Ortak Güvenlik Açığı Puanlama Sisteminin (CVSS) yakında piyasaya sürülecek olan 4.0 Sürümü, güvenlik açıkları için önem derecesi ölçümüyle ilgili bir dizi sorunu çözmeyi vaat ediyor. Ancak güvenlik açığı uzmanları, yamalara öncelik vermenin veya istismar edilebilirliği ölçmenin yine de kırılması zor bir ceviz olacağını söylüyor.
Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), geçen hafta yıllık konferansında CVSS’nin bir sonraki sürümünün bir önizlemesini yayınladı. Sürüm 4, muğlak “geçici” metriği ortadan kaldıracak, onun yerine daha açıklayıcı “tehdit” metriğini alacak ve temel metrik hesaplamasına başka faktörler ekleyecektir. FIRST’e göre, değişiklikler CVSS’nin genel kullanılabilirliğini geliştiriyor ve bu da şirketlerin ve kuruluşların mevcut güvenlik açıklarını derecelendirmek için bu metriği deneyebileceğini ve genel sürüm yayınlanmadan önce geri bildirim sağlayabileceğini ekledi.
CVSS 4, şirketlerin temel metriği hesaplamada kullanması için iki yeni faktör ekler: Yeni spesifikasyonun açıklamasına göre, saldırının karmaşıklığını ve bir saldırının kullanıcı etkileşimi gerektirip gerektirmediğini ölçen Saldırı Gereksinimleri (AT) ve Kullanıcı Etkileşimi (UI). Ayrıca, CVSS’nin bir bileşeni de şirkete özgü olan ve bir güvenlik açığının BT ortamları üzerindeki etkisini ölçen çevresel puandır.
“[T]FIRST, CVSS 4’ün önizleme sürümü hakkında yaptığı açıklamada, “en son sürümü, özünde doğru puanlama için tehdit istihbaratı ve çevresel ölçümleri kullanmanın önemine sahip ekipler için çok önemli olan ek yeteneklerle ileriye doğru önemli bir adımı işaret ediyor” dedi.
Yama Önceliklendirmesinin CVSS’den Daha Fazlasına İhtiyacı Var
Daha iyi bir Ortak Güvenlik Açığı Puanlama Sistemi, şirketlere hangi güvenlik açıklarının yama için öncelik alması gerektiğine karar vermede daha iyi bir yaklaşım sağlayabilir, ancak uzmanlar, her derde deva olarak görülmemesi gerektiğini söylüyor.
Kuruluşların yamalara öncelik vermek için kullandıkları en büyük ölçütlerden biri olan istismar edilebilirliği belirleme söz konusu olduğunda, şirketlerin bir dizi aracı vardır. CVSS’yi, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi’nin (CISA) Bilinen Yararlanılan Güvenlik Açığı (KEV) listesini, Açıklardan Yararlanma Tahmin Puanlama Sistemini (EPSS) veya Koalisyon Açıklardan Yararlanma Puanlama Sistemi gibi diğer tescilli sistemleri kullanabilirler. Yine de, küresel bir politika ve araştırma düşünce kuruluşu olan RAND Corp.’ta kıdemli politika araştırmacısı olan Sasha Romanosky, herhangi bir yaklaşımın bir kuruluşun yetenekleri ve kaynakları ile eşleşmesi gerektiğini söylüyor.
“Mesele o kadar da değil [which approach]hem CVSS hem de EPSS’ye katkı sağlayan Romanosky, “Ancak kişinin kullandığı strateji, kuruluşları için en iyiyi, yani önceliklendirilmiş listeyi üretir” diyor. “CVSS’nin tehdit – sömürü – [on its own, and] bu bizim için zor bir haptı, yaratıcılar [of] CVSS, yutmak için, ama gerçek bu.”
Örneğin, Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, bir kuruluşun saldırı yüzey alanının parçası olan sistemleri bilmenin çok önemli olduğunu söylüyor.
“Her zaman tavsiye ettiğim bir şey, varlık keşfinizde acımasız olmanız ve hangi sistemlerin işiniz için kilit önemde olduğunu anlamanızdır” diyor. “Bu, önceliklendirmeye yardımcı olacaktır.”
CVSS Zamanlaması, Karmaşıklık Zorlukları
Yeni CVSS, önceliklendirme için eyleme dönüştürülebilir değerlendirmeler sağlama konusunda hâlâ engellerle karşılaşıyor. Örneğin, bir aktif koruma siber sigorta firması olan Coalition’da kıdemli bir güvenlik araştırmacısı olan Scott Walsh, kuruluşların yama uygulamaya öncelik verme konusunda kararlar alırken mümkün olan en kısa sürede kılavuza sahip olması için kötüye kullanılabilirlik ölçümlerinin de hızlı bir şekilde oluşturulması gerektiğini söylüyor.
“Yeni bir CVE duyurulduğu zaman, risk yöneticileri ve savunucuları ciddiyet ve kötüye kullanılabilirlik puanları için CVSS’ye veya EPSS’ye başvurabilirler, ancak bu endüstri standardı sistemlerin yeni CVE’leri puanlaması genellikle zaman alır – bir haftadan bir aya kadar herhangi bir yerde,” diyor. “Bu süre zarfında kuruluşlar, hangi güvenlik açıklarının bireysel dijital ekosistemlerini ve teknolojilerini olumsuz yönde etkileme potansiyeli en yüksek olduğunu her zaman bilemezler.”
Ek olarak, en yeni CVSS’nin şifresini çözmek karmaşık olabilir, çünkü temel ölçümü hesaplamak için kullanılan yaklaşık iki düzine öznitelik vardır; bu karmaşıklık, güvenlik ekiplerinin risklerini ölçme becerisini engelleyebilmektedir.
“Bu değişkenler, birden fazla iş biriminin etkiler ve gereksinimler üzerinde anlaşmasını gerektirecek” diyor. “Güvenlikte zaman çok önemlidir ve hızlı yanıt vermek, bir saldırıyı başarılı bir şekilde önlemek ile kurban olmak arasındaki fark olabilir. Bu değişkenler, yeni bir tehdide yanıt verirken güvenlik açığı değerlendirme sürecini yavaş ve külfetli hale getirir.”