NIST, hangi yazılım güvenlik açıklarının kullanıldığını tahmin etmek için yeni bir yol sundu ve siber güvenlik topluluğunu yöntemi iyileştirmeye ve doğrulamaya yardımcı olmaya çağırıyor.
Yeni metrik, “Muhtemel Sömürülmüş Güvenlikler” (LEV), güvenlik açığı yönetiminde önemli bir boşluğu kapatmayı amaçlamaktadır: her yıl rapor edilen binlerce kusurdan hangisinin gerçek dünya saldırılarında kullanıldığını belirlemek.
Organizasyonlar genellikle bunun için iki ana araca güvenmektedir: gelecekteki sömürü şansını tahmin eden istismar tahmin puanlama sistemi (EPSS) ve CISA tarafından korunan gibi bilinen sömürülen güvenlik açığı (KEV) listeleri. Ama her ikisinin de sınırları var. EPSS öngörücüdür ve geçmiş sömürüyü açıklamazken, KEV listeleri onaylanmış durumlardır, ancak genellikle eksiktir.
LEV, tarihsel EPSS verilerine dayanarak, geçmişte bir güvenlik açığının kullanılma olasılığını hesaplayarak bu boşluğu kapatmayı amaçlamaktadır. Bu bir teyit değil, istatistiksel bir tahmindir, bu nedenle teknik inceleme, LEV’nin mevcut yöntemleri değiştirmeyi değil, değiştirmeyi amaçladığını vurgular.
Bu neden önemli
Bahisler yüksek. Güvenlik açıklarını yeniden yapılandırmak zaman alıcı ve maliyetlidir. Makaleye göre, çoğu şirket her ay sistemlerini etkileyen güvenlik açıklarının yaklaşık% 16’sını düzeltmeyi başarıyor. Bu arada araştırmalar, vahşi doğada güvenlik açıklarının sadece% 5’inin kullanıldığını göstermektedir. İdeal olarak, kuruluşlar sınırlı kaynaklarını bu küçük ama tehlikeli alt kümeyi yamalayarak harcayacaklar, ancak bunları tanımlamak zor oldu.
Lev burada devreye giriyor. Kuruluşların saldırılarda zaten kullanılması muhtemel olan güvenlik açıklarına öncelik vermelerine yardımcı olarak, metrik yama çabalarını daha hedefli ve etkili hale getirebilir.
Araştırmacılar LEV’nin kullanılabileceği dört temel yolun ana hatlarını çizer:
1. Kaç güvenlik açıkının kullanıldığını tahmin edin.
2. KEV listelerinin ne kadar eksiksiz olduğunu kontrol edin.
3. Bu listelerde eksik olan yüksek riskli güvenlik açıklarını belirleyin.
4. EPSS’de kör noktaları düzeltin, bu da bazen zaten tükenmiş hatalar için riski hafife alır.
Bir politika ve güven meselesi
CISO’lar ve politika yapıcılar için LEV, güvenlik açığı yönetimi stratejilerini ölçmek ve haklı çıkarmak için yeni yollar sunar. Uyumluluğu destekleyebilir, operasyonel kararları yönlendirebilir ve kurullara ve düzenleyicilere risk duruşunu açıklamaya yardımcı olabilir.
Ayrıca önemli soruları da gündeme getiriyor: Ajanslar KEV listelerinin kapsamını LEV puanlarına göre genişletmeli mi? Yama rehberliği, zor kanıtlar olmadan bile “muhtemel sömürülen” atamaları içermeye başlamalı mı? Bunlar, NIST’in rolünün ötesine geçen politika kararlarıdır, ancak metrik liderlere yeni veriler göz önünde bulundurur.
Nist, Lev’in mükemmel olmadığını açıkça ortaya koyuyor. Zamanla gelişen ancak hala tam olmaktan uzak olan EPSS’nin doğruluğuna bağlıdır. Ve her zaman doğru olmayabilecek skor bağımsızlığı gibi istatistiksel varsayımlar yapmayı gerektirir. Belki de en önemlisi, LEV skorları şu anda uygunsuzdur. Tahminlerin gerçekten doğru olup olmadığını söyleyecek bir temel gerçeği verisi yoktur.
Bu da bizi teknik incelemenin eylem çağrısının kalbine getiriyor: NIST ortaklarına ihtiyaç duyuyor.
Endüstri İşbirliği Aranıyor
LEV’nin ne kadar iyi çalıştığını ölçmek için, araştırmacıların belirli güvenlik açıkları ilk kez kullanıldığında verilere erişime ihtiyaçları vardır. Bu veriler kıt ve hassastır. Ayrıca genellikle tehdit istihbarat firmaları, güvenlik satıcıları ve olgun tespit yeteneklerine sahip büyük işletmeler gibi özel sektör şirketleri tarafından düzenlenmektedir.
NIST aktif olarak bu tür ortaklarla işbirliği arıyor. Gerçek dünya doğrulaması olmadan LEV, güvenilir bir araçtan ziyade umut verici bir fikir olarak kalacaktır.
Endüstri yükselirse, LEV siber güvenlik araç kutusunda önemli bir yeni metrik olabilir. Uzman yargısı, tehdit intel veya mevcut sistemlerin yerini almaz, ancak onları keskinleştirebilir. Ve yama yorgunluğunun gerçek ve kaynak kısıtlamalarının sabit olduğu bir manzarada, bu küçük bir şey değil.
Sırada ne var
LEV kodu zaten mevcuttur ve genel EPSS verilerine göre puanları hesaplar. Şimdilik, bugüne kadarki en doğru olan EPSS sürüm 3’ün tanıtıldığı Mart 2023’ten sonra yayınlanan CVES ile en iyi şekilde çalışıyor. Puanlar günlük olarak güncellenebilir ve LEV listeleri, bir kuruluşun seçtiği olasılık eşiğine göre oluşturulabilir.
Hangi güvenlik açıklarının kullanıldığından emin olamazsak, en azından bilinçli bir tahmin yapabiliriz ve bu daha akıllı ve daha odaklanmış bir eylem sürmek için yeterli olabilir.