Savunma bakanı ve başbakan yardımcısı Richard Marles, şirketleri güvenlik olayları sırasında hükümetin siber kurumlarıyla daha iyi işbirliği yapmaya teşvik edecek “güvenli liman” mevzuatının habercisi oldu.
Marles, ASD’nin Siber Tehdit Raporu 2022-2023’ün yayınlanmasının ardından ABC’nin AM güncel olaylar programına konuşuyordu.
Marles, bir tür güvenli liman planının, gelecekteki yasal veya düzenleyici eylem korkusu nedeniyle kurumsal siber güvenlik kurumlarıyla etkileşime geçme konusundaki isteksizliği giderebileceğini söyledi.
Marles, “Bu, doğru yaptığımızdan emin olduğumuz bir konu” dedi ve “bunun bir parçasını oluşturacak” dedi. [government’s] ayın ilerleyen zamanlarında açıklayacağımız siber strateji”.
“Eğer bir şirketseniz ve bir siber saldırının ortasındaysanız alabileceğiniz en iyi tavsiyeye ihtiyacınız vardır ve Avustralya Sinyal Müdürlüğü bu konuda bizim uzmanımızdır.”
Marles, şirketlerin bilgilerinin devletin diğer birimleriyle paylaşılacağından endişe etmemelerini sağlamak için şunları söyledi: “Güvenli liman konsepti, takip edilmesi gereken bir kavram.
“Şirketlerin birbirleriyle etkileşime girmesi için mümkün olan en büyük güveni oluşturmamız gerekiyor. [the] Saldırının gerçekleştiği anda ASD.”
BT ve OT’yi birbirine bağlama
ASD raporu, kurumsal tehdit ortamına hâlâ hakim olan iki önemli soruna ilişkin hatırlatmalar içeriyor: yetersiz yamalama ve kötü ayrılmış BT ve operasyonel teknoloji (OT) ağları.
Rapor [pdf] OT’nin özellikle kritik altyapılarda internet bağlantılı kurumsal BT sistemleri üzerinden saldırılara maruz kalabileceğini belirtiyor.
ASD, ağ segmenti ayrımına ilişkin ayrıntılı bir tartışmada, “kötü niyetli bir siber aktörün kurumsal BT ağını tehlikeye atması ve daha fazla erişim ayrıcalıkları elde etmesi durumunda, kurumsal BT güvenlik duvarının artık OT ortamı için istenen düzeyde koruma sağlayamayabileceği” konusunda uyardı.
ASD, 2022-2023 döneminde kritik altyapılarla ilgili 143 olaya müdahale etti.
Rapora göre bu saldırıların çoğu, güvenliği ihlal edilmiş hesaplar veya kimlik bilgileri aracılığıyla gerçekleşti; güvenliği ihlal edilmiş varlıklar, ağlar veya altyapı; veya hizmet reddi.
Yamalamayı geciktirmeyin
ASD ayrıca, yeni açıklanan beş güvenlik açığından birinin artık “bir yama veya hafifletme tavsiyesi yayınlandıktan” sonraki 48 saat içinde istismar edildiği için hızlı yama uygulamasının her zamankinden daha önemli olduğu konusunda da uyardı.
Bu, ifşa edildikten sonraki iki hafta içinde istismar edilen yeni güvenlik açıklarının yarısına denk geliyor.
“CVE’lerin yüzde 90’ından fazlasına rağmen [vulnerabilities] ASD, kamuya açıklandıktan sonraki iki hafta içinde bir yama veya hafifletme tavsiyesinin mevcut olmasına rağmen, CVE’lerin yüzde 50’sinin, bu yama veya hafifletme tavsiyesi yayınlandıktan sonra iki haftadan fazla bir süre boyunca hala istismar edildiğini belirtti.
Raporda, “Kavram kanıtlayıcı bir kod mevcut olduğunda ve çevrimiçi olarak paylaşıldığında bu riskler daha da artıyor” diye ekledi.
Eski güvenlik açıklarının devam etmesi ASD’yi de rahatsız etti; 2022-2023 analiz dönemindeki istismarlarda hâlâ 2021’de yamalanmış iki güvenlik açığı hakim durumda: Log4Shell (Log4j, CVE-2021-44228 olarak da bilinir); ve ProxyLogon (CVE-2021-26855).
Raporda bunların “analiz dönemi boyunca açık ara en çok yararlanılan güvenlik açıkları” olduğu ve “CVE ile ilgili tüm olayların yüzde 29’unu temsil ettiği” belirtildi.
ASD, ilk olarak 2017’de ortaya çıkan saygın WannaCry kötü amaçlı yazılımının bile hâlâ kurumsal ortamlardan “periyodik raporlar” oluşturduğunu söyledi.
ASD’nin açıklamasında vurgulanan diğer eğilimler arasında kritik altyapılara odaklanan devlet aktörleri; ve bu dönemde siber suç raporlarının sayısı yüzde 23 artarak 94.000 civarına çıktı.