Bu Help Net Security röportajında, Morphisec’in CTO’su ve Kötü Amaçlı Yazılım Araştırması Başkanı Michael Gorelik, güvenlik açıklarının iş üzerindeki etkisine ilişkin bilgiler sunuyor.
Görelik, düzenleyici çerçevelerin, eksik varlık envanterlerinin ve manuel yöntemlerin ortaya çıkardığı zorlukları tartışırken, aynı zamanda otomatik sistemlerin rolünü, gelişen siber tehditler karşısında güvenlik açığı önceliklendirmesinin geleceğini ve kuruluşların etkili iyileştirme stratejileri oluştururken dikkate alması gereken temel faktörleri araştırıyor.
Güvenlik açıklarının iş üzerindeki etkisini anlamak, bunların önceliklendirilmesine nasıl yardımcı olur? Bunun gerçek dünya senaryosunda nasıl etkili bir şekilde çalıştığına dair bir örnek verebilir misiniz?
Güvenlik açıklarının iyileştirilmesi göz korkutucu bir iştir. Aralık 2023 itibarıyla 4.540’ın üzerinde kritik güvenlik açığı yayınlanmıştır (CVSS sıralaması 9+), ancak bu güvenlik açıklarının %2’sinden azı istismar edilmektedir. Aynı zaman diliminde, CISA KEV veritabanında 120’den biraz fazla CVE listelendi; CISA Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğu, vahşi ortamda istismar edilen güvenlik açıklarının yetkili bir kaynağını tutar.
CVSS puanlamasını kullanarak düzeltme eki uygulama çalışmalarını yürüten kuruluşların, güvenlik düzeltme eklerini dağıtmak için 4-6 hafta (veya daha fazla) teslim süresiyle sonuçlanan testler, uyumluluk kontrolleri ve risk değerlendirmeleri gerektirdiğinden, muhtemelen yeni güvenlik açıklarının hızına ayak uydurmaları mümkün olamayacaktır. bir güvenlik açığını düzeltin. Bu uzun süreç, kuruluşlar için önemli bir risk olan uyumluluk sorunlarına yol açabilecek yazılım güncellemelerinin yüklenme potansiyeli nedeniyle iş kesintilerinin önlenmesi ihtiyacından kaynaklanmaktadır. Bu nedenle, önceliklendirme kuruluşun iş bağlamına göre, maruz kaldıkları en önemli güvenlik açıklarına göre yapılmalıdır; bu, sürdürülebilir bir iyileştirme sürecine yol açar.
Kuruluşlar, kendi benzersiz ortamlarında hangi güvenlik açıklarının istismar edilme potansiyeline sahip olduğunu ve hangi güvenlik açıklarının potansiyel olarak en yüksek iş riskini oluşturduğunu anlamalıdır. Örneğin, internete yönelik aktif bir iş uygulamasında bulunan, istismar edilebilirliği kanıtlanmış veya istismar edilme olasılığı yüksek olan bir güvenlik açığı, iyi korunan bir ortamda kullanılmayan bir uygulamada bulunan bir güvenlik açığından muhtemelen daha yüksek bir önceliğe sahiptir.
GDPR gibi düzenleyici çerçevelere bağlı kalmak, güvenlik açığı önceliklendirmesine ne şekilde yardımcı olur ve bu, bir kuruluşun güvenilirliğinin korunmasıyla nasıl uyumludur?
Güvenlik açıklarının yönetimi, NIST CSF, PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), NERC CIP (Kuzey Amerika Elektrik Güvenilirlik Şirketi Kritik Altyapı Koruması), CIS (İnternet Güvenliği Merkezi) gibi birçok uyumluluk ve düzenleyici çerçevede önemli bir bileşendir. kritik güvenlik kontrolleri, GDPR (Genel Veri Koruma Yönetmeliği) ve diğerleri.
Düzenleyici çerçeveler, veri koruma ve mahremiyete yönelik bileşenler içerir ve bunlar, kuruluşların kişisel verileri korumak için güvenlik önlemleri uygulamasını zorunlu kılarak dolaylı olarak güvenlik açığı yönetimini ele alır. Kişisel verilerin kaybı, güvenilirlik kaybına ve ABD SEC (Menkul Kıymetler ve Borsa Komisyonu) gibi düzenleyiciler tarafından düzenleyici ihlal cezaları uygulanmasına yol açabilir. İş bağlamına göre önceliklendirilen ve yönlendirilen bir güvenlik açığı yönetimi uygulaması, PII’yi işleyen varlıkları kritik olarak tanımlayabilir. Bu, kuruluşun siber saldırılara maruz kalmasını ve korunan verilerin sızmasını önemli ölçüde azaltabilir.
Güvenlik açığı önceliklendirmesine yönelik otomatik sistemler hakkında ne düşünüyorsunuz? Manuel yöntemlerin zorluklarını nasıl çözüyorlar?
Sistemler sürekli çalışmalı ve gerçek kullanıma dayalı olarak güvenlik açığı önceliklendirme çabalarını desteklemek için canlı veriler toplamalıdır. Öte yandan, geleneksel güvenlik açığı sistemleri genellikle bilgileri periyodik olarak (isteğe bağlı, haftalık ve hatta aylık) toplar. Ancak mevcut maruz kalma bağlamının eksikliği kaynak ve güvenlik açıklarına yol açabilir. Bu, önemli bir insan kaynağı yüküne neden olur ve bilgiler, kuruluşun maruz kaldığı risklerin güncel bir haritasını sunmadığından güvenlik boşlukları yaratır.
Otomatik ve sürekli önceliklendirme, dinamik olarak değişen saldırı yüzeyine uyum sağlar. Bunun sonucunda ekipler, manuel veri toplama ve analizine daha az güvenerek daha fazla doğruluk elde eder. Otomatik sistemler, daha fazla (ve daha yüksek öncelikli) veriyi sindirmek ve mevcut kaynaklardan daha iyi yararlanmak için daha fazla kapasiteye olanak tanır.
Buna paralel olarak kuruluşlar, yamalar dağıtılana kadar saldırı yüzeylerini azaltmak için yamasız koruma dağıtmayı düşünmelidir. Yamasız koruma, henüz yama uygulanmamış bilinen güvenlik açıklarını korurken, bilinmeyen güvenlik açıklarının hasara neden olmasını da önler.
Eksik varlık envanterleri ve veriler, güvenlik açığı önceliklendirme sürecini nasıl etkiler ve bu zorlukların üstesinden gelmek için hangi stratejiler kullanılabilir?
Gölge BT varlıklarındaki veya kuruluşun kolayca erişemediği varlıklardaki güvenlik açıkları giderilemez. Tüm varlıklar tam olarak eşlenemez ve tüm varlıklar (örneğin, kritik görev süreçlerini çalıştıranlar) güncellenemez. Bu gerçeklikte kuruluşların, haritaya kaynak tahsis edebilmek ve tüm kuruluş için daha geniş bir envanter oluşturabilmek için hangi uygulamaların ve varlıkların en yüksek riski oluşturduğunu tanımlayan net bir haritaya ihtiyacı vardır. Buna paralel olarak kuruluşlar, yama yapılamayan uygulamaları çalıştıran sistemleri korumak için Otomatik Hareketli Hedef Savunması gibi telafi edici kontroller uygulamayı düşünmelidir.
Kuruluşlar, güvenlik açığı önceliklendirmesine yönelik formüllerini oluştururken hangi temel faktörleri dikkate almalıdır? Bu faktörler, iyileştirme çabalarının aciliyetine karar vermede nasıl bir etkileşim içindedir?
Hiçbir kuruluş birbirinin aynısı değildir ve her biri farklı stratejilere dayalı olarak önceliklendirmeyi yönlendirmek isteyebilir. Bunun için, güvenlik açığı yönetim sistemleri, bilgi işlem varlıklarının iş bağlamına göre gruplandırılması, tüm ana bilgisayarların (bilgi işlem cihazları) açığa çıkmasının hesaba katılması, uygulamalardaki güvenlik açıklarının toplanması ve güvenlik açıkları için sömürülebilirlik ve sömürülebilirlik potansiyelinin sunulması da dahil olmak üzere çabaları yönlendirmek için birden fazla seçenek sunmalıdır. .
Bu nedenle kuruluşlar, örneğin iş açısından kritik uygulamalara odaklanmak ve iyileştirme süreçlerini bu stratejiye göre yönlendirmek gibi temel önceliklendirme noktalarına karar vermelidir. Modern güvenlik açığı iyileştirme teknolojileri, kuruluşun tercih ettiği stratejiye kolayca uyum sağlamalıdır.
Özellikle siber tehditlerin ve teknolojik gelişmelerin evrimi göz önüne alındığında, güvenlik açığı önceliklendirmesinin geleceğini nerede görüyorsunuz?
CVSS puanlamasının yönlendirdiği standart güvenlik açığı yönetimi uygulamaları, risk tabanlı güvenlik açığı önceliklendirmesine dönüşmüştür. Bir sonraki adım, bir kuruluş için riski temsil eden anahtar kategoriler olan giderek artan sayıda unsuru kapsayan çok daha geniş bir terim olan risk yönetimine yönelik bir paradigma değişikliği olacaktır.
Örneğin, uygulamalardaki güvenlik açıklarına ek olarak şirketler, bir kuruluşa özgü yanlış yapılandırmaların, ayrıcalıkların ve varlıkların tanımlanmasını ve risk tabanlı değerlendirmesini derinleştirecek. Bu unsurlar, güvenlik profesyonellerinin sınırlı kaynaklarını riskte en fazla azalmayı sağlayacak alanlara daha iyi odaklamalarını sağlayacak genel risk puanının temelini oluşturacaktır.