Birçok işletme önceliklendirme için güvenlik açıklarının ciddiyetini değerlendirmek üzere Ortak Güvenlik Açığı Puanlama Sistemi’ne (CVSS) güvenir. Bu puanlar bir güvenlik açığının potansiyel etkisine dair bazı içgörüler sağlasa da, istismar olasılığı gibi gerçek dünya tehdit verilerini hesaba katmaz. Her gün yeni güvenlik açıkları keşfedildiğinden, ekiplerin riski gerçekten azaltmayacak güvenlik açıklarını düzeltmek için harcayacak zamanı veya bütçesi yoktur.
CVSS ile EPSS’nin nasıl karşılaştırıldığını ve EPSS’nin güvenlik açığı önceliklendirme sürecinizde neden oyunun kurallarını değiştirdiğini öğrenmek için okumaya devam edin.
Güvenlik açığı önceliklendirmesi nedir?
Güvenlik açığı önceliklendirmesi, bir kuruluş üzerinde yaratabilecekleri potansiyel etkiye göre güvenlik açıklarını değerlendirme ve sıralama sürecidir. Amaç, güvenlik ekiplerinin hangi güvenlik açıklarının, hangi zaman diliminde ele alınması gerektiğini veya bunların düzeltilmesi gerekip gerekmediğini belirlemesine yardımcı olmaktır. Bu süreç, en kritik risklerin istismar edilmeden önce hafifletilmesini sağlar ve saldırı yüzeyi yönetiminin önemli bir parçasıdır.
İdeal bir dünyada, güvenlik ekipleri her güvenlik açığını keşfedildiği anda giderebilirdi, ancak bu ne mümkün ne de verimlidir. Araştırmalar, çoğu ekibin ayda yalnızca açık güvenlik açıklarının yaklaşık %10-15’ini giderebildiğini göstermiştir, bu nedenle etkili bir şekilde önceliklendirme yapmak çok önemlidir.
Sonuç olarak, zafiyet önceliklendirmesini doğru yapmak, kuruluşların kaynaklarını en iyi şekilde kullanmasını sağlar. Bu neden önemlidir? Çünkü işletmeler, bir fark yaratmadığı sürece bir şeye para harcamayı göze alamaz ve risk yönetimi, paranın gerçekten riski azaltmaya harcandığından emin olmakla ilgilidir.
CVSS’nin güvenlik açığı önceliklendirmesi için sınırlamaları
Tarihsel olarak, kuruluşların güvenlik açıklarını önceliklendirmesinin en yaygın yollarından biri CVSS temel puanlarını kullanmaktır.
CVSS temel puanları, bir güvenlik açığının istismar edilebileceği kolaylık ve teknik araçlar ve başarılı bir istismarın sonucu gibi zaman ve kullanıcı ortamları boyunca sabit olan faktörler tarafından belirlenir. Bu faktörler niceliksel olarak belirlenir ve 0 ile 10 arasında bir nihai puan oluşturmak için birleştirilir – puan ne kadar yüksekse, ciddiyet de o kadar yüksek olur.
CVSS puanları, ciddiyeti değerlendirmenin bir temel ve standartlaştırılmış yolunu sunar ve bazen uyumluluk için gereklidir. Ancak, bunlara güvenmeyi gerçek zamanlı veri kaynaklarıyla birlikte değerlendirmekten daha az verimli hale getiren sınırlamaları vardır.
CVSS puanlarının başlıca sınırlamalarından biri, bir güvenlik açığının vahşi doğada aktif olarak istismar edilip edilmediği gibi mevcut tehdit ortamını dikkate almamalarıdır. Bu, yüksek CVSS puanına sahip bir güvenlik açığının bir kuruluşun karşılaştığı en kritik sorun olmayabileceği anlamına gelir. Örneğin CVE-2023-48795’i ele alalım. Mevcut CVSS puanı 5,9’dur ve bu da ‘orta’dır. Ancak EPSS gibi diğer tehdit istihbarat kaynaklarını göz önünde bulundurursanız, önümüzdeki 30 gün içinde (yazma sırasında) istismar edilme olasılığının yüksek olduğunu göreceksiniz.
Bu durum, yalnızca CVSS puanlarını değil aynı zamanda gerçek zamanlı tehdit istihbaratını da dikkate alan, güvenlik açığı önceliklendirmesine yönelik daha bütünsel bir yaklaşımın benimsenmesinin önemini göstermektedir.
İstismar verileriyle önceliklendirmeyi iyileştirme
Güvenlik açığı önceliklendirmesini iyileştirmek için kuruluşlar CVSS puanlarının ötesine geçmeli ve vahşi ortamda tanımlanan istismar etkinliği gibi diğer faktörleri göz önünde bulundurmalıdır. Bunun için değerli bir kaynak, FIRST tarafından geliştirilen bir model olan EPSS’dir.
EPSS Nedir?
EPSS, bir güvenlik açığının önümüzdeki 30 gün içinde vahşi doğada istismar edilme olasılığının günlük tahminini sağlayan bir modeldir. Model, 0 ile 1 (0 ile 100%) arasında bir puan üretir ve daha yüksek puanlar daha yüksek istismar olasılığını gösterir.
Model, Ulusal Güvenlik Açığı Veritabanı (NVD), CISA KEV ve Exploit-DB gibi çeşitli kaynaklardan geniş bir yelpazede güvenlik açığı bilgisi toplayarak ve istismar etkinliğinin kanıtlarıyla birlikte çalışır. Makine öğrenimini kullanarak, modelini bu veri noktaları arasındaki ince kalıpları belirleyecek şekilde eğitir ve böylece gelecekteki istismar olasılığını tahmin etmesini sağlar.
CVSS ve EPSS Karşılaştırması
Peki EPSS puanları güvenlik açığı önceliklendirmesini iyileştirmeye tam olarak nasıl yardımcı oluyor?
Aşağıdaki diyagram, CVSS puanı 7 veya daha yüksek olan güvenlik açıklarının düzeltme için önceliklendirildiği bir senaryoyu göstermektedir. Mavi daire, 1 Ekim 2023’te kaydedilen tüm bu CVE’leri temsil eder. Kırmızıyla, sonraki 30 günde istismar edilen CVSS puanına sahip tüm CVE’leri görebilirsiniz.
Gördüğünüz gibi, doğada istismar edilen güvenlik açıklarının sayısı, CVSS puanı 7 veya daha yüksek olan güvenlik açıklarının küçük bir kısmını temsil ediyor.
 |
| Orijinal kaynak: FIRST.org |
Bunu, güvenlik açıklarının EPSS eşiğinin %10 olarak ayarlandığı bir senaryoyla karşılaştıralım.
Aşağıdaki iki diyagram arasındaki farklardan biri, önceliklendirilmesi gereken güvenlik açıklarının sayısını gösteren mavi dairelerin boyutudur. Bu, her önceliklendirme stratejisi için gereken çaba miktarı hakkında bir fikir verir. %10 EPSS eşiğiyle, önceliklendirilmesi gereken çok daha az güvenlik açığı olduğu için çaba önemli ölçüde daha düşüktür ve bu da gereken zaman ve kaynakları azaltır. Ayrıca, kuruluşlar önce ele alınmazsa en fazla etkiye sahip olacak güvenlik açıklarına odaklanabildiği için verimlilik de önemli ölçüde daha yüksektir.
 |
| Orijinal kaynak: FIRST.org |
Güvenlik açıklarını önceliklendirirken EPSS’yi göz önünde bulundurarak, kuruluşlar düzeltme çabalarını gerçek tehdit ortamıyla daha iyi uyumlu hale getirebilirler. Örneğin, EPSS nispeten düşük bir CVSS puanına sahip bir güvenlik açığı için yüksek bir istismar olasılığı gösteriyorsa, güvenlik ekipleri daha yüksek CVSS puanına sahip ancak istismar olasılığı daha düşük olabilecek diğerlerine göre bu güvenlik açığını önceliklendirmeyi düşünebilir.
Intruder ile güvenlik açığı önceliklendirmesini basitleştirin
Intruder, işletmelerin saldırı yüzeylerini yönetmelerine ve istismar edilmeden önce güvenlik açıklarını belirlemelerine yardımcı olan bulut tabanlı bir güvenlik platformudur. Sürekli güvenlik izleme, saldırı yüzeyi yönetimi ve akıllı tehdit önceliklendirmesi sunarak Intruder, ekiplerin siber güvenliği basitleştirirken en kritik risklere odaklanmasını sağlar.
 |
| Intruder platformunun ekran görüntüsü |
Intruder, Exploit Prediction Scoring System (EPSS) tarafından desteklenen bir güvenlik açığı önceliklendirme özelliğini yayınlamak üzere. EPSS, makine öğreniminden yararlanarak bir güvenlik açığının önümüzdeki 30 gün içinde istismar edilme olasılığını tahmin eden bir model.
Yakında EPSS puanlarını Intruder platformunun içinden görüntüleyebileceksiniz ve bu da ekibinize daha akıllı önceliklendirme için gerçek dünya bağlamı sağlayacak. Bu puanlar, CVSS puanlarını Intruder’ın güvenlik uzmanları ekibinin girdileriyle birleştirerek sonuçlarınızı akıllıca önceliklendiren mevcut puanlama sisteminin yanında görüntülenecek.
Yeni sürümden önce yerinizi almak için hemen kaydolun. 14 günlük ücretsiz denemenizi başlatın veya sohbet etmek ve daha fazla bilgi edinmek için biraz zaman ayırın.