Yalnızca 2024’te 40.000’den fazla yeni güvenlik açığı (CVE) yayınlandı. Bunların% 60’ından fazlası “yüksek” veya “kritik” olarak etiketlendi. Korkunç geliyor, ama kaç tanesi ortamınızı gerçekten riske atıyor?
Neredeyse düşündüğünüz kadar değil.
Teknik faktörlere dayalı CVSS bayrak önemi gibi puanlama sistemleri. Ancak ağınızı, kontrollerinizi veya temel varlıkları nasıl sertleştirdiğinizi bilmiyorlar. Bu bir sorun. Çünkü bağlam olmadan, takımlar zaten engellenebilecek korkunç görünümlü hataları kovalamak için çok fazla zaman harcıyorlar ve olmayan sessiz olanları kaçırıyorlar.
Bu yazı, geleneksel güvenlik açığı önceliklendirmesinin neden sizi yoldan saptırdığını ve nasıl daha iyi bir yaklaşımın yol açtığını bozuyor. pozlama doğrulamasıekiplerin gerçekten neyin sömürülebilir olduğuna odaklanmasına yardımcı olur.
“Kritik” güvenlik açıklarıyla ilgili sorun nedir?
Sayılarla başlayalım. Güvenlik açığı açıklamaları geçen yıl% 38 arttı. Ve birçok araç, tarayıcı, yama platformları ve gösterge tabloları hala onları ham CVSS veya EPSS puanlarına göre sıralıyor.
Ama işte şu: bunlar sadece küresel puanlar. Bu, bir güvenlik açığı kağıt üzerinde 9.8 puan verdiğinden, bunun üzerinde kritik bir etkisi olduğu anlamına gelmez. senin çevre. Güvenlik duvarınız, EDR, IPS/ID’leriniz veya segmentasyon, istismar soğukluğu zaten durdurabilir. Bu arada, bu “orta” ciddiyet sorunu listeye gömüldü mi? Aslında bir gıdıklama zaman bombası olabilir.
Ayrıca silahlanma hızı var. 2024’ün başlarında, sömürülen güvenlik açıklarının yarısından fazlası, kamu açıklamasından kısa bir süre sonra çalışma istismarlarına dönüştürüldü. Saldırganlar hızlı hareket eder, genellikle savunucuların tepki verebileceğinden daha hızlı hareket eder. Ve yeni güvenlik açıkları manşetler alırken, birçok ihlal hala bildiğimiz ancak zamanında yamalı olmadığımız eski kusurlara geliyor.
Burada sahip olduğumuz şey bir keşif sorunu değil, bu bir önceliklendirme sorunu.
Geleneksel puanlama neden yetersiz kalıyor
Her zamanki sistemlerin nasıl çalıştığını bozalım.
(The) CVSS Erişim gereksinimlerine, ayrıcalıklara ve potansiyel etkiye dayalı bir ciddiyet derecesi verir.
EPSS dış tehdit sinyallerini kullanarak sömürü olasılığını öngörür.
Cisa Parçaları Bilinen bayraklar güvenlik açıklarından yararlandı.
Yardımsever? Elbette, büyük resim açısından, evet. Ancak oldukları kadar yararlı, teoride, bu sistemler bilmiyor Sizin çevre.
IP’lerinizin istismarı engelleyip engellemediğini, varlığın izole edilip edilmediğini veya sistem bile önemli olup olmadığını söyleyemezler. Böylece tüm ağlara aynı şekilde davranırlar, bu da bir duygusu nedeniyle yanlış düzeltmelerde zaman ve kaynakların boşa gitmesine kolayca yol açabilir. yanlış aciliyet.
Tahminleri kanıtla değiştirin.
Picus’un gerçek saldırılara karşı risklerinizi nasıl doğruladığını görün ve çabalarınızı gerçekten düzeltmeniz gereken maruziyetlere odakladığını görün.
Demonuzu Talep Edin
Pozlama doğrulaması nedir?
Maruz kalma doğrulaması süreci çevirir. Bir güvenlik açığının ne kadar kötü olabileceğini tahmin etmek yerine, testler Gerçek ortamınızda gerçekten sömürülebilir olup olmadığı.
Sömürü kampanyasının tüm öldürme zincirinin sizin üzerinde çalışıp çalışmadığını görmek için gerçek dünyadaki düşman tekniklerini kullanarak güvenli, kontrollü saldırı simülasyonları çalıştırmak gibi. Kontrolleriniz durdurursa, harika. Değilse, şimdi neyi düzelteceğinizi biliyorsunuz.
Amaç basit: Varsayımları kanıtla değiştirin. Bu şekilde, önce en önemli olan güvenlik açıklarını çözebilirsiniz.
Arkasındaki Teknoloji: Bas + Otomatik Pentests
Maruz kalma doğrulaması iki tür güvenli, tahribatsız araca dayanır.
İhlal ve Saldırı Simülasyonu (BAS): BAS, vahşi doğada belgelenen bilinen taktikleri ve kötü amaçlı yazılım davranışlarını kullanarak sürekli saldırı senaryoları çalıştırır. Onları, EDR, Siem ve güvenlik duvarınızın hem bilinen hem de ortaya çıkan tehditlere karşı yapmaları gerekenleri yakalayıp yakalamadığını kontrol etmenin bir yolu olarak düşünün.
Otomatik Penetrasyon Testi: Bu teknik, ortamınıza zaten erişimi olan bir saldırganın eylemlerini taklit eder, içeri girdiklerinde ne kadar ileri gidebileceklerini test eder. Bu, yanal hareket, ayrıcalık artışı, kimlik bilgisi erişim ve etki alanı yöneticileri gibi hassas hedeflere ulaşma girişimlerini içerir. Ayrıca, daha karmaşık, yaratıcı veya kritik saldırı yollarına odaklanmak için kırmızı ekibinizi serbest bırakır.
Birlikte çalışırken, bu araçlar ekiplerinizin saldırganların neler yapabileceğini anlamasına yardımcı olur Gerçekten Ağınızda, sadece teorik olarak mümkün olabilecek şeyleri değil.
9.4 CVSS puanı kritik olmadığında
Bunun pratikte nasıl çalıştığını görelim. Bir tarayıcının CVSS skoru 9.4 ile bir güvenlik açığı bayrak ettiğini söyleyin. Kulağa ciddi geliyor. Ancak maruz kalma doğrulaması bunu teste sokar.
İlk Adım: Kamusal bir istismar var mı?
Evet. Mevcut bir kavram kanıtı var. Ama tak ve oynatma değil. Başarılı olmak için teknik beceri ve bazı özel koşullar gerektirir. Bu, bu güvenlik açığını ilk göründüğünden daha az kritik hale getirir ve risk bunu yansıtacak şekilde ayarlanır. Bu kendi başına skoru 8.7’ye düşürür.
Sonraki: Savunmalarınız durdurabilir mi?
Şimdi güvenlik yığınınızı kontrol etmenin zamanı geldi: bulut kontrolleri, ağ korumaları, uç nokta araçları ve SIEM kuralları. Bunlar zaten saldırıyı tespit ediyor veya engelliyorsa, risk önemli ölçüde düşer.
Bu durumda, ihlal ve saldırı simülasyon çözümünüz, mevcut kontrollerinizin işlerini yaptığını ve Vuln’in puanını 6.0’a düşürdüğünü göstermektedir.
Son kontrol: Sistem önemli mi?
Savunmasız varlık kritik değildir. Hassas verilere sahip değildir ve çekirdek işlemleri etkilemez. Bunu göz önünde bulundurarak, skor tekrar düşer, bu sefer 2.4’e.
Bu senaryoda, tarayıcı 9.4 puanla bir güvenlik açığı olduğunu çığlık attı ve ciddi bir ilgi göstermeniz çok kritikti. Bununla birlikte, gerçek dünya ortamınızda, bu vuln engellenecek ve tespit edilecek ve kuruluşunuz için çok daha kritik güvenlik açıklarıyla başa çıkmanıza izin verecektir. Pozlama doğrulaması bunu yapar. Gerçek riskleri gürültüden ayırır, önemli olanları düzeltmenize ve olmayanlardan geçmenize izin verir.
Öncelik vermenin daha akıllı bir yolu
Picus Security’nin pozlama doğrulaması (EXV) çözümü, ekiplerin yüzey düzeyinde puanları geçmesine ve gerçek olana odaklanmasına yardımcı olur.
Saldırı yüzey yönetimi, ihlal ve saldırı simülasyonunu ve gerçek ortamınızda bir güvenlik açığının kullanılamayacağını görmek için otomatik pentestlemeyi birleştiriyoruz.
Daha sonra sadece en kötü durum varsayımlarını değil, gerçek koşulları yansıtan bir risk puanı hesaplar. Bu puan üç temel faktörü dikkate alır:
Güvenlik açığı gerçekten sömürülebilir mi?
Mevcut kontrolleriniz zaten engelliyor mu?
Etkilenen sistem aslında kuruluşunuz ve günlük operasyonlarınız için önemli mi?
Bu bağlamla donanmış, ekipleriniz artık her yüksek şiddetli uyarıyı kovalamak zorunda değiller. İşletmeniz ve çevresi için çok daha az gürültü ile önemli olduğu kanıtlanmış açık ve yönetilebilir bir maruziyet listesi elde edersiniz.
Sahadan elde edilen sonuçlar
Takımlar ham CVSS puanlarına güvenmeyi bırakıp maruziyetleri doğrulamaya başladığında, sonuçları hemen görmeye başlarlar.
Picus olarak, kuruluşların Kritik güvenlik açığı yarısından fazla, yüzde 63’ten yüzde 10’a kadar sayılır. Aynı ortam. Aynı araçlar. Tek değişiklik gerçekte neyin sömürülebileceğini doğrulamaktı.
Bu değişim saatlerce yama tasarrufu sağlar, gürültüyü temizler ve en önemlisi, güvenlik ekiplerinin gerçek tehditlere daha etkili bir şekilde odaklanmasına ve hayaletleri kovalamayı etkili bir şekilde durdurmasına izin verir.
Takımlar, yüzlerce yüksek şiddetli bulgularla su basmak yerine, gerçekten önemli olanın temiz ve odaklanmış bir listesini alıyor. Öncelikleri tartışmak için daha az zaman harcadı. Gerçek sorunları düzeltmek için daha fazla zaman.
Doğrulama, güvenlik açığı yönetimini eyleme geçirilebilir bir şeye dönüştürür. Daha hızlı hareket edersiniz, daha az boşa harcarsınız ve gerçekten önemli olanı korursunuz.
Son Düşünceler
Her şeyi düzeltmenize gerek yok. Sadece gerçek olanı düzeltmeniz gerekiyor.
Maruz kalma doğrulaması, ekiplerin ham önem puanlarını geçmesine ve verilere dayalı kararlar vermeye başlamasına yardımcı olur.
Sonuç? Daha iyi önceliklendirme, daha güçlü savunmalar ve daha güvenli bir organizasyon.
Picus Security’nin pozlama doğrulama (EXV) çözümü hakkında daha fazla bilgi edinin.
Picus Security tarafından sponsorlu ve yazılmıştır.