Webinar: 3. Parti Firma Risklerinden Nasıl Korunulur?

1. 3. Parti Firma Risklerinden Nasıl
Korunulur?
Ferhat DİKBIYIK
Head of Research
Webinar Serisi – 6 Ekim 2021

2. 3. Parti Kaynaklı Veri İhlalleri
• Saldırı yüzeyi sandığımızdan çok daha geniş mi?
• 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi
• SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı
3. taraf kaynaklı veri ihlallerine dönüştü
• 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı?
• Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli?
• Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden
görmek mümkün mü?
• Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?

3. Siber Saldırı Yüzeyi
Bulut
Sağlayıcılar
Veri İşleme
Çözümleri
Pazarlama
Firmaları
Harici
Javascript
Sağlayıcıları
Hukuk
Firmaları
IT Çözümleri
E-posta
Hizmet
Sağlayıcıları
Online
Toplantı
Araçları
Proje
Geliştirme
Çözümleri
Uzaktan
Yönetim
Sistemleri
Mobil
Uygulama
Geliştiriciler

4. 3. Parti Kaynaklı Veri İhlallerinin Anatomisi
3. Taraf
3. Taraf ile veri
paylaşan firmalar
3. Tarafa erişim
veren firmalar
3. Tarafın ürününü
kullanan firmalar
Critical Open
Ports
Poor email
configurations
Software
vulnerabilities
Application
weaknesses
Leaked
Credentials
Poor system
configurations
Malicious
Code

5. Büyük Çaplı 3. Taraf Kaynaklı Veri İhlalleri

6. SolarWinds Vakası
Image: The 8 Key Lessons From the SolarWinds Attacks - SOCRadar

7. SolarWinds Vakası
Image: Microsoft

8. SolarWinds Vakası
Image: Sygnia

9. SolarWinds Vakası: Etkilenen
Kurumlar
ABD Savunma Bakanlığı
ABD Enerji Bakanlığı
ABD Ticaret Bakanlığı
ABD Sağlık Bakanlığı
ABD İçişleri Bakanlığı
ABD Dışişleri Bakanlığı
ABD Hazine Bakanlığı
Belkin International
California Department of State Hospitals
Cisco
Cox Communications
Deloitte
Digital Sense
FireEye
Intel
ITPS
Kent State University
Microsoft
Netdecisions
Nvidia
Pima County, State of Arizona
SolarWinds
Stratus Networks
VMware

10. Kaseya Vakası
REvil
Ransomware
Group
Kaseya VSA
SaaS Platform Managed Service
Providers (MSPs)
MSP
Customers
RANSOMWARE
50 direkt
Kaseya
müşterisi
800 ila 1500
arasında
dolaylı şirket

11. Kaseya Vakası

12. Accellion Vakası
Cl0p
Ransomware
Grubu
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Exploiting
0-day
Exploiting
0-day
Exploiting
0-day
Exploiting
0-day

13. Accenture Vakası
BT hizmetleri ve danışmanlık
Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını
beyan etti.
Tehdit aktörü, Accenture ihlalinin onlara Accenture
müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve
şifrelere erişim imkanı verdiğini söyledi.

14. Gri Gergedan
"Gri gergedan", oldukça olası, yüksek
etkili ancak ihmal edilen bir tehdittir.
Hem odadaki filin hem de olası ve
öngörülemeyen siyah kuğun akrabası.
Gri gergedanlar rastgele sürprizler değildir,
bir dizi uyarı ve görünür kanıttan sonra
ortaya çıkar.

15. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.

16. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
https://blackkite.com/data-breaches-caused-by-third-parties/

17. 3. Parti Kaynaklı Veri İhlalleri Nasıl
Engellenir?
• Erişimleri yetkilendirmek/kısıtlamak.
• Paylaşılan veri miktarını küçültmek.
• Log tutmak.
• Peki yeterli mi?
• 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli
gözlemlenmesi.
• 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle
• Önceliklendir
• Sonuçları paylaş
• On-site ziyaretler
• Sözleşmeyi feshetme

18. Siber Risk Değerlendirme Yöntemleri
Harici /
Dışarıdan
İçeriye
Yönetimsel
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri

19. Siber Risk Değerlendirme Yöntemleri
Harici /
Dışarıdan
İçeriye
Yönetimsel
Değerlendirm
eler
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Siber Skorlama Çözümleri
- Dijital ayakizini OSINT yöntemleri ile
çıkarır
- Harici saldırı yüzeyini verir
- Ölçeklenebilir
- Hızlı
- İçeriden bilgi almadığı için kısıtlı bir
değerlendirmedir.
- İş riskine çevrilmezse anlamlandırmak
zorlaşabilir
- OT ve bulut risklerini gösteremez

20. OSINT ile Dijital Ayakizi

21. Siber Risk Değerlendirme Yöntemleri
Yönetimsel
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Kontrol tabanlı çerçeveler
- ISO27001,
- PCI-DSS,
- NIST, vb.
- Kurumun iyi uygulamalarını ve
regülasyonlara uyumluluğunu
gösterir
- Uyumluluk ≠ Güvenlik
- Olgunluk seviyeleri sınırlı bilgi verir

22. Siber Risk Değerlendirme Yöntemleri
Dahili
/İçeriden
dışarıya
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Soru Setleri, dış teftişler, denetim
raporları
- Kontrol/hazırlık konusunda
perspektif verir
- Sonuçların yorumlanması ağır
süreçlerdir
- Manuel iş yükü çok fazla, yavaş
- Risk terminolojisine çevirmek zor
- Subjektif
- Maliyetli

23. Siber Risk Değerlendirme Yöntemleri
Olasılııksal
Veri Modelleri
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Yönetimsel
- Kayba dair faydalı istatistiki
projeksiyonlar sunar
- Sınırlı veri ile oluşturulmuş veri
setlerine fazlasıyla bağlı

24. Siber Risk Değerlendirme Yöntemleri
Senaryo-
tabanlı
testler
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Olasılıksal
Veri Modelleri
- En kötü senaryo analizleri
- Teknik kısmı saldırı simülatörleri ile
sağlanabilir
- Kurumdaki uzman kişilerle
görüşmeleri gerektirebilir
- Şirketin kayıplara karşı kurumun
nasıl dayandığını gösterebilir
- Uzun süren süreç
- Ölçeklenebilir değil

25. Siber Risk Ölçümü için Veri Kaynakları
Ölçeklenebilirllik
Kesinlik
Harici Bilgi
Pasif tarama ile elde
edilen 3. taraf
şirketin müdahelesi
veya doğrulaması
olmayan bilgi
Soru Setleri
3. tarafça
cevaplanmış anketler
ve görüşmeler.
Teknik bir kaynak
verisi değil.
Paylaşılan Veri
Erişim verilmeden 3.
tarafça sağlanan
loglar ve
konfigürasyonlar
Direkt Veri Sorgusu
Analistlerin veri
üzerinde direkt sorgu
çalıştırması (3. tarraf
teknik personelin
göztiminde)
On-Prem araçlar
3. Taraf şirketinin
içerisine on-prem
yerleştirilmiş veri
toplama araçları

26. Nasıl bir 3. Taraf Risk Değerlendirmesi?
Kurgu Gerçek
Ölçeklenebillir
Varsayımlar kabul edilebilir
Risk jargonuna çevrilebilir
Önceliklendirme için yeterli

27. Nasıl bir skorlama?
F
D
C
B
A
0
2
0
40 60 8
0
100
Olgunluk Seviyesi
1
2
3
4
Risk Seviyesi
Düşük
Normal
Yüksek
Kritik
Bir standart yok. Discrete bir puanlama = etiketleme

28. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.

29. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
Accenture veri ihlali öncesi genel siber skoru

30. Senaryo-tabanlı skorlama
• Yükselen tehdit trendlerine özel skorlama yapılabilir
• Ransomware Susceptibility Index

31. Ransomware Susceptibility Index
• NewCoop tedarik zinciri saldırısı

32. Ransomware Susceptibility Index
• NewCoop tedarik zinciri saldırısı

33. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B

34. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D

35. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
Kayıp: $200K
Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır.
Kayıp: $10M Kayıp: $1M

36. Gelişmiş bir 3. Taraf Siber Risk Yönetimi Neleri
İçermeli?

37. Ücretsiz skorlama imkanı var mı?
Ücretsiz Siber Skor
ve Raporu
Ücretsiz
Ransomware Skoru
ve Raporu
https://blackkite.com/free-cyber-rating/
https://blackkite.com/free-rsi-rating/

38. Teşekkürler
fdikbiyik@blackkite.com
https://www.linkedin.com/in/fdikbiyik/