Kuruluşlar Güvenlik Açığı Yönetimine Nasıl Master Olabilir?

   Temmuz 8, 2025  Posted in welivesecurity


Zamanında yazılım yamasının önemini ağrılı bir hatırlatma sağlamak için pahalı bir ihlal beklemeyin

Phil Muncaster

05 Şub 2025


5 dk. Okumak

Yama veya yok: Kuruluşlar güvenlik açığı yönetimine nasıl hakim olabilir?

Güvenlik açığı sömürüsü uzun zamandır tehdit aktörleri için popüler bir taktik olmuştur. Ancak giderek daha fazla hale geliyor – her ağ savunucusunu alarm vermesi gereken bir gerçek. Bir tahmine göre, gözlemlenen güvenlik açığı sömürüsü vakaları 2023’te yılda üç kat arttı. Güvenlik boşluklarını hedefleyen saldırılar, tehdit aktörlerinin fidye yazılımı saldırılarını başlatmanın ilk üç yolundan biri olmaya devam ediyor.

CVE’lerin sayısı yeni rekor seviyelere ulaşmaya devam ettikçe, kuruluşlar başa çıkmak için mücadele ediyor. Güvenlik açığı ile ilgili tehditleri azaltmak için daha tutarlı, otomatik ve riske dayalı bir yaklaşıma ihtiyaçları vardır.

Hata aşırı yükü

Yazılım güvenlik açıkları kaçınılmazdır. İnsanlar bilgisayar kodu oluşturdukları sürece, insan hatası sürece girecek ve kötü aktörlerin sömürülmede çok uzmanlaştığı hatalarla sonuçlanacaktır. Yine de Speed ​​and Scale’de yapmak sadece fidye yazılımı ve veri hırsızlığı değil, aynı zamanda sofistike devlete hizalanmış casusluk operasyonları, yıkıcı saldırılar ve daha fazlasına bir kapı açar.

Ne yazık ki, her yıl yayınlanan CVE sayısı, çeşitli faktörler sayesinde inatla yüksektir:

  • Yeni yazılım geliştirme ve sürekli entegrasyon, karmaşıklığın ve sık güncellemelerin artmasına, saldırganlar için potansiyel giriş noktalarını genişletmeye ve bazen de yeni güvenlik açıkları getirmesine yol açar. Aynı zamanda, şirketler genellikle üçüncü taraf bileşenlerine, açık kaynak kütüphanelerine ve keşfedilmemiş güvenlik açıkları içerebilecek diğer bağımlılıklara dayanan yeni araçlar benimser.
  • Hız genellikle güvenlik üzerinden önceliklendirilir, yani yazılım yeterli kod kontrolleri olmadan geliştirilir. Bu, hataların üretim koduna girmesine izin verir – bazen geliştiriciler tarafından kullanılan açık kaynak bileşenlerinden geliyor.
  • Etik araştırmacılar, kısmen Pentagon ve Meta kadar çeşitli kuruluşlar tarafından yürütülen böcek ödül programlarının çoğalması sayesinde çabalarını artırıyorlar. Bunlar sorumlu bir şekilde söz konusu satıcılar tarafından açıklanır ve yamalanır, ancak müşteriler bu yamaları uygulamazlarsa, istismarlara maruz kalırlar
  • Ticari casus yazılım satıcıları yasal gri bir alanda çalışır, müşterileri için (genellikle otokratik hükümetler) düşmanlarını gözetlemek için kötü amaçlı yazılım ve istismar satar. İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), ticari “siber instrüzyon sektörü” nin her on yılda bir iki katına çıktığını tahmin ediyor
  • Siber suç tedarik zinciri giderek daha fazla profesyonelleşiyor, başlangıç ​​erişim brokerleri (IAB’ler) sadece mağdur kuruluşları ihlal etmeye odaklanıyor – genellikle kırılganlık sömürüsü yoluyla. 2023’ten bir rapor, siber suç forumlarında IAB’lerde% 45’lik bir artış ve 2022’de Karanlık Web IAB reklamlarının son 12 aya karşı iki katına çıktı.

Ne tür güvenlik açığı dalgaları yapıyor?

Güvenlik açığı manzarasının hikayesi hem değişim hem de süreklilikten biridir. Olağan şüphelilerin çoğu, Haziran 2023 ve Haziran 2024 arasında görülen en yaygın ve tehlikeli yazılım kusurlarının en iyi 25 listesinde yer alır. Bunlar çoğu siber savunmaya aşina olmalıdır ve bu nedenle sistemlerin iyileştirilmiş sertleşmesi/korunması ve/veya geliştirilmiş devsecops uygulamaları yoluyla hafifletmek için daha az çaba gerektirebilir.

Ancak, diğer eğilimler belki de daha da ilgilidir. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 2023 en üst düzey rutin olarak sömürülen güvenlik açıkları Bu kusurların çoğunluğunun başlangıçta sıfır gün olarak sömürüldüğü. Bu, sömürü sırasında, hiçbir yama olmadığı ve kuruluşların onları güvende tutmak veya etkiyi en aza indirmek için diğer mekanizmalara güvenmesi gerektiği anlamına gelir. Başka yerlerde, düşük karmaşıklığa sahip olan ve çok az kullanıcı etkileşimi gerektiren veya hiç gerektirmeyen hatalar da genellikle tercih edilir. Bir örnek, ticari casus yazılım satıcıları tarafından kötü amaçlı yazılımlarını dağıtmak için sunulan sıfır tıkalı istismarlardır.

ESET koruma platformu içindeki ESET güvenlik açığı ve yama yönetiminin, hızlı iyileştirmeye nasıl bir yol sağladığını ve hem aksamaların hem de maliyetlerin minimumda tutulmasına yardımcı olduğunu keşfedin.

Başka bir eğilim, güvenlik açığı sömürüsüne sahip çevre tabanlı ürünleri hedeflemektir. Ulusal Siber Güvenlik Merkezi (NCSC), bu tür saldırılarda genellikle dosya aktarım uygulamalarını, güvenlik duvarlarını, VPN’leri ve mobil cihaz yönetimi (MDM) tekliflerini hedefleyen sıfır gün istismarlarını içeren bir artış konusunda uyardı. Diyor ki:

“Saldırganlar, çevreye maruz kalan ürünlerin çoğunluğunun ‘tasarımla güvenli’ olmadığını ve bu nedenle güvenlik açıklarının popüler müşteri yazılımından çok daha kolay bulunabileceğini fark ettiler. Ayrıca, bu ürünler tipik olarak iyi bir günlüğe sahip değildir (veya kolay kolayca araştırılabilir), her müşteri cihazının yüksek düzeyde dedektif kapasiteleri çalıştıracağı bir ağda mükemmel dayanıklıdır.

İşleri daha da kötüleştirmek

Sanki ağ savunucularını ilgilendirmek için yeterli değilmiş gibi, çabaları daha da karmaşıklaşıyor:

  • Güvenlik açığı sömürüsünün hızı. Google Cloud Research, önceki 32 günlük bir rakamdan, 2023’te sadece beş günlük ortalama bir sürat süresi tahmin ediyor
  • Günümüzün Enterprise BT ve sıklıkla silinmiş eski teknolojiye sahip hibrit ve çoklu bulut ortamlarını kapsayan OT/IoT sistemlerinin karmaşıklığı
  • Kalitesiz satıcı yamaları ve kafa karıştırıcı iletişim, savunucuların çabayı çoğaltmasına yol açar ve genellikle riske maruz kalmalarını etkili bir şekilde ölçemedikleri anlamına gelir
  • En son CVES hakkında kritik bir güncel bilgi kaynağı olmadan birçok kuruluşu bırakan bir NIST NVD birikmiş işçilik

CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğunun Verizon analizine göre:

  • 30 günde güvenlik açıklarının% 85’i araştırılmamış
  • 55 günde, güvenlik açıklarının% 50’si araştırılmamış
  • 60 günde güvenlik açıklarının% 47’si araştırılmamış

Yama zamanı

Gerçek şu ki, kurumsal BT ve güvenlik ekiplerinin hepsini yamaları için her ay çok fazla sistemde yayınlanmış çok fazla CVE var. Bu nedenle odak noktası, risk iştahına ve şiddetine göre etkili bir şekilde önceliklendirilmelidir. Herhangi bir güvenlik açığı ve yama yönetimi çözümü için aşağıdaki özellikleri göz önünde bulundurun:

  • Bilinen CVES için kurumsal ortamların otomatik taraması
  • Şiddete dayalı güvenlik açığı önceliklendirmesi
  • Savunmasız yazılım ve varlıkları, ilgili CVES ve yamaları tanımlamak için ayrıntılı raporlar vb.
  • Kurumsal ihtiyaçlara göre yama için belirli varlıkları seçme esnekliği
  • Otomatik veya manuel yama seçenekleri

Sıfır günlük tehditler için, kötü niyetli olup olmadığını kontrol etmek için bulut tabanlı bir kum havuzunda yürüterek olası istismarları otomatik olarak açan ve tarayan gelişmiş tehdit algılamasını düşünün. Makine öğrenme algoritmaları, dakikalar içinde yüksek derecede doğrulukla yeni tehditleri tanımlamak, otomatik olarak engelleyen ve her bir örneğin durumunu sağlamak için koda uygulanabilir.

Diğer taktikler arasında ağların mikrosunlaştırılması, sıfır güven ağ erişimi, ağ izleme (olağandışı davranışlar için) ve güçlü siber güvenlik farkındalık programları yer alabilir.

Tehdit aktörleri, AI araçlarını sürekli olarak daha büyük sayılarla benimsedikçe, internete bakan saldırılara maruz kalan savunmasız varlıkları taramaları daha kolay hale gelecektir. Zamanla, sıfır gün güvenlik açıklarının bulunmasına yardımcı olmak için Genai’yi bile kullanabilirler. En iyi savunma, bilgilendirilmiş kalmak ve güvenilir güvenlik ortaklarınızla düzenli bir diyalog devam etmektir.



Source link