Genel bir kural olarak, BT departmanları bir sonraki tehdide odaklanır: sistemde gizlenen sıfırıncı gün güvenlik açıkları, gözden gizlenen tuzak kapılar. Bu anlaşılabilir. Bilinmeyenden korkarız ve sıfırıncı gün güvenlik açıkları tanım gereği bilinmez. Saldırganlar onları nihayet teşhis ettiğinde akıl kaçınılmaz olarak neden olabilecekleri anlatılmamış hasara atlar.
Ancak bir sonraki tehdide, yani bilinmeyen riske odaklanmak kuruluşa zarar veriyor olabilir. Çünkü ortaya çıktığı üzere, işletmelerin endişelenmesi gereken güvenlik açıklarının çoğu zaten tanımlanmış durumda.
Securin’in yakın tarihli bir raporuna göre, 2022’de fidye yazılımı tarafından kullanılan güvenlik açıklarının büyük çoğunluğu (%76) eskiydi ve 2010 ile 2019 arasında keşfedildi. 2022’de fidye yazılımına bağlı 56 güvenlik açığından 20’si 2015 arasında keşfedilen eski güvenlik açıklarıydı. ve 2019.
Başka bir deyişle: Fidye yazılımı saldırılarının belki de kuruluşların karşı karşıya olduğu en büyük tehdit olduğu bir zamanda, fidye yazılımı saldırganları tarafından en çok yararlanılan güvenlik açıkları bizim tarafımızdan zaten biliniyor. Yine de sayısız şirket kendilerini onlara açık bıraktı.
BT departmanları bu kalıcı sorundan tamamen sorumlu tutulamaz — çoğu aşırı çalışıyor, aşırı gergin ve her yönden gelen hiç bitmeyen bir dizi tehditle öncelik sırasına giriyor. Yine de uygun siber güvenlik hijyeni, BT ekiplerinin bu eski güvenlik açıklarını ciddiye almalarını ve bunları günlük güvenlik süreçlerine dahil etmelerini zorunlu kılar.
Eski Güvenlik Açıkları Neden İhmal Edilir?
Şirketlerin eski güvenlik açıkları konusunda tam olarak nasıl daha dikkatli olabileceğini incelemeden önce, bugün var olan sorunu daha derinlemesine inceleyelim.
Başlangıç olarak, bunun soyut bir endişe olmadığını belirtmekte fayda var. Bu yılın hemen başlarında, çok sayıda tehdit aktörünün ABD hükümetinin bir bölümünü ihlal etmek için Progress Telerik’teki 3 yıllık bir güvenlik açığından yararlandığı ortaya çıktı. Etkilenen kurumlar, “Bu güvenlik açığından yararlanılması, kötü niyetli aktörlerin bir federal sivil yürütme şubesi (FCEB) ajansının Microsoft Internet Information Services (IIS) web sunucusunda başarılı bir şekilde uzaktan kod yürütmesine izin verdi.”
Buradaki sorunun bir kısmı, belirli bir güvenlik açığının yaşam döngüsünden kaynaklanmaktadır. Bir güvenlik açığı ilk tanımlandığında – sıfırıncı gün güvenlik açığı doğduğunda – herkes dikkatini verir. Satıcı bir yama yayınlar ve dağıtır ve etkilenen BT ekiplerinin bir kısmı bunu test eder ve kurar. Elbette, etkilenen her BT ekibi bunu anlamıyor — bunun bir öncelik olmadığını düşünebilir veya süreçlerinin çatlaklarından sıyrılabilir.
Aylar veya yıllar geçer ve sıfır gün güvenlik açığı, yüzlerce eski güvenlik açığından yalnızca biri haline gelir. BT departmanlarındaki yüksek devir hızı, yeni gelenlerin eski güvenlik açığının farkında bile olmayabileceği anlamına gelir. Bunun farkındalarsa, zaten halledildiğini varsayabilirler. Her halükarda, düzenli olarak tanımlanan tüm yeni sıfır gün güvenlik açıkları dahil ancak bunlarla sınırlı olmamak üzere endişelenecek başka şeyleri var.
Ve böylece eski güvenlik açığı, bilgili bir saldırgan tarafından yeniden keşfedilmeyi bekleyerek ağda yaşamaya devam eder.
Eski Güvenlik Açıklarını Düzeltmek için Proaktif Çalışma
Tüm bunlar göz önüne alındığında, işletmelerin eski güvenlik açıkları konusunda daha dikkatli olmaları gerektiğine şüphe yok. Elbette, bir gözünüz geçmişte, diğer gözünüz gelecekte olmak kolay değil, özellikle de BT departmanlarının endişelenecek çok fazla şeyi varken. Ve BT departmanlarının her şeyi düzeltmeyi bekleyemeyeceği de doğrudur. Ancak eski bir güvenlik açığının hazırlıksız bir kuruluşa musallat olmak üzere geri gelme riskini en aza indirebilecek oldukça basit yaklaşımlar vardır.
En basit ve en etkili yaklaşım, optimize edilmiş yama yönetimi süreçlerini devreye sokmayı içerir. Bu, eski güvenlik açıkları da dahil olmak üzere saldırı yüzeyinizin kapsamlı bir görünümünü elde etmek ve BT ekibinizin kaynaklarını tahsis etmenin en iyi yolu hakkında bilinçli kararlar vermek anlamına gelir.
Bu yargılar, Ulusal Güvenlik Açığı Veritabanı (NVB) ve MITRE gibi standart güvenlik açığı havuzları tarafından bilgilendirilmelidir. Ama onların da ötesine geçmeleri gerekiyor. Gerçek şu ki, BT departmanlarının en sık başvurduğu güvenlik açığı havuzları göze batan delikler içeriyor ve bu talihsiz ihmaller, eski güvenlik açıklarının kötü aktörler tarafından sürekli olarak kullanılmasında kesin bir rol oynuyor. Ve bu, birçok standart risk hesaplayıcının riski hafife alma eğiliminde olduğu gerçeğinden bahsetmiyor.
Basit gerçek şu ki, kuruluşlar tarafsız veya uygun olmayan şekilde ağırlıklandırılmış bilgiler üzerinde çalışıyorlarsa karşılaştıkları tehditleri doğru bir şekilde değerlendiremezler – karşı karşıya oldukları kesin riskleri bilmeleri ve bunlara uygun şekilde öncelik verebilmeleri gerekir. riskler.
Günün sonunda, ister beş yıl önce ister beş saat önce tanımlanmış olsun, bir güvenlik açığı bir güvenlik açığıdır. Bir güvenlik açığının yaşı, istismar edilip edilmediği ve ne zaman kullanıldığı önemsizdir – aynı derecede hasara yol açabilir. Ancak BT ekipleri için eski güvenlik açıklarının belirgin bir avantajı var: Biz bunları zaten biliyoruz. Bu bilgiyi kullanmak — bu güvenlik açıklarını belirlemek ve düzeltmek için proaktif olarak çalışmak — günümüzün kuruluşlarını güvende tutmak için çok önemlidir.