75% من انتهاكات الطرف الثالث تستهدف البرامج وسلاسل توريد تكنولوجيا المعلومات
ما يقرب من 75% من جميع خروقات الأمن السيبراني المسجلة والتي نشأت من خلال طرف ثالث حدثت بعد كيانات أخرى في منطقة الضحية سلسلة توريد البرمجيات والتكنولوجيا تم الهجوم، وفقًا لإحصائيات جديدة نشرتها اليوم منصة الاستخبارات السيبرانية SecurityScorecard.
تمثل انتهاكات الطرف الثالث حوالي 29٪ من جميع الانتهاكات المسجلة بواسطة بطاقة الأداء الأمني في عام 2023، تظهر البيانات، على الرغم من النقص الكبير في الإبلاغ عن نواقل الهجوم، فمن المحتمل جدًا أن يكون هذا أقل من العدد الحقيقي.
أثبتت نقاط الضعف في سلاسل توريد التكنولوجيا أنها ذات قيمة لا تقدر بثمن لمجرمي الإنترنت في السنوات الأخيرة – مثل الانتهاكات واسعة النطاق التي تنطوي على منصات وخدمات تديرها أسماء كبيرة مثل كاسيا, برامج التقدم و سولارويندز أظهرت. إن نشوء هذا الموقف يرجع في جزء كبير منه إلى حقيقة أن التنازل عن تكنولوجيا المورد يمكّن الجهات الفاعلة في مجال التهديد من مهاجمة عملائهم في المراحل النهائية بأقل جهد.
“يعد النظام البيئي للموردين هدفًا مرغوبًا للغاية لمجموعات برامج الفدية. وقال رايان شيرستوبيتوف، نائب الرئيس الأول لأبحاث التهديدات والاستخبارات في SecurityScorecard: “غالبًا ما لا يكون ضحايا اختراق الطرف الثالث على علم بحادث ما حتى يتلقوا مذكرة طلب فدية، مما يتيح الوقت للمهاجمين للتسلل إلى مئات الشركات دون أن يتم اكتشافهم”.
في العام الماضي، كشفت بيانات SecurityScorecard، أن هجمات سلسلة التوريد كانت تهيمن عليها جهة تهديد واحدة على وجه الخصوص، وهي طاقم برنامج الفدية Clop (المعروف أيضًا باسم Cl0p)، والذي يمثل 64٪ من خروقات الطرف الثالث المنسوبة، يليه LockBit، الذي يمكنه إدارة فقط 7%. كان هذا بالطبع مدعومًا بـ Clop/Cl0p’s تسوية دراماتيكية وواسعة النطاق من أداة MOVEit الخاصة بشركة Progress Software باستخدام ثغرة أمنية حرجة تم تصحيحها الآن، وهي CVE-2023-34362.
بينهم، MOVEit واثنين من نقاط الضعف الأخرى، سيتريكس تنزف وProself – وهو نظام لتخزين الملفات يستخدم في الغالب في اليابان – شاركا في 77% من جميع انتهاكات الجهات الخارجية التي تم تحديد ثغرة أمنية فيها.
أهداف كبيرة
وبرزت الرعاية الصحية والخدمات المالية باعتبارها القطاعات الأكثر عرضة لانتهاكات الطرف الثالث، بما في ذلك هجمات سلسلة التوريد، حيث أصابت 35% من عدد الهجمات المرصودة متخصصين في مجال الصحة و16% من الخدمات المالية.
قد تكون صناعة الصحة معرضة بشكل خاص للوقوع ضحية لهجمات طرف ثالث بفضل ميل القطاع إلى الاعتماد على أنظمة بيئية معقدة من العلاقات، مع مساهمة العديد من البائعين في أجزاء مختلفة من دورة رعاية المرضى – لا سيما في الأسواق المخصخصة التي يحركها التأمين مثل مثل الولايات المتحدة، ولكن إلى حد ما في هيئة الخدمات الصحية الوطنية أيضًا.
وحدثت غالبية الانتهاكات المرصودة، 64%، في أمريكا الشمالية، وكانت الولايات المتحدة مسؤولة عن 63% منها. ووقعت 9% منها فقط في أوروبا، و3% في المملكة المتحدة، و22% في منطقة آسيا والمحيط الهادئ، و4% في أستراليا. وحذر محللو SecurityScorecard من أن الاختلافات الجغرافية قد يكون من الصعب تحديدها بسبب تركيز موردي الأمن ووسائل الإعلام الإخبارية على أسواق مثل الولايات المتحدة وأستراليا والمملكة المتحدة.
وبعيداً عن العالم الناطق باللغة الإنجليزية، شهدت اليابان معدلاً أعلى بكثير من الانتهاكات التي يرتكبها طرف ثالث (وساهمت في ارتفاع حجم الحوادث المحجوزة في منطقة آسيا والمحيط الهادئ). ومن المحتمل أن يرجع هذا إلى الاعتماد الكبير على الشراكات الدولية في الصناعات الرئيسية في اليابان، وربما يكون جزئيًا إرثًا من الصناعة التقليدية. كيريتسو نموذج الأعمال، الذي أنتج شبكات معقدة ومترابطة من الشركات داخل اليابان.
وتشمل الشركات المهمة شركة ميتسوبيشي، التي تعمل إلى جانب أعمالها التجارية التي تحمل اسمها، على تشغيل صانع الكاميرات نيكون ومصنع الجعة كيرين؛ وسوميتومو، التي تضم شركة مازدا لصناعة السيارات وشركة الإلكترونيات إن إي سي من بين أعضائها.
تؤثر مخاطر الطرف الثالث على الجميع
ومع ذلك، فقد حدثت انتهاكات قليلة مسجلة في المملكة المتحدة – مقارنة باليابان والولايات المتحدة – فلا يوجد أي عذر لأي منظمة عدم الاهتمام بمخاطر الطرف الثالث; ووفقا للبيانات، فإن 98% من المؤسسات لديها الآن علاقة مع طرف ثالث تم اختراقه في مرحلة ما، ووفقا لشركة جارتنر، فإن تكلفة معالجة مثل هذا الانتهاك عادة ما تكون أعلى بكثير من تكلفة معالجة الخرق الداخلي وتصل إلى 40% في بعض الحالات.
“في العصر الرقمي، الثقة مرادفة للأمن السيبراني. وقال ألكسندر يامبولسكي، الرئيس التنفيذي والمؤسس المشارك لـ SecurityScorecard: “يجب على الشركات تحسين المرونة من خلال تنفيذ إدارة المخاطر السيبرانية المستمرة والمعتمدة على المقاييس والمتوافقة مع الأعمال عبر الأنظمة البيئية الرقمية وتلك التابعة لجهات خارجية”.