Common Weakness Enumeration ekibi, 2023’ün En Tehlikeli 25 Yazılım Zayıflığı başlıklı bir liste yayınladığını duyurdu. Bu yılki CWE İlk 25 güvenlik açığı arasında siteler arası betik çalıştırma (XSS), SQL enjeksiyonu ve sınır dışı yazmalar yer alıyor ve bunların tümü geçen yıl da dahil edildi.
CWE İlk 25, yaygınlıklarına ve zarar verme kapasitelerine göre dahil edilmek üzere seçilen yazılım sorunlarından oluşur. Siber Güvenlik ve Altyapı Dairesi, güvenlik açığı düzeltme ekinin kullanıma sunulduğu duyurusunda, saldırganların “etkilenen bir sistemin kontrolünü ele geçirmek, hassas bilgiler elde etmek veya Hizmet Reddi durumuna neden olmak için bu güvenlik açıklarından sıklıkla yararlanabileceğini” belirtti.
2021 ve 2022’de keşfedilen ve raporlanan güvenlik açıkları için NIST’in Ulusal Güvenlik Açığı Veritabanından (NVD) 43.996 CVE girişini analiz ettikten sonra, CISA’nın Bilinen Yararlanmaya Açık Güvenlik Açıkları (KEV) kataloğuna eklenen CVE kayıtlarına odaklanan MITER, her güvenlik açığına göre bir puan atadı. Bu listeyi derlemek için şiddet ve yaygınlık. CVE girişleri, 2021 ve 2022’de keşfedilen ve bildirilen güvenlik açıkları için analiz edildi. Yazılım kusurlarının ciddiyeti ve sıklığı değerlendiriliyor ve bu derecelendirmelerin sonuçları, güvenlik açıklarının listede nereye sığacağına karar vermek için kullanılıyor.
SQL enjeksiyonu, listede ilk iki sırayı dolduran sınır dışı yazma ve siteler arası betik çalıştırmanın ardından üçüncü sırada yer aldı.
Bu yıl, tüm yıl boyunca saldırılarda düzenli olarak kullanılan ilk 15 güvenlik açığının kapsamlı bir koleksiyonu, dünyanın dört bir yanından siber güvenlik yetkililerinin ortak çabalarının bir sonucu olarak kamuoyuna açıklandı. Ulusal Güvenlik Teşkilatı ve Federal Soruşturma Bürosu bu ortak projede yer aldı.
Ayrıca Siber İstihbarat Paylaşım ve Analiz Merkezi (CISA) ve Federal Soruşturma Bürosu (FBI), Avustralya Siber Güvenlik Merkezi (ACSC) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ile iş birliği içinde Yaygın olarak kullanılan güvenlik açıklarının listesi.
CISA ve FBI, 2016’dan 2019’a kadar en sık hedef alınan ilk 10 güvenlik açığının bir listesini derlemek için iş birliği yaptı.
CWE ekibi, bu yıl meydana gelen değişiklikleri incelerken şu gözlemde bulundu: “Geçen yıllarda olduğu gibi, İlk 25’te daha spesifik temel düzey zayıflıklara doğru sürekli bir geçiş var” ve sözlerine ekledi. ayrıca “sınıf düzeyindeki benzersiz zayıflıkların sayısında yavaş bir düşüş” oldu.
Temel düzeydeki güvenlik açıkları, kesin algılama ve kaçınma stratejilerini belirlemek için yeterli derinlikte belirtilirken, sınıf düzeyindeki sorunlar çok yüksek düzeydedir ve genellikle belirli bir dile veya teknolojiye bağlı değildir. CWE programı, CWE İlk 25’te temel düzey güvenlik açıklarına daha fazla odaklanarak, yazılım profesyonellerinin siber riske maruz kalmalarını azaltmak için belirli stratejiler bulmalarının daha kolay olacağını düşünüyor.
CWE ekibi, programın amacının, günümüz sistemleri için daha acil bir operasyonel tehlike oluşturan sorunları daha iyi anlamaya ve yönetmeye çalışan kullanıcılara yardımcı olmak olduğunu söyledi. Sınıf düzeyindeki daha yüksek güvenlik açıklarıyla karşılaştırıldığında, “temel düzeydeki zayıflıklar daha bilgilendirici ve pratik hafifletme için elverişlidir.”
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.