Forrester Pegs B2B Dolandırıcılığı, Siber Sigorta Rehaveti, 2022'de En Büyük Tehdit Olarak Gözüküyor
Forrester tarafından Salı günü yayınlanan bir rapora göre, B2B dolandırıcılığındaki artışlar, siber sigorta kayıtsızlığı ve her yerden çalışma modelindeki yönetişim boşlukları, 2022'de işletmelerin karşılaştığı en büyük siber güvenlik tehditleri arasında yer alıyor.
B2B dolandırıcılık cephesinde şirket, dolandırıcıların giderek artan bir şekilde sadece insanları taklit etmekle kalmayıp, aynı zamanda finansal kurumları, sigortacıları, e-ticaret perakendecilerini, otomobil üreticilerini, sağlık hizmeti sağlayıcılarını ve diğerlerini dolandırmak için paravan kuruluşlar ve firmalar yarattığını belirtti.
Bu paravan örgütler daha sonra öncelikle mağdur finansal kurumları dolandıran dolandırıcıları "istihdam ediyor", diye devam etti. Bu plan sadece dolandırıcılıkla değil, aynı zamanda kara para aklamayla da ilgilidir ve araştırmacıların ve uyum departmanlarının hayatlarını daha da zorlaştırmaktadır.
"Bu planlar en az on yıldır etrafta dolaşırken," diye açıkladı, "firmalar B2C dolandırıcılık korumalarını geliştirdikçe dolandırıcıların B2B çalışma modlarına eskisinden çok daha büyük ölçekte geçiş yaptığını görüyoruz."
Portland, Ore.'deki bir siber güvenlik tehdit algılama ve önleme şirketi olan Tripwire'ın ürün yönetimi ve stratejisi başkan yardımcısı Tim Erlin, TechNewsWorld'e verdiği demeçte, "Bireylerin kimliğine bürünmekten sahte organizasyonlar oluşturmaya geçiş, bu tür dolandırıcılıkta evrimsel bir adımdır" dedi. "Tehdidi azaltmak için güvenlik kontrollerinde evrimsel değişiklikler gerektirecek."
B2B dolandırıcılığındaki artışlar, işletmelerin birbirleriyle nasıl iş yaptıklarıyla ilgilidir, New York'ta şifresiz bir çözüm şirketi olan Hypr'in CEO'su Bojan Simic ekledi. TechNewsWorld'e verdiği demeçte, "Geleneksel olarak," dedi, "siber güvenlik açısından, şirketler arasında, uğraştıkları işletmelerin uygun kontrollere sahip olduklarından emin olmak için çok fazla vurgu yapılmadı."
Güvenlik Denetimlerinin Yerini Tutamaz
Forrester, sigorta alanında, 2019'da başlayan fidye yazılımı saldırılarındaki büyümenin ve 2021'deki tedarik zinciri olaylarının bir treninin, şirketlerin siber güvenlik kapsamlarını satın almalarına veya artırmalarına yol açtığını açıkladı.
Politikalardan kaynaklanan kayıplar arttıkça, taşıyıcılar sigortalama politikalarını sıkılaştırmak, primleri ortalama% 25 oranında artırmak ve bazı durumlarda belirli saldırı türleri için kapsamları kaldırmak için çabaladılar. Bu, toplantı odalarında bir uyanışa yol açtı.
Forrester, "Güvenlik liderlerinin uzun zamandır bildiği, ancak üst düzey yöneticilerin ve kurulların şu anda öğrendiği şey, risk azaltma stratejisi ve güvenlik programı olgunluğuna yatırım olmadan, yalnızca siber sigortaya güvenmenin kuruluş için bir tehdit olduğudur" dedi.
"Siber sigorta bir koruma aracıdır, ancak kuruluşlar genellikle hapisten kurtulma kartları olduğunu hissederler" diyor James McQuiggan, Clearwater, Fla'daki bir güvenlik farkındalığı eğitim sağlayıcısı olan KnowBe4'te güvenlik farkındalığı savunucusu.
TechNewsWorld'e verdiği demeçte, "Bir veri ihlaline veya sızıntısına yol açan bir siber saldırıya karışmak, bir kuruluşun markasına ve itibarına zarar verebilir, kar kaybına ve sonunda birisinin işini kaybetmesine neden olabilir" dedi.
Ayrıcalıklı hesap yönetimi ve güvenlik açığı yönetimi çözümleri üreten BeyondTrust'ın baş güvenlik stratejisti Chris Hills, Covid'den önce siber sigortanın uygun güvenlik kontrollerinin olmaması nedeniyle bir stop-gap olarak kullanıldığını söyledi. Ancak bugün, Fidye Yazılımı Ek / Uygulaması'nın (RSA) benimsenmesiyle, brokerler işletmeleri güvenlik kontrollerinden sorumlu tutuyorlar.
TechNewsWorld'e verdiği demeçte, "Şirketler RSA'da belirtilen dokuz kategoride olumlu yanıtlar veremez ve kanıtlayamazsa, brokerler bir teklifle bile yanıt vermezler" dedi. "İşletmeler bugün, mevcut siber sigortalarını korumak veya yeni teminatlar elde etmek için güvenlik kontrolleri açısından ne yaptıklarını iki yıl öncesine göre daha fazla kanıtlamak zorundalar."
Dönem Kapanışına Çizim
Irvine, Kaliforniya'daki bir kimlik denetim şirketi olan YouAttest'in CEO'su Garret Grajek, siber sigortanın uygun BT güvenlik uygulamalarına bir alternatif olmadığını kabul etti.
TechNewsWorld'e verdiği demeçte, "Aslında," dedi, "sigorta, kimlik ve ağ güvenliği etrafında geliştirilmiş uygulamaların ve prosedürlerin uygulayıcısı yönünde ilerliyor. İşletmeler ya BT kaynakları ve verileri üzerindeki yönetişimlerini geliştirmek zorundadır ya da bir hack meydana geldiğinde yalnız yürümeyi beklemektedir. Kötü yönetilen BT güvenliği uygulamalarını kapsayan siber sigorta günleri hızla sona eriyor."
"Sigortacılar, potansiyel bir müşterinin gerçekte ne kadar iyi bir siber risk olduğunu bulmada çok daha aktif bir rol üstleniyorlar" diye ekledi Augusta, Ga'daki bir insidans müdahale şirketi olan BreachQuest'in baş gelir sorumlusu Shawn Melito.
"MFA, segmente edilmiş yedeklemeler, çalışan eğitimi, IRP'ler, uç nokta izleme veya bir dizi diğer siber güvenlik kontrolü olmayanlar, kapsama alanını güvence altına almayı çok zor bulacaktır" diye devam etti, "ve eğer bir talebiniz yoksa."
"Bir önceki yıl sorun yaşayan kuruluşların yenilemeyi çok zor bulduklarını duyuyorum, bu da çoğu olay sonrası daha iyi bir siber risk konumunda olduğu için talihsiz bir durum" dedi.
Her Yerden Çalışma Tehdidi
Forrester ayrıca 2022'de her yerden çalışma trendini büyük bir tehdit olarak nitelendirdi. Her yerde çalışma modelinin yeni hassas veri türleri oluşturma fırsatı sunduğunu açıkladı. Buna, çalışanların bulut hizmetlerinde ve uygulamalarında oluşturduğu ve depoladığı hem kurumsal hem de yaptırımsız veriler dahildir.
Rapor, dosyalardan işbirliği ve mesajlaşma uygulamaları üzerinden iletişime kadar farklı biçimlerde veriler içerdiğini belirtti. Bu dijital konuşmalar sohbetleri, görüntülü ve sesli aramaları kapsar. Ayrıca mutlaka geçici olmaları gerekmez. Çalışanların sanal bir toplantıyı kaydetmesi, içeriğini yazması ve düzenlenmiş veriler veya hassas kurumsal bilgiler içeren mesajlara erişmesi hiç bu kadar kolay olmamıştı.
"Kuruluşlar genellikle verilerini takip etmek için mücadele ediyorlar ve bu, kurumsal verilerin ev ağına yayılabileceği ve veri sızıntısı riskini değerlendirmeyi çok zorlaştıran evden çalışma ortamında daha da kötüleşiyor" diye açıklıyor San Francisco'daki bir SaaS otonom penetrasyon testi şirketi olan Horizon3'ün kurucu ortağı ve CEO'su Snehal Antani.
TechNewsWorld'e verdiği demeçte, "Ek olarak," dedi, "tehdit aktörleri sadece kurumsal VPN'i değil, aynı zamanda ilk erişimi elde etmek için zayıf güvenlikli ev ağı ekipmanlarını ve aile üyelerinin sosyal mühendisliğini de hedef alıyor."
"Ev ağı kimlik bilgilerinin Netflix veya oyun hesaplarında yeniden kullanılma olasılığı da artıyor ve bu da kimlik bilgisi saldırılarının çok daha yüksek bir olasılığına yol açıyor" diye ekledi.
Forrester, raporunda güvenlik profesyonellerine, yönetim ve yönetim kurulunun dikkatini çekmek için bir ihlal veya siber güvenlik tehdidi kullanma günlerinin sona erdiğini söyledi. Bir şey varsa, güvenlik ekiplerinin dikkati en son haberlere odaklanarak dağılıyor. CISO'ların, kilit strateji, altyapı ve iş kararlarına dayanarak kuruluşlarına yönelik en büyük siber güvenlik tehditlerini göz önünde bulundurmalarını tavsiye etti.
0 Yorumlar