CISA Bilinen İstismar Edilen Güvenlik Açıkları kataloğu, Kasım 2021’deki lansmanından bu yana 1.000’den fazla güvenlik açığını kapsayacak şekilde büyüdü.
18 Eylül 2023’te Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunun Kasım 2021’deki lansmanından bu yana 1.000’den fazla güvenlik açığını kapsayacak kilometre taşına ulaştığını duyurdu.
Bu çok gibi görünebilir, ancak yalnızca 2022’de yayımlanan 25.000’den fazla yeni güvenlik açığıyla kuruluşların en önemli güvenlik açıklarına odaklanmasına yardımcı oluyor.
Pek çok kuruluş çok sayıda yazılım ve internet bağlantılı cihaz çalıştırıyor ve bunları istismar etmek için kullanılabilecek güvenlik açıkları her gün bulunuyor. Herkes yama yapması gerektiğini biliyor, ancak neyi ne zaman yamalayacağına karar vermek ve ardından bunu yapmak için zaman ve kaynak bulmak önemli zorluklardır.
CISA, KEV kataloğunu başlatmanın nedenlerinden birinin, kuruluşların ilk olarak hangi güvenlik açıklarını ele almaları gerektiğine öncelik vermelerine yardımcı olmak olduğunu söylüyor.
“Başlangıç noktası olarak, güvenlik açıklarının çoğunun asla kötü niyetli aktörler tarafından istismar edilmediğini biliyoruz.”
CISA, kataloğu oluşturan ve federal bilgi sistemlerini işleten herkesin buna uymasını zorunlu kılan Bağlayıcı Operasyonel Direktifi 22-01’i Kasım 2021’de yayınladı.
Federal Sivil Yürütme Organı (FCEB) kurumlarına, güvenlik açıklarının ne zaman ele alınması gerektiği konusunda belirli ve çok sıkı son tarihler veriliyor. Direktif özellikle bu kurumların internete yönelik listelenen güvenlik açıklarını 15 gün içinde ve diğer tüm güvenlik açıklarını 25 gün içinde düzeltmelerini şart koşuyor.
Diğer herkes için bu, güvenlik açıklarını, bir güvenlik açığından yararlanılabilirliğin yalnızca bir alt puan olduğu CVSS puanlarından daha alakalı bir şeye göre filtrelemek için bir fırsattır.
Suçluların gerçekte neleri istismar ettiğine dayandığından kuruluşunuz yine de kataloğu kendi yama yönetimi stratejisine eklemek isteyebilir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Katalog için dikkate alınması gereken bir güvenlik açığının karşılaması gereken ilk kriter, benzersiz bir CVE kimliğine sahip olmaktır; böylece kuruluşlar, güvenlik açığının tam olarak hangi güvenlik açığıyla ilgili olduğunu bilebilir. Bu göründüğü kadar basit değil. CISA, yaygın olarak kullanılan her güvenlik açığının bir CVE kimliğiyle doğru şekilde tanımlanmasını sağlamak için satıcılarla, açık kaynak projelerle ve CVE programıyla birlikte çalışır.
İkinci kriter ise aktif sömürünün kanıtıdır. Bu kanıtın güvenilir bir kaynaktan (bilinen bir endüstri ortağı, güvenilir bir güvenlik araştırmacısı veya bir hükümet ortağı) olması gerekir. O zaman bile, gerçek, kötü niyetli istismarı ayırt etmek için büyük miktarda veriyi ayıklamak göz korkutucu bir görev olabilir.
“Kendimizi, internette dolaşan vahşi doğada sömürü fısıltılarını kovalarken bulabiliriz. Bu zorluğa ek olarak, bazı düşmanların anlaşılması zor ve sofistike olmaları ve dijital ayak izlerinden neredeyse hiçbir iz bırakmamaları da söz konusudur.”
Ve son fakat bir o kadar da önemlisi, etkili bir azaltımın mevcut olması gerekmektedir. Sonuçta, elimizde bir çare olmadığında son tarihi olan bir güvenlik açığını listelemenin hiçbir faydası yok.
KEV kataloğunun kötü amaçlı yazılım bulaşmaları ve fidye yazılımı saldırıları üzerindeki etkisinin ne olduğunu gösteren ölçümler bulmak zordur, ancak açık olan şey, listelenen güvenlik açıklarının düzeltilmesi için geçen ortalama sürenin, listelenmeyenlere göre ortalama dokuz gün daha hızlı olduğudur. – ve internete yönelik güvenlik açıkları için 36 gün daha hızlı.
CISA, sağlık ve eğitim gibi sektörler için özellikle yararlı olabilecek belirli bir güvenlik açığının fidye yazılımı aktörleri tarafından kullanılıp kullanılmadığını belirlemek gibi daha bilgilendirici alanlar ekleme seçeneklerini araştırdığını söylüyor. Tehdit modelinize göre daha fazla öncelik vermenize yardımcı olabilir.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.