Action1 araştırmacıları, tüm kurumsal yazılım kategorilerindeki toplam güvenlik açığı sayısında endişe verici bir artış buldu.
Mike Walters şunları söyledi: “NVD’nin Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) tanımlayıcılarını CPE (Ortak Platform Sayımı) verileriyle ilişkilendirmedeki gecikmesiyle, raporumuz kritik bir anda geliyor ve kurumsal yazılımlar için gelişen güvenlik açığı ortamına ilişkin çok ihtiyaç duyulan içgörüleri sağlıyor.” , Eylem Başkanı1.
“Amacımız, NVD’lere olan geleneksel güvene meydan okunurken alternatif yaklaşımlar kullanarak güvenlik açığı izleme çabalarına öncelik verebilmeleri için kilit karar vericileri temel bilgilerle donatmaktır. NVD krizinin ışığında, siber güvenlik topluluğunun, tüm kuruluşların güvenlik duruşlarını geliştirebilmesi için bütünsel ve zamanında veri paylaşımını kolaylaştırmak amacıyla özel siber güvenlik firmaları, akademik kurumlar ve diğer tehdit istihbaratı platformları arasında bilgi paylaşması ve daha güçlü ilişkiler kurması gerekiyor.” Walters.
Tehdit aktörleri Apple işletim sistemlerini hedef alıyor
Action1, NGINX (%100) ve Citrix (%57) için yüksek bir kullanım oranı keşfetti. Yük dengeleyicilerdeki güvenlik açıkları önemli riskler oluşturur; çünkü tek bir istismar, saldırganlara hedeflenen ağlara karşı geniş erişim veya kesinti yetenekleri sağlayabilir.
MacOS ve iOS, sırasıyla %7 ve %8’lik bir kullanım oranı artışı gösterdi. Ayrıca MacOS, 2023’ten 2022’ye kadar toplam güvenlik açığını %29 oranında azaltsa da, istismar edilen güvenlik açıkları %30’un üzerinde arttı. Bu bulgular, iOS cihazlarına yönelik saldırıların hedefli doğasının altını çiziyor.
2023 yılında Microsoft SQL Server’da (MSSQL), her biri uzaktan kod yürütme (RCE) olan kritik güvenlik açıklarında %1600’lük bir artış yaşandı. Bu ani artış, saldırganların bir sonraki bilinmeyen RCE’yi hızla keşfetmesi ve istismar etmesi yönünde potansiyel bir riske işaret ediyor.
MSSQL, kurumsal ortamlarda yaygın kullanımı, müşteri bilgileri ve finansal kayıtlar gibi değerli verileri barındırması nedeniyle bilgisayar korsanları için kazançlı bir hedeftir.
MS Office’in kritik güvenlik açıkları, yıllık toplam güvenlik açığı sayısının yaklaşık %80’ini oluşturur; bunların %50’ye kadarı RCE’lerdir. Microsoft, 2022’de %2 olan istismar oranının 2023’te %7’ye yükseldiğini gördü. Bu bulgular, tehdit aktörlerinin insan hatasına yatkın, kullanıcıya yönelik yazılımlardan yararlandığının altını çiziyor.
RCE’lerdeki ve istismar edilen güvenlik açıklarındaki ani artış, Edge güvenliğiyle ilgili endişeleri artırıyor
Chrome, analiz edilen üç yıllık dönemde en yüksek sayıda toplam güvenlik açığına sahip olsa da Edge’in aynı zaman diliminde artmaya devam eden rekor sayıdaki 14 RCE güvenlik açığı endişe verici bir içgörüdür.
Analiz edilen üç yıl boyunca Edge, 2022’deki %500 büyümenin ardından 2023’te %17’ye yükselen rekor sayıda RCE güvenlik açığıyla karşılaştı. Ayrıca, 2023’te Edge, 2022’ye göre %2’lik bir artışı temsil eden %7’lik bir kullanım oranı bildirdi.
Edge’in, nispeten düşük sayıda toplam güvenlik açığına sahip olmasına rağmen, RCE’de ve istismar edilen güvenlik açıklarında bir artışla karşı karşıya olması, Microsoft’un bu web tarayıcısı için henüz Google’ın Chrome veya Mozilla için uyguladığı kadar titizlikle bir güvenlik açığı yönetimi programını aktif olarak uygulamadığını gösteriyor. Firefox. Bu, Edge’i ana kurumsal web tarayıcısı olarak kullanmanın iyi bir fikir olmayabileceği anlamına gelir.
Yazılım Güvenlik Açığı Derecelendirme Raporu 2024, 2021, 2022 ve 2023 verilerini analiz etti ve NVD ile cvedetails.com’dan bilgiler aldı.
Bu bulgular, tehditlerin devam eden evrimini ve zamanında işletim sistemi ve üçüncü taraf uygulamalara yama uygulanması da dahil olmak üzere proaktif güvenlik stratejilerine olan ihtiyacın altını çiziyor. Değişen güvenlik açığı ortamına ayak uydurabilmek için kuruluşların teknoloji yığınlarını gözden geçirmesi (potansiyel olarak belirli savunmasız teknolojileri ortadan kaldırması), trendlere dayalı olarak gelecekteki güvenlik açıklarını tahmin etmesi ve yeni tehditlere hızlı bir şekilde uyum sağlamak için güvenlik duruşlarını sürekli olarak geliştirmesi gerekir.