Tehdit İstihbaratı Başkan Yardımcısı Ömer Carmi,
İlkokuldayken rutin bir yangın tatbikatımız vardı. Alarm zilleri çalardı ve bizden her şeyi bırakıp olabildiğince çabuk dışarı çıkmamız beklenirdi. Küçük bir çocukken bu korkutucu, hatta üzücüydü ve başlangıçta bunu çok ciddiye almıştık. Tatbikatlar okul yıllarımız boyunca devam etti, ancak liseye geldiğimizde çok daha farklı bir şekilde tepki verdik: Alarm zilleri çalar, omuz silker, eşyalarımızı toplar ve yeni bir mola olduğunu bildiğimiz için dışarı çıkardık. sınıftan. Yangın olmadığını bildiğimiz için alarm zilinin çalmasıyla uyuşmuştuk.
Siber güvenlik topluluğu, bizim okul yangın tatbikatlarıyla uğraştığımız gibi her yama günüyle uğraşırken, bazı güvenlik açıklarının ciddiyetini anlamama ve hangi güvenlik açıklarına öncelik verilmesi gerektiğini görmeme riskiyle karşı karşıya kalıyor.
İstatistikler, tehdit aktörlerinin ifşa edilen güvenlik açıklarının yüzde 94’ünden asla yararlanmadığını gösteriyor. Bu, BT personelinin aşağıdakileri sağlayan CVE’lere değerli zaman harcadığı anlamına gelir:
- Asla istismar edilmeyecektir.
- Kuruluşunuza veya sektörünüze başvurmayın.
- Yaşam döngülerinin başında tamamen yanlış değerlendirilirler.
- Dikkati istismar edilecek güvenlik açıklarının yüzde 6’sından uzaklaştırın.
CISO’lar, güvenlik açığı yönetim programlarının kapsamını genişletmelidir, böylece bir CVE’nin gerçekten acil müdahale gerektiren yüzde 6’dan biri olup olmadığına gerçek zamanlı olarak daha iyi karar verebilirler.
Bir güvenlik açığının potansiyel etkisi ve istismar edilme olasılığı da dahil olmak üzere birden çok kriteri dikkate almak, bir kuruluş için daha dengeli bir aciliyet sırası oluşturabilir.
Örneğin, bu ayın başlarında OpenSSL güvenlik açıkları hakkındaki son abartıyı ele alalım. İlk göstergeler tam bir kıyamete işaret ediyordu – bazıları senaryoyu HeartBleed 2.0’a benzetiyordu. Medya aciliyet hissini anladı ve beklenen ciddiyetle ilgili raporlar dünya çapında rekor bir hızla yayıldı. Tüm alarm zilleri çalıyordu, ama sonra ciddiyet Bahsettiğim yangın tatbikatı zihniyetinin mükemmel bir örneği: “Eleştirel ağlayan çocuk”u dinlemeye devam edersek verimsiz ve değerli kaynaklarımızı tüketiyor. Bu, her güvenlik açığını ekstra dikkatle ele almamamız gerektiği anlamına gelmez, güvenlik açıklarını incelemek için kullandığımız merceği değiştirmemiz gerektiği anlamına gelir.
Önem derecesine dayalı yama döngülerinden nasıl uzaklaşabilir ve yama yapmaya yönelik yangın tatbikatı yaklaşımını nasıl değiştirebiliriz?
Sürekli düzeltme eki, eski bir güvenlik açığını düzeltmeyi bitirdiğinizde yeni bir güvenlik açığının ortaya çıktığı Whack-a-Mole ile aynı duyguyu yaratır. Yama, güncellemeleri izle, yama, tekrar et. Asla bitmez.
Diyelim ki önde gelen bir yazılım şirketi, derhal yama yapılması gerektiğini söyleyerek CVE’yi kritik olarak derecelendiren bir sürüm gönderdi. Endüstri medyası bunu anlayacak ve muhtemelen üzgün olmaktansa güvende olmanın daha iyi olduğunu düşünerek alarm zillerini çalmaya başlayacak.
Medyanın liderliğini takip etmenin sorunu, çoğu yazılım şirketinin yama duyurularını CVE’nin (en iyi karakterize edilen CVSS ile karakterize edilen) potansiyel ciddiyetine dayandırmasıdır, bu CVE’den başarıyla yararlanma olasılığını dikkate almaz. Güvenlik açıklarının yalnızca yüzde 6’sının gerçekten kullanıldığını unutmayın. Yama uygulamanızı önem derecesine dayalı bir yaklaşıma dayandırırsanız, bir yangın tatbikatı ile gerçeği ayırt edemezsiniz.
Yazılım şirketleri, bizi uyardıkları CVE’ler için bağlam sağlama ve önemli risk parametrelerini vurgulama konusunda daha iyi olmalıdır. Artık yalnızca bir önem derecesi puanı sunmak yeterli değil. En azından şunları da bilmeliyiz:
- Bir CVE’nin halihazırda vahşi ortamda istismar edilip edilmediği.
- Siber suç forumlarında bu CVE hakkında ne kadar gevezelik var.
- Bu CVE için açıklardan yararlanma kodları karanlık ağda paylaşılır.
- Önem derecesinin ötesinde, siber güvenlik ekiplerinin yama kararı vermesine yardımcı olabilecek başka risk faktörleri var mı?
- Bu CVE’ye karşı savunmasız olan varlıklarınız ne kadar kritik?
Ve medya kuruluşları, yalnızca ciddiyete değil, riske dayalı parametrelere daha fazla dikkat gösterilmesini teşvik ederek bir yangın tatbikatı zihniyeti oluşturmadaki rollerini incelemelidir.
Güvenlik açığı ifşaları, 2023’te manşetlere ve dikkatlere hakim olmaya devam edecek çünkü siber güvenlik topluluğu ve kamuoyunda yeni güvenlik açıkları konusunda farkındalık yaratmanın tek yolu bu. Bu sürecin birçok getirisi var.
Ancak yangın tatbikatı zihniyeti dediğim şeyden uzaklaşan kültür, siber güvenlik departmanlarının içinden gelmelidir. Herhangi bir bağlam olmaksızın yüksek önem derecesi puanının alarm zillerini çalmaya yetmediğini ve bunun olumsuz sonuçlarını anlayan güçlü CISO’lardan gelmelidir.
reklam