Koalisyon raporuna göre araştırmaOrtak Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) 2024’te %25 artarak 34.888 güvenlik açığına veya ayda yaklaşık 2.900 güvenlik açığına ulaşması bekleniyor. Saldırı yüzeyleri hızla genişlemeye devam ederken iş liderleri, güvenlik açığı uyarısını, yama yönetimini ve olaylara müdahaleyi iyileştirmek için siber savunmalarını artırma konusunda kritik görev seçimleriyle karşı karşıya kalıyor.
Koalisyon, bal küpü verilerimiz ve siber sigorta poliçesi sahiplerimizin saldırı yüzeylerini, güvenlik araçlarını ve iş akışlarını inceleyerek işletmeleri riske sokan temel teknoloji seçimlerinin yanı sıra en etkili olduğu kanıtlanmış seçimleri belirledi.
Kısa Görüşlü İş Seçimleri
Çeşitli faktörler zayıf güvenlik açığı yönetimine katkıda bulunarak kuruluşları siber saldırılara karşı daha duyarlı hale getiriyor.
Birincisi, şirketler genellikle güvenlik ekiplerinin kaynak yetersizliğine ve aşırı çalışmasına neden oluyor. Çalışan eksikliğinden siber beceri boşluklarına ve güvenlik tükenmişliğine kadar bu siber iş gücü zorlukları, güvenlik ekiplerine yük olmaya devam ediyor. Bilgi güvenliği profesyonelleri, güvenlik açıklarını hızlı bir şekilde takip etme, düzeltme eki uygulama ve düzeltme yeteneklerini kısıtlayan aşırı uyarı yorgunluğuna katlanıyor.
İkincisi, farklı işaretleme sistemlerini kullanmayı tercih etmek, en son tehditlere ilişkin kritik bilgilerin bir arada tutulmasını sağlar. Temel kaynaklar ayrı yönetildiği için şirketler ve müşterileri risk altındadır: Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanlarıSiber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuve satıcıların çeşitli (ve çoğunlukla gecikmiş) güvenlik önerilerinin tümü farklı kaynaklardan gelir. Daha sonra tüm bu farklı bilgi kaynaklarına hakim olma sorumluluğu her kuruluşa devredilir. Daha da kötüsü, şimdi NIST büyük birikmiş iş sorunlarıyla karşı karşıyaonun Ulusal Güvenlik Açığı Veritabanı artık gerçeğin kaynağı olarak görülemez, bu da tabloyu daha da karmaşık hale getirir.
Üçüncüsü, şirketler iş kaynaklarını her zaman yetenek açığını kapatmak için kullanmıyor. ISC2, siber güvenlik iş gücünün 2023 yılında bir önceki yıla göre %8,7 arttığını tespit etti. işgücü açığı büyüdü ilave %12,6. Arz talebi geride bırakıyor ve güvenlik ekipleri sıkışıp kalıyor.
Son olarak, teknik borcu göz ardı etmeyi seçmek, eski ve güncelliğini yitirmiş yazılımları yüksek riskli bir hedef haline getirir. Eski teknolojiler ve şirketlerin devasa teknoloji abonelik listeleri yalnızca güvenlik bütçelerini tüketmekle kalmıyor, aynı zamanda işletmelerin saldırı yüzeylerini de genişletiyor. Pek çok işletmenin yeni güvenlik araçlarını veya yaklaşımlarını keşfedecek bütçesi yok çünkü teknik borçların ağırlığı altındalar.
Riskli Teknik Seçimler
Güvenlik ekipleri, tehdit aktörlerinin her yıl başarılı bir şekilde hedeflemeye ve kullanmaya devam ettiği gözden kaçan riskler hakkında daha akıllı seçimler yapmalıdır: yamalanmamış güvenlik açıkları, İnternet’e açık teknolojiler ve kullanım ömrü sonu (EOL) teknolojisi.
Öncelikle, güvenlik açıklarının görünüşte küçük yazılım kusurlarını aktif saldırılara dönüştürebileceğini, dolayısıyla yama uygulamasını ertelemenin riskli bir karar olduğunu anlayın. Yakın zamandaki bir örnekte, ulus devlet saldırısı Kuzey Koreli bir tehdit grubundan gelen saldırı, altı ay boyunca yama yapılmadan bırakılan bir Windows sıfır gün güvenlik açığını hedef aldı. Bu güvenlik açığının ölçeği ve iş üzerindeki etkileri henüz bilinmiyor ancak kuruluşlar için çok büyük ve devam eden bir risk oluşturuyor.
İkincisi, kuruluşların kolaylıkla yararlanılabilen, İnternet’e açık teknolojilerine daha fazla dikkat etmeleri gerekiyor. Örneğin Koalisyon, Uzak Masaüstü Protokolü (RDP) arayan benzersiz IP adreslerinden yapılan taramaların Ocak 2023’ten Ekim 2023’e kadar %59 arttığını tespit etti; bu da siber suçluların işletim sistemine erişim elde etmek için hâlâ bu savunmasız teknolojiyi hedef aldığını gösteriyor.
Son olarak, şirketler genellikle tamamen bozuluncaya veya nüfuz edilene kadar güncelliğini yitirmiş ve EOL teknolojilerini çalışır durumda tutmaya karar verirler. Tehdit aktörleri geçen yıl güncelliğini yitirmiş yazılımlara yönelik saldırılarını artırdı. Koalisyonun raporu, 10.000 işletmenin EOL veritabanı Microsoft SQL Server 2000’i çalıştırdığını, 100.000’den fazla işletmenin ise EOL Microsoft SQL sunucularını çalıştırdığını ortaya çıkardı. Güncelliğini yitirmiş teknoloji ve teknik borçlar giderilmezse ABD’deki kuruluşlara mal olacak trilyonlarca dolar gelecek yıllarda.
Tehdit aktörleri istismar edilmesi ve paraya çevrilmesi en kolay riskleri aramaya devam ederken, bir kuruluşun siber direncini güçlendirmek, en kolay ele alınabilecek riskleri belirlemek kadar basit olabilir.
Güvenlik Ekipleri için Daha Akıllı Seçimler
Araştırmamız, birkaç önde gelen çözümü uygulamayı seçmenin güvenlik açığı yönetimini iyileştirdiğini ve öngörülebilir gelecekte de bunu yapmaya devam edeceğini gösteriyor.
İlk olarak, güvenlik uzmanları bilgisayar korsanlarının taktiklerini, tekniklerini ve prosedürlerini belirlemek için bal küpleri gibi tehdit istihbaratı araçlarından yararlanabilir. Bu araçlar, yeni tehditlere karşı erken uyarı sistemi görevi görmeye yardımcı olur. Örneğin, Koalisyon %1000 ile ilgili siber suç faaliyetlerini ortaya çıkardı. 2023 MOVEit güvenlik açığında ani artış Mayıs ortasında, iki hafta önce İlerleme Yazılımı ve CISA tavsiyelerini yayınladı. Bu erken uyarı, poliçe sahiplerimizin güvenlik açığını gidermesine ve ilgili siber olaylardan ve yaklaşan siber sigorta taleplerinden kaçınmasına yardımcı oldu. Bu arada güvenlik açığı daha geniş siber ekosisteme mal oluyor 15,6 milyar dolar.
İkincisi, savunmacılar, güvenlik ekosistemi genelinde uyarılar oluşturmalarına ve bağlamsallaştırmalarına yardımcı olmak için yapay zekayı (AI) kullanmalıdır. Siber endüstri, yapay zekanın siber güvenlik risklerinin üstesinden gelmeye çalışırken, satıcılar da teknolojiyle rakiplerle savaşmanın yeni yollarını buluyor. Örneğin, Koalisyonun Exploit Puanlama Sistemi birden fazla veri kümesini birleştirir ve şirketlerin risk azaltmayı yönetmesine ve önceliklendirmesine yardımcı olmak için bunları yapay zeka ile analiz eder.
Son olarak, sürekli tehdit algılama ve yanıt yönetimini bir insan trafik görevlisiyle eşleştirmeyi unutmayın. Güvenlik ekiplerinin insan gücü, ikna edici işletmeleri riskli olanların önüne geçirecektir. Yapay zeka ve makine öğrenimi, güvenlik açıklarını yakalamanın anahtarı olsa da, zekayla yama uygulamak, yapay zekanın otomatik içgörülerine göre hareket edebilecek insanlara, yani stratejik insan ortaklarına ihtiyaç duyar.