Kuruluşları riske atan tüm zayıflıkları düzeltmek mümkün değildir.
Yeni bilgisayar korsanlığı yöntemleri, karmaşık çoklu bulut ortamları ve farklı ekipler, bir sonraki siber ihlal için bir fırsat yaratabilir.
Ayrıca, saldırı yüzeyleri dakikalar içinde değişir ve bu da kritik zayıflıkları gerçek zamanlı olarak düzeltmeyi zorlaştırır.
BT ekipleri, sürekli değişen bir sistemdeki güvenlik açıklarını nasıl yönetebilir ve bir kuruluşu riske atabilecek kusurları nasıl düzeltebilir?
Anahtar, belirli bir kuruluş bağlamında anlamlı olan risklere öncelik vermektir.
Ne tür güvenlik açığı önceliklendirme teknolojisi mevcuttur ve düzeltilmesi gereken zayıflıklara öncelik vermek için nasıl çalışır?
CVSS adlı en yaygın kullanılan sıralama sistemine bakıyoruz ve bunu alandaki yeni gelişmeyle karşılaştırıyoruz – Saldırı Tabanlı Güvenlik Açığı Yönetimi veya ABVM.
CVSS Çoğu Ekip Tarafından Kullanılır
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), ekiplerin yama programları oluşturmasına yardımcı olmak için bir kuruluşun zayıf yönlerini değerlendiren ve sıralayan sistemdir. Çoğu risk yönetimi yazılımı bu sıralamaya dayanacak şekilde tasarlanmıştır.
Analitikler oldukça basittir. Anlamayı kolaylaştıran şey, güvenlik açıklarını 0-10 arasında, en düşük riskleri sunanlardan en ciddi ve zararlı kusurlara kadar sıralamasıdır.
Rütbe ne kadar yüksek olursa, sistem içinde olaylara dönüşmeleri o kadar olasıdır. Ekipler kritik kusurlara karar verirken, yedi veya daha yüksek derecedeki kusurlara odaklanır.
CVSS, düzeltilmesi gereken olası kusurların kapsamlı ve ayrıntılı bir analizini sunarken, mutlaka doğru değildir.
Her kuruluşun, işletmek için kullandıkları benzersiz bir sistem kümesinin yanı sıra şirketin varlıklarını yöneten ve kullanan farklı kişiler vardır. CVSS, bu tür bağlamlardaki kusurları analiz etmez.
Bir şirketin savunmasızlığı, farklı kritik varlıklara sahip oldukları için mutlaka diğerinin yüksek riskli bir kusuru olacağı anlamına gelmez.
Ayrıca ekipler, düzeltme eklerini önceden planlamak için CVSS’ye güveniyor. Bu nedenle, tarihin ayarlanması ile sistemdeki olası kusurların düzeltilmesi arasında haftalar geçebilir.
Bu, güvenliğin bilgisayar korsanları tarafından kullanılabilecek güvenlik açıklarına sahip olduğu veya saldırının fark edilmediği anlamına gelebilir.
CVSS’yi hatalı hale getirebilecek başka bir şey de, aracın sahip olduğu bilgilere dayanarak zayıflıkları sıralamasıdır – bu sınırlandırılabilir.
Örneğin hizmet sağlayıcı, hizmetinde bulduğu güvenlik açığını açıklayan ayrıntılı verileri vermeyebilir. Böyle bir durumda, CVSS kusuru önem derecesi olarak 10 olarak sıralayacaktır ve bu, söz konusu güvenlik açığının gerçek ciddiyetinin gerçek bir temsili olmayabilir.
ABVM, Bağlama Dayalı Öncelikleri Belirler
Saldırı Tabanlı Güvenlik Açığı Yönetimi (ABVM), güvenlik açığı önceliklendirme teknolojisindeki en son gelişmedir. Araç, güvenlik kontrollerine ve değerlendirilen riske dayalı olarak olası zayıflıkları değerlendirmek için kalibre edilmiştir.
Sistem bağlamında kötüye kullanılma olasılığını araştırarak zayıflıkların ciddiyetini ölçer ve korunması gereken en değerli varlıkları hedefler.
ABVM’nin, güvenlik açıklarının şirketi nasıl etkileyebileceğini gösteren bir raporla ayrıntılı testleri takip ettiği göz önüne alındığında, BT ekiplerinin bir ihlalle sonuçlanması muhtemel olmayan güvenlik açıklarına odaklanma olasılığı daha düşüktür.
BT ekipleri bu yazılımı çalıştırdığında, düzeltme ekinin gerçekten gerekli olup olmadığını da kontrol edebilirler. Örneğin, şirket, raporda vurgulanan risk türünü azaltabilecek çalışan güvenlik kontrollerine zaten sahip olabilir.
ABVM’nin ana dezavantajı, çoğu güvenlik açığı önceliklendirme teknolojisi gibi, hala nispeten yeni olmasıdır. Kuruluşlar, sistemin hangi bölümünün düzeltilmesi gerektiğini doğru bir şekilde gösterebildiği ve insan gücü ve kaynaklardan tasarruf etmelerini sağladığı için bunu kullanır.
ABVM Riskleri Nasıl Değerlendirir?
Selefi, güvenlik açıklarını tarayarak ve hedefleyerek sistemleri bir bilgisayar korsanı gibi test eden BAS teknolojisidir. İhlal ve Saldırı Simülasyonu, saldırıları güvenli bir ortamda simüle ederek şirket içindeki güvenliği ve insanları test eder.
Aşağıda, BT ekibinin çok sayıda uyarı ve yanlış pozitif ile boğulmasını önlemek için riskleri önem derecelerine göre ayıran kısa bir rapor yer almaktadır.
ABVM, sistemi yaygın ve yeni siber saldırılara karşı test etmek için BAS aracını kullanır. Araç otomatiktir ve olası kusurları erken keşfetmek için güvenliği 7/24 değerlendirir.
Dahası, her güncelleme ve ağa yeni ekleme ile sürekli değişen saldırı yüzeyi için gerekli olan güvenliği gerçek zamanlı olarak değerlendirebilir.
Sık güncellemeler ayrıca, ortaya çıkarmaya çalıştığı güvenlik açıklarının hem yaygın saldırıları hem de güvenliğin henüz algılama ve koruma araçlarına sahip olmadığı yeni bilgisayar korsanlığı yöntemlerini kapsamasını sağlar.
Aracın yeni kusurları ayırt edebilmesini sağlamak için BAS, MITRE ATT&CK Çerçevesi ile bağlantılıdır. Bu yeni ve yaygın siber suç yöntemleri kitaplığı, geçmişte diğer sistemleri nasıl etkilediklerine ilişkin bir açıklamanın yanı sıra, istismarla sonuçlanabilecek kusurların nasıl düzeltileceğine ilişkin çözümler sunar.
Çözüm
Sistemdeki zayıflıklara öncelik vermek, sahip olduğunuz araçların diğerlerinden önce düzeltilmesi gereken yüksek riskli kusurları belirleyebilmesi gerektiği anlamına gelir.
Bir şirket kolayca 20.000’den fazla güvenlik açığıyla karşı karşıya kalabilir ve çoğu zaman BT ekipleri, sistemi etkileyebilecek her kusuru düzeltmek için kaynaklara veya zamana sahip değildir.
Bu nedenle, BAS gibi sıralama sistemleri ve araçları, önce düzeltilmesi gereken kusurları ayırt etmelerine yardımcı olabilir.
CVSS, ekipleri yönlendirebilecek ve yetkili erişime veya hassas verilerin sızdırılmasına neden olabilecek kusurları düzeltmelerine yardımcı olabilecek basit, ayrıntılı ve anlaşılır bir sıralama sistemi sağlar.
ABVM, kuruluşun benzersiz bağlamındaki kusurları test ederek güvenlik açığı önceliklendirmesini daha da ileri götürür.