Dalış Özeti:
- Siber Güvenlik ve Altyapı Güvenliği Ajansı, güvenlik riskini azaltma yönünde ilerleme kaydettiğini söyledi Ekim 2022 sürümünden bu yana Siber güvenlik performans hedefleri programının ajans Salı günü söyledi.
- CPG programının piyasaya sürülmesinden bu yana, kurumun güvenlik açığı tarama hizmetine kayıtlı kuruluşlar, bilinen istismar edilen güvenlik açıklarının ortalama sayısını yaklaşık %20 oranında azalttı.
- CISA, kuruluşların ayrıca halka açık internetin karşı karşıya olduğu sömürülebilir hizmetlerin sayısının azaltılmasında %1’lik bir düşüşle daha fazla artan değişiklikler gördüğünü söyledi. Ajans, ilk erişim, fidye yazılımı dağıtımı ve veri hırsızlığı için yaygın olarak kullanılan vektörler olan uzak masaüstü protokolü ve uzaktan prosedür çağrısının kullanımında hafif azalmalar tespit etti.
Dalış Bilgisi:
CISA başlattı Gönüllü bir yol haritası olarak CPG programı küçük ve orta ölçekli kuruluşların, ulaşılabilir iyileştirmeler yoluyla güvenlik durumlarını iyileştirmelerine yardımcı olmak.
Güvenlik iyileştirmeleri, 1 Nisan 2022’den önce CISA’nın güvenlik açığı tarama hizmetine kayıtlı 3.500 kuruluşta ölçüldü. Bu yılın Haziran ayı itibarıyla CISA, kayıtlı kuruluş sayısının neredeyse %70 arttığını ve 5.900’den fazla kuruluşun kaydolduğunu söyledi.
Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu Vahşi doğada saldırılar için aktif olarak kullanılan güvenlik açıklarının bir listesidir. CISA, kuruluşun ortamı başına mevcut olan ortalama KEV sayısını ölçtü.
Nisan 2022’de, CISA’nın Kalkanları Yükseltme kampanyasının başlatılmasından kısa bir süre sonra, kuruluş başına yaklaşık 0,58 KEV vardı ve bu sayı, kuruluş başına 0,49 KEV’e ulaştığı Ekim 2022’ye kadar düzensiz hareket gösteriyordu.
CISA verilerine göre, geçtiğimiz Kasım ayından bu yana, bilinen güvenlik açıklarında Haziran ayı itibarıyla kuruluş başına 0,30 oranında istikrarlı bir azalma yaşandı.
Sonatype kurucu ortağı ve CTO’su Brian Fox, “CISA raporlarının ilk göstergeleri cesaret verici” dedi. Ancak kuruluşların tarama hizmetine kaydolması nedeniyle bazı seçim yanlılığı olduğu konusunda uyardı.
“Benim bakış açıma göre en büyük sorun her zaman pazarın çoğunluğunun bu soruna yeterince dikkat etmemesi olmuştur” dedi Fox.
Log4j indirmelerinin %30’unun hala güvenlik açığı bulunan sürümlerden oluştuğunu belirtti. iki yıl sonra ilk açıklamalar.