| Sektörden Haberler
OPSWAT, kritik altyapıların e-posta siber saldırılarından nasıl etkilendiğini, güvenlik açıklarını ve uyumsuzluğu ortaya çıkardığını bildirdi
Kritik altyapı koruma (CIP) siber güvenlik çözümleri sağlayıcısı OPSWAT, kritik altyapı sektörlerinde faaliyet gösteren kuruluşların, ekonomik, finansal ve sağlık sistemlerine zarar verebilecek fiziksel altyapıları kontrol etmeleri nedeniyle artan siber saldırı uyarıları altında çalıştığını gösteren veriler yayımladı. Veriler, kritik altyapı sektörlerinde birincil siber güvenlik saldırı vektörünün e-posta olduğunu ve uyarı seviyelerinin giderek yükseldiğini, e-posta koruma etkinliğinin ise düşük olduğunu ortaya koydu. Ayrıca, çoğu kuruluşun son 12 ayda birden fazla kez ihlal edildiği ve yarısının mevcut korumalarına güvenmediği, çoğunun yaklaşımlarının ‘en iyi sınıf’ olmadığının farkında olduğu belirtildi.
OPSWAT 2024 Raporu: ‘Kritik Altyapı Kuruluşlarına Yönelik E-posta Güvenlik Tehditleri’ başlıklı raporunda, kritik altyapının hala bir hedef olduğunu belirledi. Son 12 ay içinde kritik altyapı kuruluşlarının %80’i e-posta ile ilgili güvenlik ihlallerine maruz kaldı ve bu durum, bu sektörlerin siber tehdit aktörleri için ne kadar cazip olduğunu gözler önüne serdi. Siber güvenlikteki ilerlemelere rağmen, kuruluşların %48’i mevcut e-posta güvenlik savunmalarına güvenmiyor, bu da onları yıkıcı olabilecek siber saldırılara karşı savunmasız bırakıyor. Ayrıca, uyumsuzluk önemli operasyonel ve ticari riskler doğuruyor: Şaşırtıcı bir şekilde, kuruluşların %65’i düzenleyici standartlara uymuyor ve kendilerini büyük operasyonel ve ticari risklere maruz bırakıyor.
OPSWAT raporu, e-postanın tüm sektörlerde iletişim ve üretkenlik için gerekli bir araç olduğunu, ancak aynı zamanda saldırganların kimlik avı girişimleri, kötü amaçlı bağlantılar ve zararlı ekler yoluyla güvenlik açıklarından yararlandığı birincil saldırı vektörü olduğunu belirtti. “Bir kez sızıldığında, bu tehditler ağlar boyunca yayılabilir ve hem BT hem de operasyonel teknoloji (OT) ortamlarını tehlikeye atabilir. Alarm verici bir şekilde, katılımcıların yarısından fazlası e-posta mesajlarını ve eklerini varsayılan olarak zararsız kabul etti ve e-posta risklerinin farkında değildi,” diye ekledi.
“Bu umursamaz yaklaşım, sıfır güven zihniyetinin benimsenmesi gerektiğini vurguluyor,” dedi OPSWAT baş ürün sorumlusu Yiyi Miao, bir blog yazısında. “E-posta ile ilgili ihlallerin yaygınlığı, kritik altyapı kuruluşları için önemli bir tehdit oluşturuyor ve bu da yerleşik iletişim ve veri alışverişi kanallarına karşı daha güçlü, önlem odaklı bir savunma stratejisine geçilmesi gerektiğini ortaya koyuyor.”
OPSWAT ayrıca, kritik altyapı sektörlerinde e-postanın birincil siber güvenlik saldırı vektörü olduğunu ve kritik altyapı sektörlerindeki kuruluşlara yönelik siber güvenlik tehditlerinin %75’inin e-posta yoluyla geldiğini kaydetti. İki kuruluştan biri için, e-posta yoluyla gelen tehditlerin oranı %61 ile %100 arasında değişiyor.
Bu araştırmadaki kritik altyapı kuruluşlarının %48’i, mevcut e-posta güvenliği korumalarının e-posta kaynaklı saldırılara karşı yeterli olduğuna güvenmiyor. Yalnızca %34,4’ü GDPR gibi e-posta ile ilgili düzenlemelere tamamen uyumlu ve %63,6’sı e-posta güvenliğine yönelik yaklaşımlarının ‘sınıfının en iyisi’ olduğundan emin değil.
Raporda ayrıca kuruluşların %80’inden fazlasının önümüzdeki 12 ay içinde tüm e-posta saldırı türlerinin tehdit seviyelerinin artmasını veya aynı kalmasını beklediği açıklandı. Çoğu kuruluş e-postaya varsayılan olarak kötü amaçlı olarak yaklaşmaz. Bu araştırmadaki kritik altyapı kuruluşlarının yarısından fazlası, mesajların ve dosyaların varsayılan olarak iyi huylu olduğu varsayımıyla hareket ediyor veya varsayılan olarak hem iyi huylu hem de varsayılan olarak kötü huylu olduğu hatalı varsayımıyla hareket etmeye çalışıyor. Çok daha fazla firmanın e-posta güvenliği için sıfır güven yaklaşımlarını benimsemesi gerekiyor.
OPSWAT, e-posta saldırılarının oluşturduğu tehdit düzeyinin önümüzdeki 12 ay içinde artacağı beklentisiyle, e-posta güvenliği duruşlarını güçlendirmeyi amaçlayan kritik altyapı kuruluşlarının, e-posta yoluyla taşınan tehditlerin önlenmesi ve engellenmesine vurgu yapan etkili bir yaklaşım benimsemeleri gerektiğini belirtti.
Kritik altyapılardaki kuruluşlar ortak özelliklere sahiptir: fiziksel altyapıyı kontrol eden BT ve OT sistemlerini yönetirler ve bu da onları ulusal güvenliği baltalamayı ve yaygın kesintilere neden olmayı amaçlayan ulus devlet aktörleri için çekici hedefler haline getirir. Ek olarak, bu sistemlere yapılan saldırılar vatandaşlar üzerinde olumsuz sağlık ve refah etkilerine sahip olabilir. Bu faktörler siber güvenliğin, özellikle e-posta güvenliğinin kritik önemini vurgular.
Bu kuruluşlar, enerji ağları, nükleer santraller, gıda tedarik zincirleri, ulaşım sistemleri ve su yönetimini kapsayan, fiziksel altyapıyı ve bunların çalışmasını sağlayan cihaz ve denetleyici ağını yönetir. Başarılı saldırılar yalnızca verileri değil, fiziksel dünyadaki eylemleri de etkiler ve BT ağında başlayan saldırılar genellikle OT ağında daha yıkıcı etkiler peşindedir. Ayrıca, kritik altyapı sektörlerindeki kuruluşlara saldırıldığında, etkilenen herkes için normal yaşam sekteye uğrar. Bu tür saldırılar, hedef ülkedeki güvenlik ve huzur duygusunu bozmak isteyen ulus-devlet aktörleri için çok çekici hale gelir ve hem hükümetleri hem de vatandaşları uyarır.
OPSWAT, siber saldırıların sağlık kuruluşlarında, su ve atık su arıtma tesislerinde ve büyük gıda ve tarım tedarikçileri ve tedarik zincirlerinde normal operasyonları aksattığını belirtti. Sağlık sektöründe, bu durum fidye yazılımı olayından sonra sistemlerin erişilemez olması nedeniyle hasta ölümlerine kadar gidebilir . Su arıtma tesislerine yönelik saldırılar da binlerce kişinin sağlık seviyelerini tehdit ediyor.
Araştırmaya katılan kuruluşların %65,2’si, e-posta güvenliğinin kritik altyapı sektörlerindeki kuruluşlar için kritik olmayan altyapı sektörlerindeki kuruluşlara göre daha önemli olduğu konusunda yüksek oranda hemfikirdi .
Raporda, kritik altyapı sektörlerindeki kuruluşların e-posta güvenliğinin etkinliğini artırmak için daha iyi e-posta güvenliği teknolojileri bulmaları gerektiğini bildiklerini ortaya çıkardı. Bu sorun, kuruluşların gerekli e-posta güvenliği seviyesini sağlamasını engelliyor (%77,6 oranında) ve %43,6 ile ‘son derece etkili’ olarak en yüksek derecelendirmeye sahip sorundur.
OPSWAT ayrıca daha iyi e-posta güvenliğinin önünde engel olarak görülen üç ek sorun olduğunu belirtiyor. Bunlar arasında şirket içinde doğru profesyonel becerilerin eksikliği; e-posta kaynaklı tehditlere ilişkin görünürlük eksikliği; ve e-posta güvenliği çözümleri için yetersiz bütçe yer alıyor.
Veriler, kuruluşların %74,8’inin gerekli şirket içi profesyonel becerilere sahip olmadığını ortaya koydu ve bu da e-posta güvenlik platformlarını etkili bir şekilde yönetmek ve işletmek için siber güvenlik uzmanlarına ihtiyaç duyulduğunu vurguladı. Bu, yönetilen hizmetler ortağı (MSP) ile çalışılarak bir dereceye kadar desteklenebilir. Ayrıca, gelen kutusuna ulaşan e-posta güvenlik tehditlerinin sayısını azaltan daha iyi araçlar, olay yanıtlama becerilerine olan ihtiyacı azaltır.
Raporda ayrıca e-posta kaynaklı tehditlere ilişkin görünürlüğün %71,6 oranında olmamasının, değişiklik uygulama isteğinin azalmasına yol açtığı ortaya çıktı. Gelişmiş görünürlük, daha fazla içgörüye yol açar ve bu da harekete geçme motivasyonunu artırır. Kuruluşların %65,2’si sık sık e-posta güvenliği olaylarıyla karşılaşmasına ve ilişkili maliyetleri karşılamasına rağmen, bu olayların meydana gelmesini önlemek için daha etkili e-posta güvenliği çözümlerine yatırım yapma konusunda isteksiz kalmaya devam ediyorlar.
Sonuç olarak OPSWAT, kritik altyapı sektörlerindeki kuruluşların siber suçlular ve ulus-devlet aktörleri tarafından sık sık saldırıya uğradığını söyledi. E-posta, birincil saldırı vektörüdür ve birçok bakış açısından, kuruluşlar bu saldırıların başarılı olmasını önlemek için şu anda olduğundan çok daha iyisini yapmaları gerektiğini biliyorlar. Çok daha iyisini yapma ihtiyacı, kimsenin katılmadığı bir kabuldür.
Kritik altyapı kuruluşlarının duruşta böylesine dramatik ve hızlı bir iyileşme elde etmek için gerekli eylemleri yapıp yapmayacakları sorusu da eklendi; bu, tehditleri tasarımla değil, tespit umuduyla engelleyen bir durum. Bu, BT ve OT ağları arasındaki bağlantılar nedeniyle özellikle önemlidir; BT tarafında (örneğin, e-posta yoluyla) ortaya çıkan tehditler, OT ağını tehlikeye atmak için döner.
Geçtiğimiz hafta, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 2023 mali yılında (FY23) çeşitli kritik altyapı sektörlerinde yürütülen 143 risk ve güvenlik açığı değerlendirmesinin (RVA) bulgularını özetleyen bir analiz ve bir infografik yayınladı. Bu RVA’lar, siber tehdit aktörlerinin bir ağa veya sisteme yetkisiz erişim elde etmek ve sürdürmek için kullandıkları 14 taktikten 11’ini haritalıyor. Ayrıca, kritik altyapı kuruluşlarının ağlarını güvence altına alma ve koruma yeteneklerini iyileştirecek birkaç üst düzey gözlem de sağladı.