adapte olacak şekilde güvenlik altyapılarını ve pratikleri kurgulamak artık tüm kurumlar için vazgecilmez.


Kurum varlıklarına erişim güvenliğinde ZeroTrust (ZTNA), PAM stratejilerinin kurum genelinde uygulanması tehdit aktörlerinin kurum kaynaklarına erişimlerini olduça zorlaştıracaktır. Savaş sanatlarından aşina olduğumuz “train like a fighter” mantrası kurumların saldırılara hızlı ve etkili bir şekilde yanıt verme yeteneğini optimize etmeye yardımcı olmak için olay müdahale taktikleri geliştirmek ve test etmek anlamına da gelmektedir, bu sayede kurumlar siber dayanıklılık(resiliance) kabiliyetlerini maksimize ederek çeşitli saldırılar karşısında daha verimli bir güvenlik çıktısı sağlayabilirler.

Yorum yok

Yorum yaz

Yorum
İsim
E-Mail
Website