Bitsight’a göre, kuruluşların üçte birinden fazlası 2023’te bilinen en az bir güvenlik açığına sahipti; bunların neredeyse dörtte biri beş veya daha fazla güvenlik açığıyla karşı karşıyaydı ve güvenlik açıklarının %60’ı, CISA’nın son teslim tarihlerine kadar giderilmeden kaldı.
Kuruluşlar kritik güvenlik açıklarını düzeltmek için çabalıyor
“CISA KEV Kataloğuna Küresel Bir Bakış: Yaygınlık ve İyileştirme” başlıklı rapor, dünya çapında 1,4 milyon kuruluştan elde edilen verileri analiz ediyor ve küresel kuruluşların kritik, istismar edilen güvenlik açıklarını zamanında düzeltme konusunda karşılaştığı derin zorlukları vurguluyor.
Bitsight Risk Sorumlusu Derek Vadala, “CISA’nın KEV kataloğu her kuruluş için kritik bir araç ve küresel güvenlik açığı giderme oranları üzerinde olumlu bir etki gördük – ancak çoğu kuruluş hala bu güvenlik açığını hafifletmek için çok yavaş” dedi.
“Kritik önemdeki güvenlik açıklarının bile düzeltilmesi ortalama 4,5 ay sürüyor. Bu durum önemli bir risk yaratıyor ve yönetim kurulundaki ve üst düzey yöneticilerdeki iş liderlerinin bu güvenlik açıklarını ciddi tehditler olarak kabul etmeleri ve derinlemesine bilgi sahibi olmayı ve hızlı eyleme geçmeyi önceliklendiren bir güvenlik duruşu talep etme ihtiyacını ortaya koyuyor. Oradan kuruluşların büyüme fırsatı var” diye ekledi Vadala.
Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunda yer alan güvenlik açıkları oldukça yaygındır ve kuruluşların üçte birinden fazlasında 2023’te en az bir güvenlik açığı bulunmaktadır. KEV’ler, tipik KEV olmayan güvenlik açıklarına kıyasla 2,6 kat daha yaygındır.
Kuruluşların %35’i 2023’te KEV yaşadı; bunların %66’sı birden fazla, %25’i beşten fazla ve %10’u ondan fazla KEV yaşadı.
Ortalama KEV 6 ay içinde (ortalama 174 gün) çözülürken, KEV dışı durumlar 1,7 yıldan (621 ortanca gün) daha uzun sürebilir. KEV’lerin KEV olmayanlara göre daha hızlı iyileştirilmesine rağmen, %60’tan fazlası CISA tarafından sağlanan son tarihlerden sonra düzeltiliyor.
KEV’lerin iyileştirilmesi ciddiyete göre değişir:
- Kritik şiddetteki KEV’ler yaklaşık 4,5 ay sürdü (ortalama 137 gün)
- Yüksek önem derecesine sahip güvenlik açıkları 9 aydan uzun sürer (ortalama 238 gün)
- Orta şiddetteki güvenlik açıkları yaklaşık 1,5 yıl (ortalama 517 gün) sürer
Kritik önemdeki KEV’ler teknoloji şirketlerinde hakim durumda
Fidye yazılımı açıkları KEV kataloğunun %20’sini oluşturuyor ancak fidye yazılımında kullanıldığı bilinmeyenlere kıyasla %64 daha yaygın. Fidye yazılımı KEV’leri, fidye yazılımı olmayan KEV’lere göre 2,5 kat daha hızlı iyileştirilir.
CISA’nın tavsiye ettiği iyileştirme son tarihleri, federal kurumların iyileştirme oranlarında büyük fark yaratıyor. Ortalama olarak, federal kurumların güvenlik açıkları için son teslim tarihini karşılama olasılığı diğer kuruluşlara göre %56 daha fazladır.
Teknoloji şirketleri KEV’lere en yüksek düzeyde maruz kalan ve kritik önem derecesine sahip olan şirketlerdir, ancak aynı zamanda bunları en hızlı şekilde düzelten şirketlerdir (93 gün). Büyük manşetlere çıksalar da sağlık kuruluşları, maruz kalma ve iyileştirme konusunda ortalama bir seviyede.
“CISA’nın KEV kataloğu, yüksek riskli güvenlik açıklarının belirlenmesinde ileriye doğru atılmış büyük bir adımdır. Ne yazık ki, güvenlik liderleri genellikle iyileştirme konusunda net bir sorumluluk ve yetkiye, ortamları genelinde görünürlüğe ve bunların etkinliğini ölçecek ölçümlere sahip olmadığından, bu güvenlik açıklarının yönetimi konusunda hala büyük bir sorun yaşıyoruz” dedi eski Fortune 100 CSO’su ve Bitsight danışmanı Roland Cloutier.
Cloutier sözlerini şöyle tamamladı: “Bitsight’ın araştırması, her kuruluşun karşı karşıya olduğu artan baskılara ışık tutuyor ve güvenlik liderlerinin artık her zamankinden daha fazla masada bir koltuğa ve kuruluş genelinde operasyonel değişimi etkileme becerisine ihtiyacı olduğunu kanıtlıyor.”
“Veriler hiçbir şüpheye yer bırakmıyor: CISA’nın KEV kataloğunu oluşturması son derece olumlu oldu. Ne yazık ki KEV’ler hala son derece yaygın ve iyileştirme hala çok yavaş,” dedi Bitsight Siber Risk Danışma Kurulu’nun kurucu üyesi Jim Langevin.
“Her büyüklükteki kuruluş, yeni ortaya çıkan güvenlik açıklarının hızını yönetme konusunda zorluk yaşıyor. Kuruluşların kendilerine özgü riskleri hesaba katan bir güvenlik açığı yönetimi modeli benimsemeleri gerekirken, her kuruluşun Bilinen İstismara Uğrayan Güvenlik Açıklarına öncelik vererek başlamasını şiddetle tavsiye ediyoruz,” dedi CISA Siber Güvenlik Yönetici Yardımcısı Eric Goldstein. “Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğumuza bir güvenlik açığının dahil edilmesinin daha hızlı iyileştirme ile ilişkili olduğunu görmekten memnuniyet duysak da, mevcut ‘daha hızlı yama’ modelinin sürdürülemez olduğunu ve her yazılım şirketinin tasarım yoluyla güvenlik açıklarının yaygınlığını azaltması gerektiğini biliyoruz. ”