Rezilion’a göre, KEV katalog güvenlik açıkları APT Gruplarının sık sık hedefi olsa da, yazılım satıcılarının farkındalık ve eylem eksikliği nedeniyle geniş ve kötüye kullanılabilir bir saldırı yüzeyi kalıyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlanan Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğu, geçmişte yararlanılan veya şu anda saldırganlar tarafından aktif olarak kullanılan güvenlik açıkları hakkında yetkili bir bilgi kaynağı sağlar.
Yakın tarihli bir çalışmada, Rezilion araştırma ekibi şu anda KEV kataloğunda yer alan tüm güvenlik açıklarını analiz etti ve çoğunluğu savunmasız Microsoft Windows örnekleri olmak üzere 15 milyondan fazla güvenlik açığı tespit etti.
KEV kataloğu
CISA KEV kataloğu şu anda 896 güvenlik açığı içeriyor ve neredeyse her hafta yeni girişler ekliyor. KEV’lerin çoğu KRİTİK veya YÜKSEK olarak derecelendirilir (250 KRİTİK olarak işaretlenir ve 535 YÜKSEK olarak işaretlenir). Yine de araştırmacılar, CISA KEV kataloğundaki güvenlik açıklarının, kuruluşlar tarafından her yıl keşfedilen güvenlik açıklarının yalnızca bir kısmı (%1’den az) olduğunu buldu.
Yine de bu güvenlik açıkları, genellikle APT grupları ve finansal olarak motive olmuş tehdit aktörleri tarafından en aktif şekilde istismar edilenlerdir ve yüksek düzeyde öncelik verilmelidir. Bunları sömüren gruplar genellikle Rusya, İran, Çin ve Kuzey Kore gibi çeşitli ulus-devletlerle özdeşleştirilir veya bunlar tarafından desteklenir.
Rezilion’un araştırması, milyonlarca sistemin, bunları ele alan yamalar zaten mevcut olsa bile, Bilinen Yararlanılan Güvenlik Açıklarına maruz kaldığını ortaya koyuyor.
“Bu güvenlik açıkları için yamaların bulunmasına rağmen, milyonlarca sistem saldırılara maruz kalmaya devam ediyor. Rezilion Güvenlik Açığı Araştırması Direktörü Yotam Perkal, “Bu, kuruluşları, genellikle genel olarak bilinen güvenlik açıklarını hedef alan tehdit aktörlerinin ve Gelişmiş Kalıcı Tehdit (APT) gruplarının istismarına karşı savunmasız bırakıyor” dedi.
Çalışma aynı zamanda, güvenlik ekiplerinin yeni ve manşetlere çıkan güvenlik açıklarına öncelik verirken, tehdit aktörlerinin yıllardır bilinen ve kamuoyu tarafından bilinen güvenlik açıklarını hedef alma eğiliminde olduğunu da ortaya koydu.
Güvenlik açıklarına öncelik verme
Bu bağlamda, istismar olasılığına dayalı önceliklendirme, güvenlik ekiplerinin öncelik sırasına koyma ve yama uygulama çabalarını etkili bir şekilde odaklamasına yardımcı olabilir.
Rezilion araştırma ekibi, güvenlik açığı biriktirme listesine iki adımlı bir süreçle öncelik verilmesini önerir:
- İlk olarak, çalışma zamanı doğrulaması aracılığıyla hangi güvenlik açıklarından yararlanılabileceğini belirleyin. Koddaki güvenlik açıklarının çoğu hiçbir zaman belleğe yüklenmediğinden veya yürütülmediğinden, bu adım başlangıçtaki birikme listesinin %85’ini ortadan kaldırır.
- Saldırganlar istismar ettikçe anında düzeltme eki gerektiren güvenlik açıklarını belirlemek için devam eden bir güvenlik açığı yönetimi stratejisinin parçası olarak CISA KEV kataloğunu veya diğer tehdit istihbaratı kaynaklarını kullanın.
Başka bir deyişle: benzersiz ortamınız için neyin önemli olduğunu anlamak için çalışma zamanı doğrulamasını kullanın ve ardından, saldırganlar bunu vahşi ortamda kullandıklarından, neyin yakın olduğunu belirlemek için KEV’yi kullanın.
“Kuruluşların, halihazırda vahşi ortamda kullanılmış olan güvenlik açıklarını yamalamaya öncelik vermesi çok önemlidir. KEV kataloğu bunun için mükemmel bir başlangıç noktası sağlar. Çalışma zamanı doğrulaması ile birleştiğinde, büyük birikmiş işleri mümkün olan en kısa sürede uygulanması gereken bir avuç yamaya indirger,” diye ekledi Perkal.