Sıfır gün açıklarından yaygın olarak kullanılan yazılım ve donanımdaki zayıflıklara kadar geçen yıl ortaya çıkarılan güvenlik açıkları, tehdit aktörlerinin taktiklerini ve kurumsal savunmalardaki kritik boşlukları ortaya koyuyor.
Bu özet, 2024’ün siber güvenlik raporlarından elde edilen çarpıcı bulguları ortaya koyuyor ve dikkat gerektiren kritik riskleri ve ortaya çıkan tehditleri vurguluyor. İster bir güvenlik lideri, ister BT uzmanı, ister siber güvenlik konusunda bilinçli olun, bu bilgiler dirençli kalmak için gereken öncelikleri ve stratejileri belirlemenize yardımcı olacaktır.
Sıfır günler, en sık istismar edilen güvenlik açıklarına hakimdir
En çok yararlanılan güvenlik açıkları listesi, yaygın olarak kullanılan kurumsal ürünleri etkileyen ciddi sorunları içerir. Uzaktan kod yürütülmesine olanak tanıyan Citrix NetScaler (CVE-2023-3519) ve ayrıcalık yükseltmeyi hedefleyen Cisco IOS XE (CVE-2023-20198) dikkate değerdir. Ek olarak, Apache’nin Log4j kütüphanesini etkileyen Log4Shell güvenlik açığı (CVE-2021-44228), ilk kez açıklanmasından iki yıl sonra bile çeşitli yazılım uygulamalarında yaygın kullanımı nedeniyle istismar edilmeye devam ediyor.
Yüksek riskli sektörlerde kritik güvenlik açıkları devam ediyor
Finans ve Sigorta sektörü (FSI), küçük FSI siteleri için belirlenen 565, orta ölçekli siteler için 580 ve büyük siteler için 154 kritik güvenlik açığıyla tüm site karmaşıklıklarında en yüksek sayıda kritik güvenlik açığına sahipti. Bir sonraki en yüksek sektör, küçük, orta ve büyük siteler için sırasıyla 367, 486 ve 139 kritik güvenlik açığıyla Sağlık ve Sosyal Yardım sektörü oldu.
Finansal kuruluşların %50’sinin uygulamalarında yüksek düzeyde güvenlik kusurları var
Veracode araştırmacıları, finans sektöründeki tüm uygulamaların %40’ının güvenlik borcuna (bir yıldan daha uzun süre giderilmeyen kusurlar) sahip olduğunu ve bunun sektörler arası ortalama olan %42’den biraz daha iyi olduğunu buldu. Ayrıca, diğer sektörlerdeki %5,9’a kıyasla finans sektörü uygulamalarının yalnızca %5,5’i kusursuzdur. Finans sektörü başvurularının biraz daha azında teminat borcu bulunurken, daha fazlası biriktiriliyor.
Yeni güvenlik açıklarının %75’i 19 gün içinde istismar edildi
Rapor, düzeltme çabalarında kritik bir boşluğun altını çiziyor; ortalama yama süresi 100 günü aşıyor; bu durum, yeni güvenlik açıklarının %75’inden 19 gün veya daha kısa sürede yararlanıldığı bulgusuna tezat oluşturuyor. Skybox, yeni keşfedilen güvenlik açıklarının neredeyse yarısının yüksek veya kritik olarak sınıflandırıldığını buldu.
Kritik güvenlik açıklarının düzeltilmesi ortalama 4,5 ay sürer
Ortalama Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) 6 ay içinde (ortalama 174 gün) çözümlenirken, KEV olmayanlar 1,7 yıldan (ortalama 621 gün) fazla sürebilir. KEV’lerin KEV olmayanlara göre daha hızlı iyileştirilmesine rağmen, %60’tan fazlası CISA tarafından sağlanan son tarihlerden sonra düzeltiliyor.
Siber suçlular güvenlik açıklarından yararlanma konusunda giderek daha hızlı hale geliyor
Fortinet telemetrisi, kuruluşların %41’inin bir aydan daha eski imzalardan kaynaklanan istismarları tespit ettiğini ve kuruluşların %98’inin en az beş yıldır var olan N-Day güvenlik açıklarını tespit ettiğini buldu.
Kuruluşlar, güvenlik açığı bulunan uygulamaları bilerek yayınlıyor
Güvenliği sağlamak için daha az zaman harcanarak daha fazla ortamda dağıtılan, güvenliği sağlanacak daha fazla yazılımla, şirketlerin %91’i güvenlik açığı bulunan uygulamaları bilerek yayımladı.