Qualys Tehdit Araştırma Birimi (TRU), dünya çapında güvenlik açıklarını tespit etmek için sıkı bir şekilde çalışıyor ve son raporu sektörü sarsacak.
Bu Help Net Security röportajında, Qualys TRU Başkan Yardımcısı Travis Smith, güvenlik ekiplerine, düşmanların güvenlik açıklarından nasıl yararlandığını ve saldırıları nasıl gerçekleştirdiğini daha iyi anlamalarına yardımcı olmak için veri destekli içgörüler sağlayan 2023 Qualys TruRisk Tehdit Araştırma Raporu’ndan bahsediyor.
2023’te dikkat edilmesi gereken en tehlikeli siber tehditler nelerdir? Bu tehditler önceki yıllara kıyasla nasıl ve onları özellikle tehlikeli yapan nedir?
Her şeyden önce (beklendiği gibi), fidye yazılımı dünya çapındaki kuruluşlar için en büyük tehdit olmaya devam ediyor. Ancak bu eğilimin nasıl evrildiği ve gelişmeye devam ettiği, daha sofistike ve spesifik hale geliyor.
Son birkaç yılda, tehdit aktörleri taktikleri olgunlaşmak için şantaj yazılımlarına kaydırdılar, bu sayede verileri sızdırıyorlar ve şifreliyorlar. Buna ek olarak, hizmet olarak fidye yazılımı grupları, adım adım saldırı oyun kitapları sağlayarak hain niyetlerinden para kazanmak için daha az gelişmiş tehdit aktörlerinin giriş engelini düşürüyor.
En son 3CX Masaüstü Uygulaması yazılım uzlaşmasında görüldüğü gibi tedarik zinciri saldırıları, 2023’te yakından dikkat edilmesi gereken başka bir tehdittir. Bunlar, kuruluşları içinde çalışacak yasal yazılımlara doğal olarak güvendikleri için kuruluşlar için özellikle tehlikelidir. Kuruluşların yalnızca yama uygulayarak ve yanlış yapılandırmaları ele alarak saldırı yüzeyini azaltması değil, aynı zamanda anormal davranışları arayan algılama stratejilerine odaklanması da önemlidir.
Tehdit aktörleri en kritik güvenlik açıklarından yararlanmak için hangi taktikleri kullandı ve kuruluşlar kendilerini korumak için ne yapabilir?
Tehdit aktörlerinin kaldıraç olarak kullanmaya devam ettiği üst düzey taktikler, yıldan yıla nispeten değişmeden kalıyor. Bununla birlikte, sürekli bir değişim halinde olan şey, tehdit aktörlerinin kurbanlarının ortamlarında avantaj sağlamaya çalıştıkları güvenlik açıklarıdır. 2022’de sektörde yayınlanan 25.000’den fazla güvenlik açığı vardı ve yalnızca küçük bir kısmı silah haline getirildi veya tehdit aktörleri tarafından istismar edildiği biliniyor.
Tüm kuruluşların, kendi benzersiz ortamlarında iyileştirmeye öncelik vermelerine izin veren, tehdide dayalı bir savunma stratejisi izlemesi çok önemlidir.
2023 TruRisk Research raporu, en önemli 163 güvenlik açığının derinlemesine bir incelemesini gerçekleştirirken, 2022’den önce yayınlanan ve ilk kez 2022’de silah haline getirilen veya istismar edilen 500 ek güvenlik açığı daha vardı. İsviçre Çakısı araçları, aynı şekilde daha eski yamalanmamış güvenlik açıklarını da hedefler.
Web uygulamalarındaki veri ihlallerinin en önemli nedenleri arasında neden yanlış yapılandırmalar var?
Küresel olarak 370.000 web uygulamasını tarayan ve verileri OWASP İlk 10’a göre ilişkilendiren Qualys Web Uygulama Tarayıcısından 2022’de yapılan anonim algılamalar, %33’ü OWASP Kategori A05: Yanlış Yapılandırma olarak sınıflandırılan 25 milyondan fazla güvenlik açığını ortaya çıkardı. Bu yanlış yapılandırma güvenlik açıkları, kötü niyetli aktörlerin yaklaşık 24.000 web uygulamasında kötü amaçlı yazılım yaymasına neden olur.
Güvenlikle ilgili hatalı yapılandırmalar, yöneticilere bağlı olarak daha geniş bir alan kategorisini kapsadıkları için veri ihlallerinin en önemli nedenlerinden biridir. Yanlış yapılandırmalar, büyük ölçüde web uygulamalarını korumak için kullanılan uygun olmayan kontrolleri gerektirir. Çoğu zaman bu, varsayılan izinlerin veya parolaların değiştirilmemesi gibi en iyi güvenlik uygulamalarına uyulmadığında meydana gelir.
Başka bir hatalı yapılandırma türü, hatalar için ayrıntılı yığın izlemeleri gibi çok fazla bilgi paylaşan uygulamalar olabilir. En iyi güvenlik uygulamalarını takip etmeyen bu web uygulamaları, çeşitli saldırılara karşı savunmasızdır. Örneğin, ileri düzey saldırganlar, web uygulama teknolojilerini belirlemek ve bir siteyi ihlal etmek için daha gelişmiş bir saldırı başlatmak için ayrıntılı bir yığın izlemede açıklanan bilgileri kullanabilir. Dizin listelerini devre dışı bırakmamak gibi basit bir hata bile, kişisel olarak tanımlanabilir bilgiler (PII) yanlış yapılandırmalar nedeniyle yanlışlıkla açığa çıkarsa uzun vadeli sorunları tetikleyebilir.
Tüm kuruluşlar, geliştirme, test etme, hazırlama ve üretim gibi çeşitli platformlardaki süreçleri sıkılaştırmalıdır. Yanlış yapılandırılmış bir sistem, 2022’de fidye yazılımıyla ilgili birçok yapılandırma sorunuyla birlikte çeşitli nedenlerle kötüye kullanılabilir. “CIS Güçlendirme Ölçütlerinin 1. Düzeyini” kullanmak, bu tehdidi ele almak ve güvenlik duruşunu iyileştirmek için etkili bir başlangıç noktasıdır. Fidye yazılımına özgü tekniklerle ilişkili bireysel kontroller, ortamınızda başarısız olduğu tespit edildiğinde dikkatle incelenmelidir. Ek olarak, bulut altyapısı için paylaşılan güvenlik modelini anlamak çok önemlidir. Bulut iş yüklerini korumak için CIS Sertleştirme Karşılaştırmalarından veya diğer en iyi uygulamalardan yararlanmak, kuruluşunuzun genel riskini azaltacaktır.
Kuruluşların silah haline getirilmiş güvenlik açıklarını düzeltmesi için geçen ortalama süre ve yama başarı oranı nedir?
Ortalama olarak, silah haline getirilmiş güvenlik açıkları 30,6 gün (yaklaşık bir ay) içinde yamalanırken, zamanın yalnızca ortalama %57,7’sinde yama yapılıyor. Saldırganlar aynı güvenlik açıklarını ortalama 19,5 günde (yaklaşık 3 hafta) silah haline getirir. Bu, saldırganların kuruluşlar yama uygulamaya başlamadan önce 11,1 günlük (yaklaşık bir buçuk hafta) istismar fırsatları olduğu anlamına gelir.
Muhtemelen iyileştirme faaliyeti, silahlandırma gerçekleştikten sonra hızlanır. Bu nedenle, acil durum tatbikatından kaçınmak için hangi güvenlik açıklarının silah haline getirilebileceğini tahmin etmek ve bunları mümkün olduğunca erken yamalamak önemlidir.
Bir savunucunun ortalama düzeltme süresi (MTTR), kuruluşların acil tehditlere yanıt verme biçiminde küçük bir değişiklik gösterir. Adlandırılmış tehdit aktörleri tarafından kullanıldığı bilinen güvenlik açıkları, bilinen tehdit aktörleriyle ilişkisi olmayanlara göre sekiz gün daha hızlı düzeltildi. Savunucuların bu sorunları çözmesi hızlı olurken, saldırganların bunları silahlandırması hızlıdır.
Chrome veya Windows ile ilgili silah haline getirilmiş güvenlik açıklarını düzeltmenin ortalama süresi nedir ve etkin yama oranı nedir? Windows ve Chrome için yama oranları diğer uygulamalarla karşılaştırıldığında nasıldır?
2023 TruRisk Araştırma Raporunda tartışılan silah haline getirilmiş güvenlik açıklarının çoğu, bu tarayıcının ve işletim sisteminin yüksek yaygınlığı nedeniyle Chrome veya Windows’taydı. Chrome ve Windows, silah haline getirilmiş güvenlik açıkları veri kümesinin üçte birini oluşturuyor ve %75’i, belirli tehdit aktörleri tarafından kullanılıyor. Bunların birincil risk vektörleri olduğunu bilen kuruluşlar, genellikle bunları önce ve en kapsamlı şekilde yamalar.
Bu ürünler için dünya çapında ortalama düzeltme süresi 17,4 gündür (yaklaşık iki buçuk hafta) ve etkili yama oranı %82,9’dur. Bu, Windows ve Chrome’un diğer uygulamalara göre iki kat daha hızlı ve iki kat daha sık yamalandığı anlamına gelir.
Windows ve Chrome’da bulunan güvenlik açıkları ile daha geniş silah haline getirilmiş güvenlik açıkları arasındaki en büyük fark, yama uygulama süreçlerinin olgunluğuydu. Bu, güvenlik açıklarının düzeltilmesini otomatikleştirme yeteneğinin büyük bir fark yarattığının altını çiziyor. Aslında, tüm otomatikleştirilebilir güvenlik açıkları, pano genelinde daha hızlı ve daha sık yamalanır.
IAB güvenlik açıkları için ortalama düzeltme süresi nedir ve Windows ve Chrome için düzeltme süresiyle nasıl karşılaştırılır?
Tehdit aktörü manzarasında büyüyen bir trend, İlk Erişim Aracıları (IAB’ler) adı verilen ve bazen “bağlı kuruluşlar” olarak adlandırılan bir kategoridir. IAB’ler, öncelikle araç setlerine Windows ve Chrome dışında yeni istismarlar ekler. Bu güvenlik açıklarıyla karşılaştıklarında hâlâ çekici bulsalar da, muhtemelen yıl boyunca hedeflenen bu güvenlik açıklarının yamalanmış olması nedeniyle, en çok 2022’de harici olarak karşı karşıya olan sistemler hedef alındı.
IAB’ler tarafından kullanılan CVE’ler için düzeltme zaman çizelgeleri, Windows ve Chrome’dan çok daha kötü. Windows ve Chrome için 17,4 gün olan IAB güvenlik açıklarının ortalama düzeltme süresi 45,5 gündür. Yama oranları da Windows ve Chrome için %82,9’a kıyasla %68,3 oranında daha düşük.
Üzerinde çalışırken rapordaki keşiflerden herhangi biri sizi hazırlıksız yakaladı mı? Yakın gelecekte gelişen tehdit ortamını nasıl görüyorsunuz?
Bana göre bu rapor, düşmanların kurbanlarının ortamlarındaki güvenlik açıklarını ve zayıflıkları anlamayı işleri haline getirmeye devam ettiklerini büyük ölçüde yeniden doğruladı. Rapor, bunun güç ve kontrol dengesini kendi lehlerine değiştirebileceğinin ve siber suçluların kuruluşların farkında olmayabilecekleri güvenlik açıklarından yararlanmalarına olanak tanıyabileceğinin altını çiziyor.
Bu araştırmanın en dikkat çekici kısmı, özellikle fidye yazılımlarını önlemeyle ilgili yanlış yapılandırmaların durumuydu. Geçiş oranının %50 civarında olması şok edici bir keşifti; özellikle de Windows 10 bulut sunucusunun varsayılan geçiş oranının %34 olduğu düşünüldüğünde. Varsayılan geçiş oranındaki %16’lık iyileşme, kuruluşların ortamlarındaki yanlış yapılandırma risklerini ele aldığına işaret ediyor. Bununla birlikte, fidye yazılımının neden olduğu riski azaltan iyileştirme için hala alan vardır.
Günün sonunda, hiç kimsenin geleceğin ne getireceğini tahmin edebilecek bir kristal küresi yok. Bildiğimiz şey, tehdit aktörlerinin kurbanlarının ortamlarına yeni ve benzersiz yollar bularak giderek daha karmaşık hale gelmeye devam edecekleri. Yamasız kalanları hedeflemenin yanı sıra, İsviçre Çakısı istismarlarına yeni güvenlik açıkları eklemeye devam edecekler.