ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) araştırmacılar, bir güvenlik açığının sömürülme olasılığını belirlemek için yeni bir güvenlik metriği geliştirdiler.
Bu hafta yayınlanan bir makalede, daha önce NIST’li Peter Mell ve CISA’nın Jonathan Spring, istismar tahmin puanlama sisteminin (EPSS) ve CISA’nın bilinen sömürülen güvenlik açığı (KEV) katalogunun çalışmalarını artıran kırılganlık istismar metriğini özetledi.
Mell ve Spring, güvenlik açıklarının sadece% 5’inin vahşi doğada kullanıldığını görürken, şirketler için aylık güvenlik açığı iyileştirme oranının% 16’dır.
“Düzeltme oranı çok düşük çünkü şirketlerin güvenlik açıklarını ele alması pahalı” diye yazdılar. “…% 16’sı% 5’i kapsayacaksa bu durum bir sorun olmaz, ancak metroloji bu hesaplamayı doğru bir şekilde yapmaktan yoksundur. Bu nedenle, hangi güvenlik açıklarının kullanılacağını tahmin etmek, kurumsal savunmasız iyileştirme çabalarının verimliliği ve maliyet etkinliği için kritik öneme sahiptir.”
Güvenlik Açığı EPSS’de Metrik Yapılar
Mell ve Spring, EPSS ve CISA KEV kataloğunda bilinen eksiklikleri kaydetti.
EPSS “yanlış değerleri biliyor” diye yazdılar, Kev muhtemelen kapsamlı değil. Önerilen olasılık metriği, bazı yanlışlıkları düzelterek EPSS’nin iyileştirilmesini artırmaya yardımcı olabilir ve “kapsamlılığın ölçümlerini sağlayarak” KEV kataloğu üzerine inşa edebilir.
NIST ve CISA araştırmacıları, EPSS’nin önümüzdeki 30 gün içinde vahşi doğada bir güvenlik açığının sömürüldüğü olasılıkları sağladığını söyledi. “Bununla birlikte, daha önce sömürüldüğü gözlemlenen güvenlik açıkları için olasılıklarının yanlış olduğu bilinmektedir” diye yazdılar. “… Neyse ki, olasılıklar rastgele yanlış değil; gerçek olasılığı hafife alıyorlar.”
Mell ve Spring, formüllerini muhtemelen kullanan güvenlik açıklarından (LEV) olasılıkları olarak adlandırırlar. Lev olasılıklarının en az dört kullanım vakası olduğunu söylediler. Bunlar şunları içerir:
- Aktörlerin sömürdüğü güvenlik açıklarının beklenen sayısını ve oranını ölçmek
- Kev kataloğunun kapsamlılığını tahmin etmek
- “Eksik olabilecek daha yüksek olasılık güvenlik açıklarını belirleyerek” KEV tabanlı güvenlik açığı iyileştirme önceliklendirmesinin artırılması
- EPSS tabanlı güvenlik açığı iyileştirme önceliklendirmesini “altüst edilebilecek güvenlik açıklarını belirleyerek” artırma.
Bulgular: Yüksek sömürü olasılığı yüksek olan yüzlerce güvenlik açığı
Makale, LEV ve EPSS olasılıklarının farklı olduğu iki güvenlik açığı listelenmiştir.
CVE-2023-1730 için, 3.1.5’ten önce SupportCandy WordPress eklentisinde bir SQL enjeksiyon güvenlik açığı için LEV olasılığı 0.70, Peak EPSS skoru 0.16 idi.
Bir Microsoft ODBC sürücü uzaktan kumanda yürütme güvenlik açığı olan CVE-2023-29373 için LEV olasılığı 0.54350, Peak EPSS olasılığı 0.08 idi.
Çalışmaları ayrıca 1.0’a yaklaşan bir olasılıkla yüzlerce güvenlik açığı tespit etti.
Mell ve Spring, “İlginç bir şekilde, bu güvenlik açıklarının birçoğu test edilen KEV listelerine dahil değil” diye yazdı. “… Bu, LEV listelerinin KEV listelerini değiştirememesinin bir nedenidir. LEV, birçok düşük olasılık güvenlik açıklarından hangisinin kullanılacağını belirleyemez, sadece kaçının yararlanılması beklendiğini hesaplamaya yardımcı olabilir. KEV listeleri sömürülenleri tanımlar.”
Mell ve Spring, LEV metriğinin performans ölçümlerini elde etmek için işbirliği yapacak endüstri ortakları aradıklarını söyledi.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.