SecurityScorecard 2024 Global Third-Party Cybersecurity Breach Report: Software supply chain is top doelwit voor ransomwarecriminelen

n

Naarmate het digitale landschap zich blijft ontwikkelen, verandert ook de tactiek van cybervijanden. Vooral ransomware-criminelen hebben zich toegelegd op een belangrijk doelwit: de toeleveringsketen van software. De eerste editie van het SecurityScorecard Third-Party Breach Report komt op een moment dat inbreuken op de toeleveringsketen de boventoon voeren bij meldingen van inbreuken.

 De kwantitatieve analyse van inbraken in 2023 geeft aan dat bij bijna een derde van de inbraken een aanvalsvector van derden betrokken was. Dit cijfer onderschat echter waarschijnlijk de werkelijke omvang, omdat veel incidentrapporten niet genoeg details geven over aanvalsvectoren.

Variaties per branche

Nuances in de sector spelen een cruciale rol bij het vormgeven van het bedreigingslandschap. De gezondheidszorg komt naar voren als een hotspot voor inbreuken door derden, op de voet gevolgd door de financiële dienstverlening. De sector met het hoogste percentage inbreuken door derden was echter Technology, ondanks een lager absoluut aantal van dergelijke incidenten dan de andere twee sectoren. 

Relaties met leveranciers die inbreuken op derden veroorzaken

De dreigingsanalisten van SecurityScorecard ontdekten dat driekwart van de leveranciersrelaties die inbreuken op de privacy van derden mogelijk maakten, technisch van aard waren en betrekking hadden op de levering van software en andere IT-producten en -diensten. Het andere kwart van de leveranciers waren niet-technisch van aard, zoals professionele dienstverleners (bijv. advocaten- of accountantskantoren). Op dit punt komt het belang van de technologie-industrie om de hoek kijken. Haar bedrijven kunnen het uiteindelijke doelwit zijn van een inbreuk door een derde partij of een derde partij die inbreuken mogelijk maakt die het uiteindelijke doelwit in andere sectoren treffen.

Kwetsbaarheden in software zijn een belangrijk middel waarmee technologiebedrijven onbewust aanvallen van derden op hun klanten mogelijk maken. De campagne van de dreigersgroep C10p van vorig jaar, waarbij gebruik werd gemaakt van een zero-day kwetsbaarheid in MOVEit-software voor bestandsoverdracht (CVE-2023-34362), is een goed voorbeeld van dit risico. Deze kwetsbaarheid kwam met een enorme marge het meest voor in onze steekproef en maakte C10p ook met een vergelijkbare marge tot de meest productieve identificeerbare dader van inbreuken door derden. Vooral aanvallen door derden via technologiebedrijven zijn zo populair onder dreigingsactoren, juist omdat ze actoren in staat stellen hun activiteiten uit te breiden met relatief weinig extra input.

 Variaties per regio

De meest verrassende bevinding was dat de frequentie van inbreuken door derden weinig lijkt te verschillen per geografie, met één uitzondering: Japan, waar bij bijna de helft van alle incidenten aanvalsvectoren van derden betrokken waren. Japan heeft een kenmerkende geschiedenis van verticale integratie in de toeleveringsketen, maar het blijft onduidelijk in welke mate (als die er al is) die bedrijfstraditie een factor kan zijn in dit ongewoon hoge aantal inbreuken door derden.

Om toegang te krijgen tot de volledige bevindingen en aanbevelingen uit het SecurityScorecard 2024 Global Third-Party Cybersecurity Breach Report, kunt u het rapport nu downloaden:  download the report now.