Toplam güvenlik açığı puanları tüm hikayeyi anlatmaz – bir kusurun kamu şiddeti derecesi ile şirketiniz için ortaya koyduğu belirli riskler arasındaki ilişki göründüğünden daha karmaşıktır
13 Aralık 2024
•
–
3 dk. Okumak
Bir siber güvenlik ekibine güvenlik açığı ve yama yönetiminden bahsedin ve hepsi aynı dehşete düşmüş yorgunluk ve tükenme görünümüne sahip. CVE veritabanı, önemli bir hızda büyümeye devam ediyor, bilinen güvenlik açıklarının çok fazla sıfır gün olarak başlaması. JPMorganchase’den iki gayretli siber güvenlik uzmanı olan Ankur Sand ve Syed İslam, Black Hat Europe’da “CVSS Aldatma: Güvenlik Açığı Şiddetinde Nasıl Yanıltıldık” başlıklı bir sunumla sahneye çıktığında, oda taştı.
Sunucular, güvenlik açıklarının ve yamaların ağrı noktasının potansiyel olarak nasıl azaltılabileceğini vurgulamak için Ortak Güvenlik Açığı Skorlama Sistemi (CVSS) skorlarını analiz ettiler. (Analizlerinin mevcut sürüm 4 yerine metodolojinin 3. sürümüne odaklanırken, yüksek düzeyden benzer bir sonuç beklediklerinden bahsettiklerini unutmayın.)
Ekiplerin yama aciliyeti konusunda bilinçli kararlar almalarına yardımcı olmak için ek netliğe ihtiyaç duyan altı alanı kapsadılar. Bu blog yazısında altı tanesini de tekrarlamayacağım, ancak göze çarpan bir çift var.
CVSS puanlarının arkasındaki gizli riskler
Birincisi, daha sonra gizlilik, dürüstlük ve kullanılabilirliğe ayrılan etki üzerine güvenlik açığı puanlamasıyla ilgilidir. Her biri ayrı ayrı puanlanır ve bu puanlar, sonunda yayınlanan toplu bir puan sağlamak için birleştirilir. Bölünmüş kategorilerden biri maksimum puanı alır, ancak diğer ikisi almazsa, genel şiddet azalır. Bu, potansiyel bir yüksek skorun düşürülmesine neden olur – örneğin, analizlerinde bu tipik olarak 8+ 7.5’e kadar alır. Sadece 2023’te ekip bunun gerçekleştiği 2.000 örneği gördü.
Yama kuyruklarında 8+ CVSS puanına öncelik veren bir politika olan kuruluşlar için, 7.5 bir öncelik olmaz – tek bir kategoride 8+ olarak nitelendirilmesine rağmen. Ve bir kategorinin belirli bir örnekte en önemli olduğu durumlarda, güvenlik açığı, garanti ettiği aciliyet ve dikkati alamayabilir. Sorunla ilgili her sempati olsa da, puanlama sisteminin bir yerden başlaması ve belirli bir seviyeye herkes için geçerli olması gerektiğini de takdir etmeliyiz; Ayrıca, geliştiğini unutmayın.
İzleyiciye ilgiyi tetikliyor gibi görünen bir diğer konu bağımlılıktır. Sunucular, bir güvenlik açığının yalnızca belirli koşullar altında nasıl kullanılabileceğini vurguladı. Yüksek skorlu bir güvenlik açığı da X & Y’nin sömürülmesini gerektiriyorsa ve bunlar bazı ortamlarda veya uygulamalarda mevcut değilse, o zaman öncelik daha düşük olabildiğinde ekipler yamaya acele ediyor olabilir. Buradaki zorluk, hangi varlıkların ayrıntılı olarak olduğunu bilmek, sadece iyi kaynaklanan bir siber güvenlik ekibinin elde edebileceği bir şey.
Ne yazık ki, birçok küçük işletme, iyi kaynaklanmış olma spektrumunun diğer ucunda olabilir, hatta etkili bir şekilde çalışacak çok az veya hiç mevcut kaynak yoktur. Ve, oyundaki tüm varlıklar hakkında derinlemesine bir görüşe sahip olmak, her bir varlık içindeki bağımlılıkların ne olduğu kadar uzak bir gerginlik olabilir. Log4J’den bahsedilmesi burada bir noktaya değiniyor – birçok şirket hazırlıksız yakalandı ve bu açık kaynak kodu içeren yazılıma güvendiklerini bilmiyorlardı.
Her şirketin farklı politikalarla kendi benzersiz teknoloji ortamı vardır, bu nedenle hiçbir çözüm herkes için mükemmel olmayacaktır. Öte yandan, daha kapsamlı veriler ve gelişmiş standartlar, ekiplerin güvenlik açığı şiddeti ve kendi şirket politikalarına göre yamalama konusunda kendi bilinçli kararlarını vermelerine yardımcı olacaktır. Ancak daha küçük şirketler için, toplu puana göre yamaya ihtiyaç duymanın acısının devam edeceğinden şüpheleniyorum; Çözüm muhtemelen mümkün olduğunca otomasyonla cevaplanır.
Bu konuda ilginç bir açı, bazıları şirketleri zaten güvenlik açığı açıklamalarına ve kamuya açık olan yamalara dayanan sistemleri yamalama ihtiyacına karşı uyaran siber sigorta şirketlerinin rolü olabilir. Siber sigorta politikaları, riski tespit etmek için bir şirketin ortamı hakkında daha derinlemesine bilgi gerektirdiğinden, sigortacılar güvenlik açıklarına etkili bir şekilde öncelik vermek için gereken ayrıntılı içgörülere sahip olabilirler. Bu, sigorta şirketlerinin kuruluşların riski en aza indirmesine yardımcı olmaları için potansiyel bir fırsat yaratır, bu da sonuçta hem şirketin güvenlik duruşuna hem de sigortacının kârlılığına fayda sağlar.
CVSS gibi standartlar üzerine yapılan tartışmalar, bu çerçevelerin gelişen güvenlik manzarasına ayak uydurmasının ne kadar önemli olduğunu göstermektedir. JPMorganchase ekibinin sunumu bazı önemli konulara ışık tuttu ve konuşmaya büyük değer kattı, bu yüzden onları harika bir sunumda alkışlıyorum.