RSA KONFERANSI 2023 – San Francisco – Siber Güvenlik ve Altyapı Güvenliği Ajansı, 2021’de Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesini ilk kez sunduğunda amaç, devlet kurumlarına ve işletmelere ortadaki en riskli tehditler hakkında bilgi vermekti. Yaklaşık üç yıl sonra, araştırmalar KEV listesinin iyileştirme sürelerini hızlandırdığını ancak yapılacak daha çok iş olduğunu gösteriyor.
Eski Kongre Üyesi Jim Langevin, KEV listesini oluşturan 22-01 CISA Bağlayıcı Operasyonel Direktifi mevzuatının arkasındaydı ve Dark Reading’e amacın, hangi güvenlik açıklarının en büyük riski oluşturduğuna dair devlet kurumlarıyla paylaşılan aynı bilgileri işletmelere sağlamak olduğunu açıkladı. ve bu nedenle iyileştirme için önceliklendirilmelidir. KEV listesine eklenen güvenlik açıkları, şirketler için değil, federal hükümet için hafifletilmesi gerekiyor.
için KEV listesine eklenecek bir kusuratanmış bir CVE’ye sahip olması, yaygın olarak kullanıldığı bilinmesi ve bir iyileştirmenin mevcut olması gerekir. Listenin etkili bir şekilde çalışıp çalışmadığını değerlendirmek isteyen Bitsight’ın yeni bir raporundan elde edilen verilere göre, CISA’nın federal kurumlar arasında düzeltme için uyguladığı son tarihler bir haftadan altı aya kadar değişiyor; fidye yazılımı güvenlik açıkları en acil şekilde ele alınıyor.
Önem Puanları Yama Önceliklendirmesine Yardımcı Olur
Bitsight, 2023 yılında kuruluşların %35’inin KEV yaşadığını bildirdi; bunların %66’sında birden fazla, %25’inde beşten fazla ve %10’unda 10’dan fazla KEV vardı.
Raporda, “Orta önemdeki güvenlik açıkları arasında düzeltme hızında neredeyse hiçbir fark yok” denildi. “Ancak ortanca kritik KEV KEV olmayan muadillerine göre 2,6 kat daha hızlı iyileştirilirken, yüksek önemdeki KEV’ler KEV olmayanlara göre 1,8 kat daha hızlı iyileştirildi.”
Langevin, iyileştirme zaman çizelgelerindeki artıştan cesaret alıyor ancak birçok kuruluş hâlâ zorluk yaşıyor. Veriler, fidye yazılımı kampanyalarında kullanılan hataların, kurumsal ekipler arasında iyileştirme konusunda en büyük önceliğe sahip olduğunu gösterdi.
Raporda, “Göreceli düşüşlerin ortalamasını alırsak, fidye yazılımı KEV’leri, fidye yazılımında kullanıldığı bilinmeyen KEV’lere göre 2,5 kat daha hızlı (ortalama olarak) sabitlenir” diye ekledi.
Bu arada, kar amacı gütmeyen kuruluşlar ve STK’lar düzeltme konusunda en yavaş olanlar olurken, teknoloji şirketleri, sigorta ve finans firmaları hız yarışını kazanıyor.
Bitsight, federal kurumların da sıklıkla belirtilen CISA son tarihlerini karşılamakta zorlandığını ancak diğer tüm sektörlerden %65 daha hızlı bir şekilde iyileştirme yaptığını tespit etti. KEV listesindeki güvenlik açıklarının yaklaşık %40’ı son tarihe kadar giderilir. rapor katma.
Hızlanmak için işletmelerin etkili bir duruş sergilemesi gerekiyor. güvenlik açığı yönetim sistemi kurumsal düzeyde, tehdit hakkında bağlam toplamak için KEV listesi ve diğer kaynaklar. Daha da önemlisi, Bitsight araştırmacıları kuruluşların çok yavaş hareket etme sorumluluğu ile iyileştirme oranlarını ölçmeye odaklanmasını istiyor.
Langevin, en temelde, KEV listesini tehdit ortamına ilişkin bağlam sağlayacak bir bilgi kaynağı olarak görüyor.
Bitsight’ın hükümet işlerinden sorumlu başkan yardımcısı Jake Olcott, KEV listesinin ekiplerin hangi hataların işin en üst düzeylerine yükseltilmesi gerektiğini belirlemesine yardımcı olacağını ekliyor.
Olcott, Dark Reading’e şöyle açıklıyor: “KEV’ler tam olarak yönetim kurulu düzeyinde tartışılması gereken türde güvenlik açıklarıdır.” “Sadece siber riski değil, iş riskini de ifade etmeye yardımcı oluyor.”