Güvenlik Açığı Önceliklendirme Sanatı

   Aralık 9, 2024  Posted in DarkReading


YORUM

Siber güvenlik savunucularının çalışmaları gelişmeye devam ediyor. Bir kuruluşun BT ortamındaki çok sayıda yazılım ve uygulama, saldırı yüzeyini ve dolayısıyla güvenlik açıklarının sayısını artırdı. göre Verizon “2024 Veri İhlali Araştırmaları Raporu” “İhlallerin %14’ü, ilk erişim adımı olarak güvenlik açıklarından yararlanmayı içeriyordu; bu, geçen yılın raporuna göre neredeyse üç kat fazla.”

Güvenlik açığından yararlanmanın artmasıyla birlikte, net bir planınız yoksa önceliklendirme zor ve zaman alıcı olabilir. Büyük ölçekli olayların sonuçları Log4j ve TAŞIYIN çiğnemesiber güvenlik dünyası üzerinde kalıcı etkiler yarattı. Ancak siber güvenlik savunucuları bu deneyimlerden öğrenebilirler.

Güvenlik Açığı Değerlendirmesinde Temel Hususlar

Güvenlik açığı değerlendirmesinin ilk adımı okuduğunu anlamanın temellerini yansıtır: kim, ne, ne zaman, nerede ve nedenini anlamak:

DSÖ: Güvenlik açıklarını kim tartışıyor? Meslektaşlarınıza, sektör uzmanlarına ve hükümet tavsiyelerine dikkat edin. Sosyal medya ve çevrimiçi forumlardaki güvenlik açığı söylemlerinin korku tacirliği ve abartı içerebileceğini bilin.

Ne: Bir güvenlik açığını belirledikten sonra, onun kullanılabilirliğini analiz edin. Bir ağ üzerinden yararlanılabilir olup olmadığını, yerel erişim gerektirip gerektirmediğini ya da yararlanma kodunun herkese açık olup olmadığını belirleyin.

Ne zaman: Zamanlama çok önemlidir. Güvenlik açığının ne zaman açığa çıktığını ve vahşi ortamda istismar edilip edilmediğini öğrenin.

Nerede: Kötüye kullanımın etkisini etkileyebilecek güvenlik açığının ortamınızda nerede bulunduğunu öğrenin. Düzeltme çalışmalarınızı yönlendirebileceğinden, yazılım malzeme listesinde (SBOM) veya satıcı tavsiyesinde görünüp görünmediğini kontrol edin.

Bir yama mevcutsa, bunun kesintiye neden olup olmayacağını ve bir hizmet düzeyi sözleşmesine bağlı olup olmadığınızı belirleyin. Yama yapmamayı tercih ederseniz veya bir yama mevcut değilse, riski en aza indirmek için azaltma kılavuzunu araştırın.

Neden: Güvenlik açığının, düşman davranışındaki son eğilimlerle nasıl örtüştüğünü anlayın. Ayrıca, Ortak Güvenlik Açığı puanları Ve Tahmin puanlarından yararlanma Önceliklendirme konusunda bilgi verebilir ancak güvenlik açıklarını değerlendirirken tek faktör olarak bunlara güvenilmemelidir.

Büyük Ölçekli Olaylardan Öğrenmek

TAŞIYIN

Güvenlik açıklarıyla mücadele etmenin harika bir yolu geçmişten ders almaktır. Örneğin, ne zaman MOVEit Aktarımı güvenlik açığı 2023’te ortaya çıkan bu saldırıların kitlesel sömürü potansiyeline işaret eden ilk işaretleri vardı. İhlalin arkasındaki siber suçlu grubunun, daha fazla kurbana ulaşmak için şifreleme olmadan veri sızmasına dayanan sprey ve dua saldırıları için dosya aktarım yazılımındaki güvenlik açıklarını hedef aldığı biliniyordu. Siber güvenlik firmasına göre sonuçta 2.700’den fazla kuruluş ve 95,8 milyon kişi bu ihlalden etkilendi EmsisoftSiber güvenlik dünyasına üç şeyi öğretiyoruz:

  1. Düşman davranışı istismar olasılığını etkileyebilir. Bir dosya aktarım cihazındaki kritik bir güvenlik açığı, siber suçluların kullandığı stratejiler nedeniyle 2023’te ek bir aciliyet yarattı.

  2. Düşük saldırı karmaşıklığına sahip sıfır gün güvenlik açıkları daha yüksek önceliğe sahiptir. Saldırılar, MOVEit güvenlik açığının kamuya açıklanmasından günler önce başladı ve bir saldırı vektörü, doğrudan MOVEit uygulamasından veri sızdırılmasına izin verdi. Burada bir uyarı, tüm sıfır gün güvenlik açıklarının yüksek öncelikli olmadığıdır; Saldırı karmaşıklığı gibi dikkate alınması gereken başka faktörler de vardır.

  3. Tedarik zinciri üzerinde kademeli etkileri olan güvenlik açıkları kritik önceliklerdir. Bazı kuruluşlar, tedarikçilerinin yüklenicilerinin alt yüklenicilerinin MOVEit Transfer’i kullanması nedeniyle bu ihlalden etkilendi.

Log4j

2021 Log4j olayı, ortamınızdaki savunmasız yazılım bileşenlerini belirlemedeki zorlukları vurguluyor. Bu güvenlik açığı çeşitli nedenlerden dolayı yüksek önceliğe sahipti:

  1. Uzaktan istismar edilebilirdi.

  2. Bir düzeltme mevcut olmadan önce kamuya açıklandı.

  3. Yararlanma kodu çevrimiçi olarak dağıtıldı.

  4. Log4j kütüphanesi Java geliştiricileri arasında popüler olduğundan, binlerce yazılım paketine yerleştirilmiş ve dünya çapında milyonlarca sisteme entegre edilmiştir.

Bu açık kaynak bileşenleri her zaman kolayca listelenmediğinden, birçok kuruluş Log4j’nin kendi ortamlarında nerede bulunduğunu belirlemekte zorlandı. Doğru varlık envanterleri ve temel olarak yazılım bileşenlerinin içerik listesi olan SBOM’un yaygın şekilde benimsenmesi, kuruluşların gelecekteki güvenlik açıklarını belirleme ve bunlara yanıt verme biçimini iyileştirmede uzun bir yol kat edebilir.

Güvenlik Açıklarıyla Skoru Bilmek

Siber güvenlik savunucuları, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) gibi bir dizi güvenlik açığı veri tabanına ve puanlama çerçevesine sahiptir. Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğu ve Ulusal Güvenlik Açığı Veritabanı (NVD). Kuruluşlar güvenlik açığı yönetimi programlarını olgunlaştırıp geliştirdikçe, sürekli izleme, otomasyon ve güvenlik açığı yönetimi araçlarının yapılandırma yönetimi veritabanlarıyla (CMDB’ler) entegrasyonu gibi ek adımları uygulamaya başlayabilirler.

Gelecekte yazılım tedarikçilerinin yeni bir yaklaşım benimsediğini görebiliriz. tasarım gereği güvenli Müşteri güvenliği sonuçlarının daha fazla sahiplenilmesini sağlayan felsefe. Bu, gelecekteki düzenlemelerden, güvenlik yöneticilerinin artan sorumluluklarından ve müşteri güveninin kaybından etkilenebilir. Ayrıca, döngüdeki insan yaklaşımını korurken, güvenlik açığı önceliklendirme sürecini hızlandırmaya ve yönlendirmeye yardımcı olacak makine öğrenimi ve yapay zeka gibi yeni ortaya çıkan teknolojilerin yeni kullanım örneklerini de görebiliriz. Bu arada, etkili bir önceliklendirme stratejisine olan ihtiyacı vurgulayarak artan sayıda ortaya çıkan güvenlik açıklarını öngörebiliriz.





Source link