Yapılan araştırmalar küçük ve orta ölçekli işletmelerin büyük işletmelere nazaran siber akınlara daha çok maruz kaldığını ortaya koyuyor. Siber güvenlik şirketi ESET’in KOBİ Dijital Güvenlik Hassasiyeti Raporu’nda da yer aldığı üzere, KOBİ’lerin yüzde 69’u son 12 ay içinde bir ihlal bildirdi. Verizon Bilgi İhlali İncelemeleri Raporu’nun 2023 datalarına nazaran 16 bin 312 olayın 5 bin 199’u data ihlali olarak tanımlandı. Tüm bu bilgiler acil tedbir alınması gerektiğini ortaya koyuyor.
Yaygın algının tersine, küçük ve orta ölçekli işletmeler (KOBİ’ler) siber akınların daha çok gayesi oluyorlar. ABD ve Birleşik Krallık’ta işletmelerin yüzde 99’undan fazlası, özel kesim istihdamının çoğunluğu ve gelirin yaklaşık yarısı bu işletmelerden oluşuyor. Bu sayı öteki ülkeler içinde misal büyüklükler gösteriyor.
Verizon’a nazaran, birçok farklılıklarına karşın, KOBİ’ler ve daha büyük kuruluşlar aslında birbirine benziyor. Bulut tabanlı yazılımlar üzere benzeri altyapı ve hizmetleri giderek daha fazla kullanıyorlar, bu da akın yüzeylerinin her zamankinden daha fazla ortak noktası olduğu manasına geliyor. Sisteme müsaadesiz giriş, toplumsal mühendislik ve temel web uygulaması taarruzları günümüzde KOBİ ihlallerinin yüzde 92’sini oluştururken, bu oran 1.000’den fazla çalışanı olan büyük firmalarda biraz daha düşük (%85).
Dış saldırganlar en büyük tehdit : Üçüncü taraf tehdit aktörleri günümüzdeki genel ihlallerin yüzde 83’ünü oluştururken, KOBİ’lere akınlarda bu oran yüzde 94’e yükseliyor. Bu oran, iç aktörlerin sorumlu olduğu genel ihlallerin yüzde 19’u ile karşılaştırıldığında, KOBİ’lerde yüzde 7’ye düşüyor.
Finansal motivasyon en kıymetli etken : İhlallerin büyük çoğunluğu (%95) finansal maksatlı, bu oran KOBİ taarruzlarında yüzde 98’e çıkıyor. Bu durum ulus devletlerin tersine organize kabahatin küçük firmalar için en büyük tehdit olduğunun açık bir göstergesidir. Casusluk KOBİ ihlallerinin yalnızca yüzde 1’ini oluşturuyor.
İnsanlar en zayıf halka: Kurban ağlarına girişin ana tekniği çalınan kimlik bilgileri (%49), bunu kimlik avı (%12) ve güvenlik açıklarından yararlanma (%5) takip ediyor. Bu da çalışanların güvenlik zincirinde zayıf bir halka olduğunu gösteriyor. İhlallerin yüzde 74’ünde insan tesiri var. Bunun nedeni çalıntı kimlik bilgilerinin kullanılması ve kimlik avı olabileceği üzere, yanlış yapılandırma yahut hassas dataların yanlış teslimatı üzere başka teknikler de olabilir.
İş e-postalarının ele geçirilmesi (BEC) iki katına çıktı: Bir evvelki rapordan bu yana tüm olaylarda (Verizon’un BEC’e benzediğini söylediği) “bahane uydurma” olaylarının sayısı iki katına çıktı. Bu durum bahaneyi kimlik avından daha büyük bir tehdit haline getirmiştir lakin ikincisi gerçek bilgi ihlallerinde hala daha yaygındır. BEC’de kurban, saldırganın denetimindeki bir banka hesabına büyük ölçüler aktarması için kandırılır. Bu dolandırıcılık tipi, taarruzlarda insan faktörünün ne kadar değerli olduğunun bir öbür göstergesidir. Burada KOBİ’lere mahsus istatistikler bulunmamakla birlikte, BEC yoluyla çalınan ortalama meblağ 50.000 dolara yükselmiştir.
Maliyetler artarken fidye yazılımları en büyük tehdit olmaya devam ediyor: Fidye yazılımları, bilgilerin şifrelenmeden evvel çalınması manasına gelen ikili gasp taktikleri sayesinde artık ihlallerin dörtte birinin (%24) özelliği haline geldi. Bu oran geçen yıla nazaran fazla değişmedi lakin Verizon bu tehdidin “her büyüklükteki ve her daldaki kuruluşlar ortasında yaygın olduğu” konusunda uyarıyor. Ortalama maliyetler yıllık olarak iki kattan fazla artarak 26.000 Amerikan Dolarına ulaştı lakin bu meblağ çok daha yüksek olabilir.
Sisteme müsaadesiz girişler hücum tiplerinin başında geliyor: KOBİ ihlalleri için birinci üç hücum modeli sırasıyla sisteme müsaadesiz giriş, toplumsal mühendislik ve temel web uygulaması ataklarıdır. Bunlar, ihlallerin yüzde 92’sidir. Sisteme müsaadesiz giriş, fidye yazılımları da dahil olmak üzere “hedeflerine ulaşmak için makus emelli yazılımlardan ve/veya bilgisayar korsanlığından yararlanan karmaşık saldırıları” söz eder.
Kaynak: (BYZHA) Beyaz Haber Ajansı
EĞİTİM
22 Kasım 2024SPOR
22 Kasım 2024SAĞLIK
22 Kasım 2024SAĞLIK
22 Kasım 2024TEKNOLOJİ
22 Kasım 2024EĞİTİM
22 Kasım 2024Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.