Dalış Özeti:
- 12’nin yarısı en sık kullanılan güvenlik açıkları Five Eyes’tan siber yetkililer Perşembe günü yayınlanan ortak bir danışma belgesinde, 2022’de bir önceki yıl keşfedildiğini söyledi. İlk 12 güvenlik açığından biri 2018’de keşfedildi.
- Microsoft ürünlerindeki kusurlar, 2021’den itibaren üç Exchange Server CVE’si de dahil olmak üzere en sık kullanılan güvenlik açıklarının 3’te 1’ini oluşturuyordu. En çok yararlanılan güvenlik açıklarının üçte ikisi üç satıcının ürünlerinde bulundu: Atlassian, Microsoft ve VMware.
- Listeyi oluşturan diğer satıcılar arasında Apache’nin Log4j, F5 Networks, Fortinet ve Zoho yer alıyor.
Dalış Bilgisi:
Daha eski güvenlik açıklarının kalıcı gücü, kuruluşları çileden çıkaran bir çift uzun süredir devam eden zorluğa ve bunların ortak tehditlere karşı savunma yeteneklerine dikkat çekiyor.
Gecikmeli veya tutarsız güvenlik açığı düzeltme eki, altta yatan bir sorun olmaya devam ediyor. Bu, satıcıların, tasarımcıların ve geliştiricilerin tasarım gereği güvenli ve varsayılan olarak güvenli ilkelerine uyma konusundaki karşılanmamış ihtiyacıyla birleştiğinde, kötü niyetli siber aktörler tarafından ele geçirme riskini artırıyor.
ABD, Avustralya, Kanada, Yeni Zelanda ve İngiltere’den yetkililerin yer aldığı Five Eyes istihbarat ittifakı, satıcıların yazılım geliştirme yaşam döngüsü boyunca güvenli tasarım uygulamalarını takip etme ihtiyacını yineledi.
Yetkililer, özellikle zamanında bir yama yönetim sistemi ve yazılım sağlayıcılarının tasarım gereği güvenli bir programa olan bağlılığının kapsamlı bir şekilde gözden geçirilmesiyle ilgili olduğu için, son kullanıcı kuruluşlarının da sorumluluk taşıdığını söyledi.
Five Eyes danışma belgesinde, “Zamanında düzeltme eki uygulamak, bilinen, kötüye kullanılabilir güvenlik açıklarının etkinliğini azaltır, muhtemelen kötü niyetli siber aktör operasyonlarının hızını düşürür ve daha maliyetli ve zaman alıcı yöntemlerin peşinde koşmaya zorlar” dedi.
KnowBe4 siber operasyonlardan sorumlu Kıdemli Başkan Yardımcısı Rosa Smothers, e-posta yoluyla, iyi yama yönetiminin siber güvenliğin temel bir ilkesi olduğunu ve eski CVE’lere karşı savunmasız kalan kuruluşların “tehdit ortamına karşı açıkça kayıtsız” olduğunu söyledi.
Smothers, “Her şirketin varsayılan olarak güvenli yazılım göndermeyi istemesi gerekir, ancak satıcılar için olası her güvenlik açığını tahmin etmek ve test etmek zordur,” dedi. “Başarısızlık, ana şirketin, bilinen güvenlik açıklarını yamalamadan yıllarca çalışarak yazılımlarına ve cihazlarına yönelik tehdidi görmezden gelen organizasyonel ilgisizliğidir.”