19
Вт, нояб

Три четверти сторонних взломов нацелены на цепочку поставок программного обеспечения

cyber hakerСогласно глобальному исследованию кибербезопасности, проведенному SecurityScorecard, в прошлом году цепочки поставок программного обеспечения стали объектом 75% атак сторонних программ-вымогателей, а киберзлоумышленники массово используют уязвимости в технологиях цепочек поставок.

«Уязвимости в цепочке поставок технологий позволяют злоумышленникам масштабировать свои операции с минимальными усилиями», — предупреждает американская компания по оценке кибербезопасности.

Публикуя свой глобальный отчет о нарушениях кибербезопасности третьих сторон, SecurityScorecard отмечает, что на долю Северной Америки в 2023 году пришлось 64% взломов третьих сторон, в то время как на Европу пришлось только 9%. SecurityScorecard показывает, что в Японии зафиксирован значительно более высокий уровень нарушений с использованием сторонних векторов атак — 48%.

«Являясь центром автомобилестроения, производства, технологий и финансовых услуг, японские компании сталкиваются со значительным киберриском в цепочке поставок из-за международной зависимости», — говорится в отчете.

SecurityScorecard определяет группу киберпреступников C10p как ответственную за 64% взломов третьих сторон в 2023 году, вызванных атакой MOVEit, за которой следует LockBit с 7%. На атаку MOVEit пришлось 61% всех сторонних взломов в прошлом году.

«Одной из причин широкого распространения нулевого дня MOVEit было то, что он позволял использовать сторонние, четвертые и даже сторонние компрометации», — говорит SecurityScorecard.

В отчете также говорится, что по состоянию на 2021 год 75% организаций признают, что их программы управления рисками третьих сторон выполняются вручную. «Компании должны работать над автоматизацией идентификации поставщиков и управления киберрисками во всей своей цифровой экосистеме», — говорится в отчете.

По данным SecurityScorecard, здравоохранение и финансовые услуги являются секторами, наиболее пострадавшими от взломов третьих сторон: на здравоохранение приходится 35% от общего числа нарушений, а на финансовые услуги приходится 16%.

Райан Шерстобитофф, старший вице-президент по исследованию угроз и аналитике Security Scorecard, говорит: «Экосистема поставщиков является очень желанной целью для групп, занимающихся вымогательством. Жертвы взлома третьих сторон часто не знают об инциденте, пока не получат сообщение о вымогательстве, что дает злоумышленникам время проникнуть в сотни компаний, не будучи обнаруженными».

Доктор Александр Ямпольский, генеральный директор и соучредитель SecurityScorecard, добавляет: «В эпоху цифровых технологий доверие является синонимом кибербезопасности. Компании должны повысить устойчивость путем внедрения непрерывного, основанного на показателях и ориентированного на бизнес управления киберрисками в своих цифровых и сторонних экосистемах».

Подготовлено порталом Allinsurance.kz