Müşterilerimizin varlıklarında tespit ettiğimiz 2,5 milyon zafiyeti analiz ettik. Bulduğumuz şey bu.
Verileri derinlemesine incelemek
Burada analiz ettiğimiz veri kümesi, güvenlik açığı tarama hizmetlerimize abone olan istemcilerin bir alt kümesini temsil etmektedir. Taranan varlıklar, İnternet üzerinden erişilebilen varlıkların yanı sıra dahili ağlarda bulunan varlıkları da içerir. Veriler, ağ ekipmanı, masaüstü bilgisayarlar, web sunucuları, veritabanı sunucuları ve hatta tek belge yazıcısı veya tarama cihazına ilişkin bulguları içerir.
Bu veri kümesindeki kuruluş sayısı, geçen yılın Security Navigator 2023’te kullanılan önceki veri kümesinden daha azdır (3 eksik) ve bazı kuruluşların yerini yeni eklemeler almıştır. Kuruluşların değişmesiyle birlikte farklı bir varlık karışımı ortaya çıkıyor, bu da önceki sonuçların karşılaştırılmasını elmalarla portakalların karşılaştırılmasına benzer hale getiriyor (önyargılı olabiliriz), ancak yine de mümkün olan yerlerde benzer kalıpları dikkate almakta fayda var.
Bu yıl, tehditkar güvenlik açığı temasını, her zaman var olan ve çözülmemiş sistem zayıflıklarının kalıcı kuyruğunu göz önünde bulundurarak yeniden ele alıyoruz. Yeni keşfedilen ciddi sorunların dalgaları, mevcut çözülmemiş sorunlara karşı sadece dikkatimizi çekmek içindir; siz başkalarını gönderir göndermez yeni yılan kafaları yetiştirmeye devam eden bir hidra gibi görünüyorlar.
Bir sistemin yeterince korunup korunmadığını değerlendirmek, beceri ve uzmanlık gerektiren ve çok zaman alabilen bir zorluktur. Ancak rastgele bir Cy-X grubu tarafından yapılan plansız bir “ücretsiz sızma testinin” sonuçlarıyla uğraşmak yerine, herhangi bir zayıflığı önceden öğrenmek istiyoruz.
Security Navigator 2024 Burada – Şimdi İndirin#
Yeni yayımlanan Security Navigator 2024, 129.395 olayı ve 25.076 onaylanmış ihlali belgeleyerek mevcut dijital tehditlere ilişkin kritik bilgiler sunuyor. Bir rapordan çok daha fazlası, daha güvenli bir dijital ortamda gezinmek için bir rehber görevi görüyor.
İçeride Ne Var?#
- 📈 Derinlemesine Analiz: Trendleri, saldırı modellerini ve tahminleri keşfedin. CyberSOC ve Pentesting’deki vaka çalışmalarından bilgi edinin.
- 🔮 Geleceğe Hazır: Güvenlik tahminlerimiz ve araştırma özetimizle kendinizi donatın.
- 👁️ Gerçek zamanlı veri: Dark Net gözetiminden sektöre özel istatistiklere kadar.
Siber güvenlikte bir adım önde olun. Temel rehberiniz sizi bekliyor!
🔗 Hemen Kopyanızı Alın
Önem Derecesine Göre Güvenlik Açığı Tarama Bulguları
Benzersiz Bulgu başına şiddet derecesi payını incelediğimizde, benzersiz Bulguların büyük bir kısmının (%79) ‘Yüksek’ veya ‘Orta’ olarak sınıflandırıldığını görüyoruz. Ancak benzersiz Bulguların yarısının, yani %50,4’ünün ‘Kritik’ veya ‘Yüksek’ olarak değerlendirildiğini de belirtmek gerekir.
Daha önce yayınlanan sonuçlarımızla karşılaştırıldığında ortalama ‘Kritik’ veya ‘Yüksek’ Bulgu sayısı sırasıyla %52,17 ve %43,83 azaldı. ‘Orta’ ve ‘Düşük’ önem derecelerinin %29,92 ve %28,76 oranında azalmasıyla Bulgular için de bir iyileşme gözlemlenebilir. Bu raporda geçen yıla göre biraz farklı bir müşteri örneği kullanıldığı için, yıllık karşılaştırmanın değeri sınırlıdır, ancak müşterilerin rapor ettiğimiz bulgulara iyi yanıt verdiğine ve bunun genel bir iyileşmeye yol açtığına dair kanıtlar görüyoruz.
‘Kritik’ veya ‘Yüksek’ olarak derecelendirilen Bulguların çoğunluğu (%78) 30 gün veya daha küçüktür (120 günlük bir pencereye bakıldığında). Bunun tersine, ‘Kritik’ veya ‘Yüksek’ olarak derecelendirilen tüm bulguların %18’i 150 gün veya daha eskidir. Önceliklendirme perspektifinden bakıldığında, ‘Kritik’ veya ‘Yüksek’ gerçek bulgular hızlı bir şekilde ele alınıyor gibi görünüyor, ancak zaman içinde hala bir miktar kalıntı birikiyor. Bu nedenle çözülmemiş Bulguların yaşlanmaya devam ettiğini görüyoruz. Aslında, tüm benzersiz CVE’lerin ~%35’i 120 gün veya daha eski bulgulardan kaynaklanmaktadır.
Yukarıdaki grafik çözülmemiş gerçek bulguların uzun kuyruğunu göstermektedir. İlk dikkate değer uzun kuyruk zirvesinin 660 gün civarında ve ikincisinin 1380 gün (3 yıl 10 ay) olduğunu unutmayın.
Bir fırsat penceresi
‘Kritik’ ve ‘Yüksek’ bulguların ortalama sayısının yüksek olması büyük ölçüde Microsoft Windows veya Microsoft Windows Server işletim sistemlerini çalıştıran varlıklardan kaynaklanmaktadır. Linux tabanlı işletim sistemi gibi Microsoft dışındaki işletim sistemlerini çalıştıran varlıklar mevcut ancak bunlar orantılı olarak çok daha az rapor ediliyor.
Ancak Windows çalıştıran varlıklarla ilgili ‘Kritik’ veya ‘Yüksek’ bulguların mutlaka işletim sistemindeki güvenlik açıkları olmadığını, aynı zamanda varlık üzerinde çalışan uygulamalarla da ilgili olabileceğini unutmamalıyız.
Burada desteklenmeyen Microsoft Windows ve Windows Server sürümlerinin öne çıkması belki anlaşılabilir, ancak bu işletim sistemlerinin önem dereceleri ‘Kritik’ veya ‘Yüksek’ olarak derecelendirilen daha yeni sürümlerini bulmak şaşırtıcı.
Endüstri perspektifi
Endüstri sınıflandırmamız için NAICS kullanıyoruz. Buradaki sonuçlar, web uygulamaları gibi hizmetlerden ziyade yalnızca ana bilgisayarların taramalarına dayanan Bulguları dikkate alır. Tüm kuruluşlar genelinde benzersiz varlık başına ortalama benzersiz gerçek Bulgu, aşağıdaki grafikte kesikli yatay çizgiyle gösterilen 31,74’tür.
İnşaat sektöründeki müşterilerimiz, Varlık başına ortalama 12,12 Bulgu ile diğer sektörlerdeki müşterilere kıyasla olağanüstü iyi performans sergiliyor gibi görünüyor. Spektrumun diğer ucunda ise varlık başına ortalama 76,25 benzersiz bulgu raporladığımız Madencilik, Taşocakçılığı ve Petrol ve Gaz endüstrileri var. Kamu Yönetimindeki müşteriler, daha fazla Varlık sayısına rağmen 43,27’ye kıyasla Varlık başına ortalama 35,3 Bulgu ile Finans ve Sigorta’dan daha iyi performans göstererek bizi şaşırttı. Elbette bu değerler örneklemimizde mevcut olan müşteri grubundan türetilmiştir ve evrensel gerçekliği temsil etmeyebilir.
Sektör başına benzersiz varlık başına ortalama ciddiyeti karşılaştırırken karışık bir tablo görüyoruz. Nispeten küçük bir benzersiz varlık sayısına sahip olan ve diğer Sektörlere göre orantısız ortalamalara yol açan Sağlık Hizmetlerini ve Sosyal Yardım ve Bilgiyi göz ardı edebiliriz.
Yüksek Şiddet Derecesi için genel Sektör ortalamamız 21,93’tür ve Madencilik, Taşocakçılığı ve Petrol ve Gaz Çıkarma bu ortalamanın iki katından fazladır.
Benzer şekilde Finans ve Sigorta ile Konaklama ve Yemek Hizmetleri de genel ortalamayı tekil varlık başına sırasıyla 10,2 ve 3,4 bulguyla aştı. Aynı üç Sektör, Kritik olarak derecelendirilen bulgular açısından genel ortalamayı aştı; Konaklama ve Yiyecek Servisleri bunu neredeyse 3 kat artırdı.
Güvenlik açığı yaşlanıyor
Bu yıl tehditkar güvenlik açığı temasını yeniden gözden geçirirken, her zaman var olan ve hâlâ devam eden, çözülmemiş sistem zayıflıklarının giderek yaşlanan hikayesine bir kez daha şüpheyle bakıyoruz. Güvenlik açıklarının mevcut durumunu anlamak ve bunların rollerini ve etkinliklerini bir önceliklendirme aracı olarak değerlendirmek için müşterilerimize bildirdiğimiz 2,5 milyondan fazla güvenlik açığı bulgusunu ve profesyonel etik korsanlarımızdan gelen 1.500’ün üzerinde raporu değerlendirdik.
Tarama ekiplerimiz tarafından bildirilen benzersiz Bulguların büyük bir kısmı (%79) ‘Yüksek’ veya ‘Orta’ olarak sınıflandırılmıştır ve tüm ciddi bulguların %18’i 150 gün veya daha eskidir. Bunlarla genellikle diğerlerinden daha hızlı bir şekilde ilgilenilse de, bazı kalıntılar zamanla birikmeye devam eder. Tespit ettiğimiz bulguların çoğu 90 gün sonra çözülse de rapor ettiğimiz tüm bulguların %35’i 120 gün veya daha uzun süre devam ediyor. Ve pek çoğuna asla değinilmiyor.
Tarama sonuçlarımız, yama yapılmamış güvenlik açıklarının kalıcı sorununu aydınlatıyor. Bu arada Etik Hacking ekiplerimiz çağdaş platformlar, çerçeveler ve diller üzerine kurulu yeni uygulama ve sistemlerle daha sık karşılaşıyor.
Etik Bilgisayar Korsanının rolü, kötü niyetli bir saldırganı taklit etmek ve bir sistemi, uygulamayı, cihazı ve hatta insanları BT kaynaklarına erişim sağlamak veya erişimi reddetmek için kullanılabilecek güvenlik açıkları açısından değerlendirmek üzere Sızma Testleri yürütmektir.
Sızma Testi genellikle Güvenlik Açığı Yönetiminin bir bileşeni olarak kabul edilir ancak aynı zamanda işletmelerin proaktif savunma stratejilerinin bir parçası olarak kullanması gereken bir Tehdit İstihbaratı biçimi olarak da görülebilir.
Etik Bilgisayar Korsanlarımızın bildirdiği bulguların %17,67’si ‘Ciddi’ olarak derecelendirildi, ancak daha da önemlisi, bilgisayar korsanlarının bunları keşfetmek için bugün geçmişte olduğundan daha fazla çalışması gerekiyor.
Bu sadece analizin bir kısmı. Güvenlik açıkları ve Sızma Testleri analizimiz hakkında daha fazla ayrıntıyı (aynı zamanda CyberSOC’lerimizde ele alınan olayların VERIS sınıflandırması, Siber Gasp istatistikleri ve Hacktivizm analizi gibi bir sürü diğer ilginç araştırma konusu) şu adreste bulabilirsiniz: Güvenlik Gezgini. Sadece formu doldurun ve indirmenizi alın. Buna değer!
Not: Bu bilgilendirici yazı Orange Cyberdefense Güvenlik Araştırma Merkezi Başkanı Charl van der Walt tarafından ustalıkla hazırlanmış ve cömertçe paylaşılmıştır.