Aktif siber sigorta uzmanı Coalition tarafından yayınlanan ve CVE hacminin %25 artacağını öngören yeni rakamlara göre, BT donanım ve yazılım ürün ve hizmetlerinde bildirilen Genel Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) toplam sayısı 2024’te artmaya devam edecek gibi görünüyor 34.888 güvenlik açığı, yani her ay yaklaşık 2.900.
CVE’ler, sıfır günler de dahil olmak üzere yeni açıklanan güvenlik kusurlarına eklenen benzersiz tanımlayıcılardır. Aynı formatı (CVE-2024-XXXXX) izlerler; burada ilk rakam seti yılı, ikincisi ise bir bloktan atanan sayıyı temsil eder.
CVE programı, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) desteğiyle ABD dışında MITRE Corporation tarafından denetlenmektedir, ancak MITRE her zaman CVE numaralarını atamaz; bu daha çok bir CVE Numaralandırma Kurumu (CNA) tarafından yapılır. Bunların arasında Cisco, IBM, Microsoft veya Oracle gibi tedarikçiler, güvenlik firmaları ve araştırmacılar da dahil olmak üzere pek çok kişi var.
Sistem, güvenlik profesyonellerine ve savunucularına güvenlik açıklarını tespit etmenin hızlı, kolay ve güvenilir bir yolunu sunmak üzere tasarlanmıştır ve güvenlik topluluğu için yamaların ve diğer çözümlerin geliştirilmesinin koordine edilmesine yardımcı olur.
Ancak sistem mükemmel değildir. CVE’lerin sayısı katlanarak artıyor ve güvenlik ekipleri yeterince zayıflıyor, buna ek olarak sistem gerçek dünyadaki pratik istismarı vurgulayacak donanıma sahip değil, bu nedenle kullanıcılar genellikle araştırmacılara ve “ünlü CVE’lere” ilişkin medya yayınlarına güvenmek zorunda kalıyor. MOVEit olayının veya Citrix Bleed’in arkasındakiler gibi – bu tür sorunları anlamlandırmak için.
“Yeni güvenlik açıkları hızlı bir şekilde yayınlanıyor ve artıyor. Genellikle farklı işaretleme sistemleri aracılığıyla ortaya çıkan yeni güvenlik açıklarının akını nedeniyle siber risk ekosisteminin takibi zordur. Coalition’ın araştırma başkanı Tiago Henriques, “Çoğu kuruluş, genel maruziyetlerini ve risklerini sınırlamak için ilk önce neyin yamalanması gerektiği konusunda uyarı yorgunluğu ve kafa karışıklığı yaşıyor” dedi.
“Günümüzün siber güvenlik ortamında kuruluşların tüm güvenlik açıklarını tek başlarına yönetmeleri beklenemez; bu güvenlik endişelerini yönetecek ve düzeltmeye öncelik vermelerine yardımcı olacak birine ihtiyaçları var.”
Koalisyon, güvenlik açıklarının artmasına katkıda bulunan bir dizi etkenin bulunduğunu söyledi. Bunlar arasında siber suç faaliyetlerinin ticarileştirilmesi ve profesyonelleştirilmesi ile istismar kitlerinin, kimlik bilgilerinin ve ele geçirilen ağlara erişimin satıldığı yer altı forumlarının giderek artan kullanımı yer alıyor.
Ayrıca CNA’ların sayısında da bir artış oldu ve bu da belirtilen güvenlik açıklarının sayısını artırdı.
Ek olarak, hata ödül programlarının artan popülaritesinin de bir etkisi olabilir, zira etik korsanlar normalde fark edilmeyecek sorunları aramaya teşvik edilir.
Koalisyon, artan sayıda güvenlik açığının, tehdit aktörleri arasında yenilerini bulma konusuna da daha fazla odaklanılmasına yol açtığını belirtti.
Tüm bunlar güvenlik ekipleri için baş ağrısına neden oluyor, çünkü her ay 3.000’e kadar soruna yanıt vermeleri beklenemez.
Coalition, bir balküpü ağı da dahil olmak üzere web üzerinden topladığı geniş kapsamlı verinin, siber riskleri anlamlandırmasına ve eyleme geçirilebilir içgörüleri hem müşterileriyle hem de güvenlik topluluğuyla paylaşmasına olanak sağladığını iddia ediyor.
Ayrıca, baskının bir kısmını hafifleteceğini ve poliçe sahiplerinin, 2019 yılının ikinci Salı günü kör bir paniğe kapılmak yerine, benzersiz güvenlik açığı profillerine daha risk bazlı, öncelikli bir yaklaşım benimsemelerini sağlayacağını umduğu kendi istismar puanlama sistemini de geliştirdi. ay.
MDR: Savunmacılar için erken uyarı sistemi
Koalisyonun raporu ayrıca, bal küpleri ve diğer tehdit izleme araçlarından oluşan ağının, tehdit aktörlerinin etkili CVE’leri ifşa edilmeden önce tespit etme konusunda nasıl özellikle ustalaştığını vurguladı.
Firma, Mayıs 2023’ün sonundan itibaren Progress Software’in MOVEit yönetilen dosya aktarım aracının Clop/Cl0p fidye yazılımı çetesi tarafından toplu olarak kötüye kullanılmasına yol açan CVE-2023-34362 vakasında, honeypot ağının MOVEit’i hedef alan aktivite tespit ettiğini söyledi. Progress Software’in ilk tavsiyesini yayınlamasından iki hafta önce.
MOVEit ve aynı zamanda Citrix Bleed gibi olayların, daha fazla kuruluşun özel olarak yönetilen tespit ve yanıt (MDR) çözümlerine sahip olması durumunda olduğundan çok daha az sorunlu olabileceğini söyledi.
Koalisyonun güvenlikten sorumlu genel müdürü John Roberts, MDR’nin saldırı tepki süresini yarı yarıya azaltabileceğine inandığını söyledi.
“Artık sadece bir teknoloji çözümü oluşturmanın ve unutmanın yeterli olmadığı bir noktadayız ve uzmanların güvenlik açığı ve risk yönetimine dahil olması gerekiyor” dedi.
“MDR sayesinde, teknoloji şüpheli aktiviteyi tespit ettikten sonra insan uzmanlar, etkilenen makineleri izole etmek veya ayrıcalıkları iptal etmek de dahil olmak üzere çeşitli şekillerde müdahale edebilir. Koalisyon, siber suçluları saldırının ortasında durdurmak için tam da bunu yapma konusunda deneyime sahip.”