Nisan ayında, siber güvenlik topluluğu, ortak güvenlik açıkları ve maruziyetler (CVE) programı varoluşsal bir krize daldığından nefesini tuttu. Sonunda, on birinci saatlik bir reprieve günü kurtardı.
CVES, ağ güvenliği sorunlarının tam kapsamını kapsamakla birlikte, bir güvenlik programının bir parçası olarak izlemek için hala kritik bir bileşendir. Son 25 yılda, CVE programı, savunucularının bileşenlerini güvenli ve güvenli tutmasına yardımcı olan eleştirel, paylaşılan ve küresel bir kaynağa dönüştü ve bu çalışmanın devam etmesi önemlidir.
Ama bu kutlama zamanı değil. Bildiğimiz gibi güvenlik açığı yönetimi modeli, sömürülen CVES toplam işletme maruziyetlerinin sadece bir kısmını temsil ettiği için temelde bozulduğunu bildiğimiz gibi. Geleneksel pozlama yönetimi araçlarının çoğu, tüm resmi görmüyor, çünkü sadece küçük bir güvenlik açıkları alt kümesine görünürlüğe sahip oldukları için, tüm kurumsal varlıkları veya her ikisini de göremiyorlar. Ağ savunucularının yeni bir yaklaşıma ve hızlı bir şekilde ihtiyacı var.
Maruz kalma yönetimi neden bu kadar zor?
Faktörlerin birleşmesi sayesinde işleri zorlaşıyor. Bunun büyük bir kısmı kurumsal saldırı yüzeyinin büyüklüğüne ve karmaşıklığına gelir. Kuruluşa bağlı olarak, şirket içi sunuculardan ve masaüstlerinden uzaktan çalışan dizüstü bilgisayarlara ve akıllı telefonlara, genel bulut kapsayıcılarına, kenar cihazlarına ve operasyonel teknolojiye (OT) kadar her şeyi dahil edebilir.
Bu tek başına büyük bir görünürlük zorluğunu temsil eder, çünkü varlıklar yaygın olarak dağıtıldığı için değil, aynı zamanda-bulut yerli ortamlarda-dinamik ve geçici oldukları için.
Bu arada, tehdit aktörleri daha fazla kararlılıkla profesyonelleşiyorlar.
CVES ile ilgili sorun
Etkili maruz kalma yönetimi, kuruluşların önümüzdeki yıllarda ilerlemesini sağlamak için çok önemli olacaktır. Ancak, çoğunun kullandığı araçlar ve yöntemler temelde kusurludur, çünkü orada güvenlik açıklarının/maruziyetlerinin tamamını temsil etmezler. Tehdit aktörleri tarafından sömürülecek yanlış yapılandırmalar, segmentasyon sorunları, iç maruz kalan varlıklar ve diğer konular vardır.
Geçtiğimiz yıl Verizon tarafından değerlendirilen veri ihlallerinin sadece üçte biri bilinen sömürülen güvenlik açıklarına bağlanmıştır. Ve CVES tüm maruziyet dünyasını temsil etse bile, NIST tarafından belirtilen rakamlara göre, vahşi doğada sadece küçük bir yüzde yararlanılıyor.
Saldırganlar için daha fazla fırsat, geleneksel araçların tipik bir kurumsal saldırı yüzeyine yayılmış tüm varlıkları kapsamaması gerçeğinden kaynaklanmaktadır. Bilinmeyen ve yönetilemez, sadece Gölge BT’yi değil, operasyonel teknoloji (OT), IoT cihazları ve ajan tabanlı ve kimliğe bağlı çözümlerin mümkün olmadığı sayısız diğer ortamları içerir.
Tehdit aktörleri için bir başka nimet (ve ağ savunucuları için engel), CVE puanlama sistemlerinin sıklıkla tahmini karmaşıklığı ve bunların düzeltilebilir sorunları sıralamak ve öncelik vermek için etkili bir şekilde kullanan uzmanlara olan nihai güvenleridir.
Ortak güvenlik açığı puanlama sistemi (CVSS), istismar tahmin puanlama sistemi (EPSS) ve paydaşlara özgü güvenlik açığı kategorizasyonu (SSVC) çerçevesi, önceliklendirme hakkında söylenecek bir şey yoktur, ancak hiçbiri tüm hikayeyi anlatmaz ve zaten gerilmiş ekipler için olası uyarı aşırı yüküne yol açmaz.
Tüm saldırı yüzeyinin güvenliği
Saldırı yüzeyi riskine maruz kalmaya karşı ön ayağa geri dönmek için güvenlik ve BT ekiplerinin ajan tabanlı yaklaşımların ötesine ve CVES’in ötesine bakmaları gerekir. Aktif tarama, pasif keşif ve API entegrasyonlarını birleştirerek, gölge BT cihazları ve OT ve IoT uç noktaları gibi potansiyel olarak yönetilmeyen varlıklar da dahil olmak üzere iç ve dış saldırı yüzeylerine kapsamlı bir görünürlük kazanmak mümkündür.
Daha sonra, parmak izi teknolojisi aracılığıyla mümkün olduğunca çok fazla bağlam açısından zengin verileri çıkarmak, her bir varlığı profillemek, hangi hizmetleri kullandığını, varlık sahibi olan, ister eşleştirilmemiş veya yanlış yapılandırılmamış olsun, neye bağlı olduğu vb. Buradaki dalış ne kadar derin olursa, profil o kadar doğru olur. Hassas sistem düzeyinde tanımlama gerçekleştirme gibi bilgi toplama tekniklerini, yönetilmeyen cihazlara özgü varsayılan şifreleri kapsayan varsayılan adımlar ile özel olarak uyarlanmış sorgulamalarla birleştirmek, savunucuların ağlarının “karanlık maddesinin” tam, işlem yapılabilir profillerini hızlı ve doğru bir şekilde oluşturmasını sağlar. Bu, sonuçta eksik güvenlik kontrolleri, yaşam sonu yazılımı ve diğer ağlara ve cihazlara köprülenmiş yüksek riskli varlıklar gibi bir gizem olarak kalabilecek maruziyetler hakkında derin bir fikir verecektir.
Her şeyden önce, odak basitlik ve veriye dayalı içgörü üzerinde olmalıdır. Bu, bu en son yetenekleri, maruziyetler konusunda öncelikli uyarılar sunmak için riske dayalı içgörü kullanabilen tek bir platformda birleştirmesi anlamına gelir.