Coalition’ın raporu, 2024 için yayınlanan ortak güvenlik açıkları ve risklerin (CVE’ler) toplam sayısında %25’lik bir artışla 34.888 güvenlik açığına, yani ayda yaklaşık 2.900’e ulaşacağını öngörüyor.
Keskin CVE artışı, yazılım güvenlik açığı endişelerini artırıyor
Güvenlik açıkları, fidye yazılımı aktörlerinin kurbanları tehlikeye atmak için kullandığı en önemli üç vektörden biridir ve bunların etkisinin anlaşılmasını önemli kılmaktadır. Güvenlik açıkları öncelikle CVE’ler olarak izlenir, ancak bazılarının yanlış veya var olmayan bir CVE tanımlayıcısı olabilir.
CVE’lerdeki keskin artış, hem bir giriş yolu arayan tehdit aktörlerinin hem de istismara karşı koruma sağlamaya çalışan savunucuların savunmasız yazılımları belirlemeye daha fazla odaklanmasına yol açtı.
Güvenlik açıklarının sayısı katlanarak artmaya devam ediyor ve her ay binlercesi açıklanıyor. Ne yazık ki işletmeler siber risk yönetimini değil, büyümeyi optimize etme eğiliminde ve birçok güvenlik ve BT ekibi zayıf durumda.
“Yeni güvenlik açıkları hızlı bir şekilde yayınlanıyor ve artıyor. Genellikle farklı işaretleme sistemleri aracılığıyla ortaya çıkan yeni güvenlik açıklarının akını nedeniyle siber risk ekosisteminin takibi zordur. Koalisyonun Araştırma Başkanı Tiago Henriques, çoğu kuruluş, genel maruziyetlerini ve risklerini sınırlamak için ilk önce neye yama yapılması gerektiği konusunda uyarı yorgunluğu ve kafa karışıklığı yaşıyor,” yorumunu yaptı.
“Günümüzün siber güvenlik ortamında kuruluşların tüm güvenlik açıklarını kendi başlarına yönetmeleri beklenemez; bu güvenlik endişelerini yönetecek ve düzeltmeye öncelik vermelerine yardımcı olacak birine ihtiyaçları var,” diye devam etti Henriques.
Sıfır gün güvenlik açıkları geçen yıl önemli ölçüde ilgi gördü, ancak Citrix Bleed güvenlik açığı bize birçok tehdit aktörünün, satıcının zaten bir yama yayınlamış olduğu güvenlik açıklarına yönelik istismarlar oluşturmaya devam ettiğini hatırlatıyor.
Yayınlanan CVE’ler zamanında puan alamıyor, bu da savunma oyuncularını suiistimallere karşı savunmasız bırakıyor
Savunmacıların güvenlik açıklarını puanlamak için zamanında ve objektif bir yönteme ihtiyacı var. Çoğu durumda, tehdit aktörlerinin kullanımına CVE yayınlanmadan önce zaten ulaşılabilmektedir, bu da tehdit aktörlerinin savunmacılara göre genellikle bir adım önde olduğu anlamına gelmektedir.
Önemli bir azınlık için, istismarlar CVE yayınlanmadan önce kamuya açık hale geldi. Daha da yüksek bir kesimin, yayınlanmadan önce özel olarak erişilebilen istismarları vardı.
CVE puanlamasındaki gecikme genellikle savunmacıların güvenlik açığı yönetimi konusunda iki çetin mücadeleyle karşı karşıya kalması anlamına geliyor. İlk olarak, her ay yayınlanan binlerce CVE’den hangisinin ilk önce yamalanması gerektiğini belirlemek için bir önceliklendirme yöntemine ihtiyaçları var. İkinci olarak, bir tehdit aktörünün kendi kuruluşlarını hedef almak için bu CVE’leri kullanması için bu CVE’lere yama yapmaları gerekiyor.
Bal küpü verileri
Uzak masaüstü protokolü (RDP) için benzersiz IP adreslerinin taranması %59 arttı. Bu özellikle endişe verici çünkü Koalisyon verileri aynı zamanda internete maruz kalan RDP’li işletmelerin fidye yazılımı olayıyla karşılaşma olasılığının en yüksek olduğunu ortaya koyuyor.
Taramalar, yaklaşık 10.000 işletmenin kullanım ömrü sonu (EOL) Microsoft SQL Server 2000 veritabanını çalıştırdığını ve 100.000’den fazla işletmenin EOL Microsoft SQL sunucularını çalıştırdığını buldu.
Balküpleri, tehdit aktörlerinin davranışları hakkında zengin bilgiler sağlarken aynı zamanda büyük miktarda gürültü de yaratırlar. Bal küpü verilerinin samanlıktaki iğnesini tanımlamayla ilgili temel sorunlardan biri, kötü amaçlı trafiğin belirlenmesini zorlaştıran iyi huylu trafiğin hacmidir. Honeypot (sensör) etkinliği, Progress Software’in MOVEit güvenlik tavsiyesini yayınlamasından 16 gün önce %1.000 oranında artış gösterdi.
Coalition Güvenlik Genel Müdürü John Roberts, “MDR, saldırı yanıt süresini %50 veya daha fazla azaltabilir; bu, işletmelerin siber tehditlerden korunmasına yardımcı olacak büyük bir etkidir” dedi.
“Artık bir teknoloji çözümünü belirleyip unutmanın yeterli olmadığı ve uzmanların güvenlik açığı ve risk yönetimine dahil olması gerektiği noktadayız. MDR ile, teknoloji şüpheli aktiviteyi tespit ettikten sonra insan uzmanlar, etkilenen makineleri izole etmek veya ayrıcalıkları iptal etmek de dahil olmak üzere çeşitli şekillerde müdahale edebilir.” Roberts sözlerini tamamladı.