1. 3. Parti Firma Risklerinden Nasıl
Korunulur?
Ferhat DİKBIYIK
Head of Research
Webinar Serisi – 6 Ekim 2021
2. 3. Parti Kaynaklı Veri İhlalleri
• Saldırı yüzeyi sandığımızdan çok daha geniş mi?
• 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi
• SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı
3. taraf kaynaklı veri ihlallerine dönüştü
• 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı?
• Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli?
• Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden
görmek mümkün mü?
• Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
3. Siber Saldırı Yüzeyi
Bulut
Sağlayıcılar
Veri İşleme
Çözümleri
Pazarlama
Firmaları
Harici
Javascript
Sağlayıcıları
Hukuk
Firmaları
IT Çözümleri
E-posta
Hizmet
Sağlayıcıları
Online
Toplantı
Araçları
Proje
Geliştirme
Çözümleri
Uzaktan
Yönetim
Sistemleri
Mobil
Uygulama
Geliştiriciler
4. 3. Parti Kaynaklı Veri İhlallerinin Anatomisi
3. Taraf
3. Taraf ile veri
paylaşan firmalar
3. Tarafa erişim
veren firmalar
3. Tarafın ürününü
kullanan firmalar
Critical Open
Ports
Poor email
configurations
Software
vulnerabilities
Application
weaknesses
Leaked
Credentials
Poor system
configurations
Malicious
Code
9. SolarWinds Vakası: Etkilenen
Kurumlar
ABD Savunma Bakanlığı
ABD Enerji Bakanlığı
ABD Ticaret Bakanlığı
ABD Sağlık Bakanlığı
ABD İçişleri Bakanlığı
ABD Dışişleri Bakanlığı
ABD Hazine Bakanlığı
Belkin International
California Department of State Hospitals
Cisco
Cox Communications
Deloitte
Digital Sense
FireEye
Intel
ITPS
Kent State University
Microsoft
Netdecisions
Nvidia
Pima County, State of Arizona
SolarWinds
Stratus Networks
VMware
13. Accenture Vakası
BT hizmetleri ve danışmanlık
Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını
beyan etti.
Tehdit aktörü, Accenture ihlalinin onlara Accenture
müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve
şifrelere erişim imkanı verdiğini söyledi.
14. Gri Gergedan
"Gri gergedan", oldukça olası, yüksek
etkili ancak ihmal edilen bir tehdittir.
Hem odadaki filin hem de olası ve
öngörülemeyen siyah kuğun akrabası.
Gri gergedanlar rastgele sürprizler değildir,
bir dizi uyarı ve görünür kanıttan sonra
ortaya çıkar.
15. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
16. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
https://blackkite.com/data-breaches-caused-by-third-parties/
17. 3. Parti Kaynaklı Veri İhlalleri Nasıl
Engellenir?
• Erişimleri yetkilendirmek/kısıtlamak.
• Paylaşılan veri miktarını küçültmek.
• Log tutmak.
• Peki yeterli mi?
• 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli
gözlemlenmesi.
• 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle
• Önceliklendir
• Sonuçları paylaş
• On-site ziyaretler
• Sözleşmeyi feshetme
21. Siber Risk Değerlendirme Yöntemleri
Yönetimsel
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Kontrol tabanlı çerçeveler
- ISO27001,
- PCI-DSS,
- NIST, vb.
- Kurumun iyi uygulamalarını ve
regülasyonlara uyumluluğunu
gösterir
- Uyumluluk ≠ Güvenlik
- Olgunluk seviyeleri sınırlı bilgi verir
22. Siber Risk Değerlendirme Yöntemleri
Dahili
/İçeriden
dışarıya
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Soru Setleri, dış teftişler, denetim
raporları
- Kontrol/hazırlık konusunda
perspektif verir
- Sonuçların yorumlanması ağır
süreçlerdir
- Manuel iş yükü çok fazla, yavaş
- Risk terminolojisine çevirmek zor
- Subjektif
- Maliyetli
23. Siber Risk Değerlendirme Yöntemleri
Olasılııksal
Veri Modelleri
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Yönetimsel
- Kayba dair faydalı istatistiki
projeksiyonlar sunar
- Sınırlı veri ile oluşturulmuş veri
setlerine fazlasıyla bağlı
24. Siber Risk Değerlendirme Yöntemleri
Senaryo-
tabanlı
testler
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Olasılıksal
Veri Modelleri
- En kötü senaryo analizleri
- Teknik kısmı saldırı simülatörleri ile
sağlanabilir
- Kurumdaki uzman kişilerle
görüşmeleri gerektirebilir
- Şirketin kayıplara karşı kurumun
nasıl dayandığını gösterebilir
- Uzun süren süreç
- Ölçeklenebilir değil
25. Siber Risk Ölçümü için Veri Kaynakları
Ölçeklenebilirllik
Kesinlik
Harici Bilgi
Pasif tarama ile elde
edilen 3. taraf
şirketin müdahelesi
veya doğrulaması
olmayan bilgi
Soru Setleri
3. tarafça
cevaplanmış anketler
ve görüşmeler.
Teknik bir kaynak
verisi değil.
Paylaşılan Veri
Erişim verilmeden 3.
tarafça sağlanan
loglar ve
konfigürasyonlar
Direkt Veri Sorgusu
Analistlerin veri
üzerinde direkt sorgu
çalıştırması (3. tarraf
teknik personelin
göztiminde)
On-Prem araçlar
3. Taraf şirketinin
içerisine on-prem
yerleştirilmiş veri
toplama araçları
26. Nasıl bir 3. Taraf Risk Değerlendirmesi?
Kurgu Gerçek
Ölçeklenebillir
Varsayımlar kabul edilebilir
Risk jargonuna çevrilebilir
Önceliklendirme için yeterli
27. Nasıl bir skorlama?
F
D
C
B
A
0
2
0
40 60 8
0
100
Olgunluk Seviyesi
1
2
3
4
Risk Seviyesi
Düşük
Normal
Yüksek
Kritik
Bir standart yok. Discrete bir puanlama = etiketleme
28. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
29. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
Accenture veri ihlali öncesi genel siber skoru
33. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
34. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
35. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
Kayıp: $200K
Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır.
Kayıp: $10M Kayıp: $1M
37. Ücretsiz skorlama imkanı var mı?
Ücretsiz Siber Skor
ve Raporu
Ücretsiz
Ransomware Skoru
ve Raporu
https://blackkite.com/free-cyber-rating/
https://blackkite.com/free-rsi-rating/