Log4j güvenlik açığı ifşasının birinci yıl dönümünü geçerken, bir güvenlik açığı ciddi olduğunda en üst düzeyde dikkatimizi hak ettiğini tam zamanında hatırlatıyoruz. Güvenlik açığı açıklamasını daha ciddiye alan kuruluşların, özellikle yama uygulamalarının temel siber hijyen ve hesap verebilirlik için çok önemli olması nedeniyle, sektör için net bir pozitiftir.
Ancak bir güvenlik açığı abartıldığında veya gereğinden fazla tanıtıldığında, güvenlik topluluğunu yanlış yönlendirebilir ve dikkati diğer daha ciddi olaylardan uzaklaştırabilir veya uyarı yorgunluğu gibi başka ciddi sorunlara neden olabilir.
Kamuya açık güvenlik açığının ifşası araştırmacılar, satıcılar ve daha geniş güvenlik topluluğu için daha yaygın hale geldikçe, “ne zaman panik yapılmalı veya panik yapılmamalı?” önemli. İşte güvenlik açığı yönetimine yaklaşmak için bazı önemli dersler.
1. Gürültü ve Gerekliliği Ayırt Edin
Güvenlik uzmanları ve benzer şekilde medya için, bir şeyin ne zaman kritik olduğunu ve bir sorunun ne zaman abartılabileceğini belirlemek zorunludur. Araştırmaya göre Log4j güvenlik açığı Log4Shell, kuruluşların %72’sini potansiyel olarak etkileyebilir ve ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi tarafından “endemik bir güvenlik açığı” olarak tanımlandı.
Aylar sonra, Text4Shell güvenlik açığı açıklandı. Medya ve araştırmacılar bunun “bir sonraki Log4Shell” olup olmadığını merak ettiler. Ancak güvenlik açığının çok daha düşük bir etkiye sahip olduğu ve çok daha az şiddetli olduğu kanıtlandı.
Bu, bir şeyin iyi yayınlanmasını sağlamak ile gerçek etkisi arasındaki gri alana bir örnektir. Bu ayrımı yapabilmek, güvenlik personelinin tükenmişliği ile ilişkilendirilen ve ilk öncelik sıralaması da dahil olmak üzere bu uyarılara yanıt vermek için harcanan doğrudan harcamalar nedeniyle bir şirket için maliyetli olan uyarı yorgunluğunun önlenmesine yardımcı olabilir.
Başka bir durumda, bir güvenlik açığının başlangıçta daha ciddi olduğu düşünülürse, aşırıya kaçabilir. Örneğin, OpenSSL’de Aralık ayında açıklanan bir güvenlik açığı, Aktarım Katmanı Güvenliğini (TLS) etkinleştirmek için birçok üründe OpenSSL’nin her yerde bulunması nedeniyle büyük ilgi topladı.
Bu, 2014’teki yazılımdaki son önemli güvenlik açığı nedeniyle abartılmış olabilir: Heartbleed. Bu geçmiş göz önüne alındığında, yeni güvenlik açığının önem derecesinin kritik olduğu açıklandığında, insanlar anlaşılır bir şekilde endişelendiler.
Ancak en son OpenSSL güvenlik açığıyla ilgili abartı, bir nevi olay dışı çıktı. Piyasaya sürüldüğü sırada, iki CVE’nin (yaygın güvenlik açıkları ve riskler) derecesi kritikten yükseğe düşürüldü. Bu yutturmaca, aslında daha karmaşık bir ConnectWise güvenlik açığının gizlenmesine yol açtığı için dikkati dağıttı. ConnectWise güvenlik açığı, daha zararlı olma ve yaklaşık 5.000 sunucuyu etkileme potansiyeline sahipti.
2. İletişim Kurun ve Riski Azaltın
Riskin iletilmesi her zaman işbirlikçi bir çaba olmalıdır çünkü bu pek çok kanalda gerçekleşir. Kuruluşlar kendi web sitelerinde ve forumlarında gönderi yayınlar, hükümet bültenler yayınlar ve InfoSec topluluğu özellikle sosyal medyada aktiftir – araştırmacılar bazen güvenlik açığı veya hafifletmelerle ilgili ayrıntıları kendileri yayınlamadan önce satıcıları “keşfeder”.
Genellikle, derinlemesine teknik güvenlik araştırmacıları ile BT uzmanları ve daha geniş iş dünyası arasında bir eğitim farkı vardır. Bu kopukluk, kuruluşların bir güvenlik açığı kamuya açıklandığında atılması gereken doğru adımları bilememesine neden olur.
3. Verileri Takip Edin
Ortak Güvenlik Açığı Puanlama Sistemi, siber güvenlik açıklarının ciddiyetinin niteliksel bir ölçüsünü sağlar ve derecelendirmeler 0 ile 10 arasında değişebilir. Eldeki güvenlik açığını topluluktaki “gürültü” oranıyla karşılaştırmamıza yardımcı olabilecek bir kaynaktır. Verilere ve somut sayılara güvenmek, gerçekten önemli olan şeylere dikkat etmemize yardımcı olabilir.
Kuruluşların güvenlik açıklarına öncelik vermesine yardımcı olacak başka risk puanlama modelleri de vardır. Coalition, siber sigorta yükleniminin özel ihtiyaçlarını karşılamak için kuruluşların güvenlik açığı azaltmayı önceliklendirmesine yardımcı olmak için Koalisyon İstismar Puanlama Sistemini (CESS) sunar. CESS, birden fazla özelliğe (açıklama, sosyal bahsetmeler, olay verileri, bal küpü kullanımı ve önceki güvenlik açıklarına benzerlik) dayalı olarak güvenlik açıklarına önem dereceleri atayan ve potansiyel veya ne kadar olası olduğunu ölçen bir dizi makine öğrenimi modeli tarafından desteklenmektedir. saldırganların aslında CVE’den yararlanacağını. Bu şekilde kuruluşlar, tehdit seviyelerine göre yanıtları ve kaynakları önceliklendirebilir.
CESS puanını istismarın ciddiyeti ve olasılığına ilişkin bir yüzdelik dilim olarak düşünün. Bir açıktan yararlanmayı “kritik” olarak kabul etme eşiğimiz %0,7 veya %70’tir. Örneğin, CESS, yeni OpenSSL güvenlik açığını yüzdelik ölçeğimizde 0,66 olarak derecelendirdi ve 1,0 %100’dü. Sigortalıları bilgilendirmek için önemlilik eşiğimiz %0,7 veya %70’tir. Bu 0,4 onda birlik küçük fark, var olan binlerce güvenlik açığını anlamada gerçekten yardımcı oluyor ve her gün duyurulan yüzlercesinin gürültüsünü kesmeye yardımcı oluyor. Coalition, iki yönlü bir veri yaklaşımına dayalı olarak poliçe sahiplerinin hangi güvenlik açıklarını ele alması gerektiğine öncelik vermek için CESS’i kullanır: hangi güvenlik açıkları en ciddi ve hangilerinden yararlanma olasılığı en yüksektir. Diğer güvenlik kuruluşları da muhtemelen benzer veri odaklı risk puanlama sistemlerini uygulayacaktır.
Satıcılar Nasıl Uyum Sağlar?
Satıcıların, ister güvenlik açığı önem puanlarını iletsin, ister açık hafifletme önerileri ve güncellemeleri ile dengeli bir bakış açısı sunsun, müşterilerin güvenilir bir kaynağa sahip olmasını sağlamada oynayacağı bir rol vardır. Güvenlik açığı yönetimi iki yönlüdür ve sorunları çözme sorumluluğu, bunları düzgün bir şekilde iletmek için satıcı tarafında olduğu kadar, bunları verimli bir şekilde yamalamak için kuruluş tarafındadır.
Olay müdahalesi ve güvenlik açığı yönetimi söz konusu olduğunda tüm kuruluşların sorumluluğu vardır. Bir güvenlik açığının nasıl çalıştığına ilişkin teknik ayrıntılar ve güvenlik açıklarının genellikle hedef aldığı teknolojiler etrafındaki potansiyel maruz kalma konusunda eğitim vermek için zaman harcamak, sorunu başlamadan önce görme konusunda uzun bir yol kat edebilir.
Her şey “bir sonraki Heartbleed” veya “bir sonraki Log4shell” değildir, ancak doğru kaynaklara sahip olmak, en yeni parlak nesne tarafından dikkatimiz dağılmadan yeni güvenlik zorluklarına hazır olmamızı sağlayabilir.