Claroty’ye göre, güvenlik açığı yönetimine yönelik geleneksel yaklaşımlar, kurumsal saldırı yüzey alanına dar bir şekilde odaklanılmasıyla ve önemli miktarda riskin göz ardı edilmesiyle sonuçlanıyor.
Kuruluşlar maruz kalma yönetimine bütünsel bir yaklaşım benimsemelidir
Claroty’nin araştırma grubu Team82, maruziyetin kapsamını ve siber-fiziksel sistemler (CPS) ortamlarının karşı karşıya olduğu ilişkili riskleri anlamak için, CPS’deki 20 milyondan fazla operasyonel teknoloji (OT), bağlı tıbbi cihaz (IoMT), IoT ve BT varlığından elde edilen verileri analiz etti. ortamlar.
Araştırma, “yüksek riskli” olarak tanımlanan, güvenli olmayan bir internet bağlantısına sahip olan ve en az bir Bilinen İstismara Uğrayan Güvenlik Açığı (KEV) içeren varlıklara odaklandı. Araştırmacılar “yüksek riski”, kullanım ömrü sonu durumu, güvenli olmayan protokollerle iletişim, bilinen güvenlik açıkları, zayıf veya varsayılan şifreler, PII veya PHI gibi risk faktörlerinin bir kombinasyonuna dayalı olarak istismar edilme olasılığının ve etkisinin yüksek olması olarak tanımladılar. veriler, başarısızlığın sonucu ve diğerleri.
Claroty Ekibi’nin araştırma başkan yardımcısı Amir Preminger, “Elektrik şebekesi gibi sistemleri kontrol etmek veya hayat kurtaran hasta bakımı sağlamak için kullanılan aşırı derecede maruz kalan varlıklarla ilişkili riski ölçerken sıfırdan yüksek herhangi bir sayının sonuçlarını anlamak önemlidir” dedi.82 . “Kuruluşlar, çevrelerindeki saatli bombalara odaklanan risk yönetimi konusunda bütünsel bir yaklaşım benimsemelidir; çünkü her bir 9.0+ CVSS güvenlik açığını ele alma gibi imkansız görevde bir şekilde ustalaşsalar bile, yine de çoğu güvenlik açığının yaklaşık %40’ını kaçırmış olacaklardır. örgütlerine yönelik tehlikeli tehditler.”
CPS varlıkları yüksek etki riski taşır
Endüstriyel OT’nin %23’ü ve tıbbi cihazların %22’si, CVSS v3.1 puanı 9,0 veya daha yüksek olan güvenlik açıklarına sahiptir ve bu, yama yapılması imkansız bir sayı olacaktır. Yüksek riskli cihazları, internete güvenli olmayan bir şekilde bağlanıp bağlanmadıkları ve hâlihazırda yaygın olarak kullanılan güvenlik açıklarını içerip içermedikleri gibi diğer faktörlere dayalı olarak yeniden kategorilere ayırarak, en yüksek istismar riski altındaki cihazları ve sistemleri belirleyebilir ve cihazların sayısını ve yüzdesini önemli ölçüde azaltabiliriz. önceliklendirilmeli ve azaltılmalıdır.
OT ve IoMT’nin %1,6’sı “yüksek riskli” olarak tanımlanıyor, güvenli olmayan bir internet bağlantısına sahip ve kuruluşlar için gerçek, yakın bir tehlike oluşturan maruz kalma faktörlerinin zirvesi olan en az bir KEV içeriyor. Bu, tehdit aktörleri tarafından uzaktan erişilebilen ve doğada aktif olarak kullanılan güvenlik açıklarını içeren on binlerce yüksek riskli CPS varlığını temsil ediyor.
Geleneksel bir güvenlik açığı yönetimi yaklaşımıyla çalışmak, kuruluşlar için gerçek risk duruşları konusunda ciddi bir kör nokta oluşturur. Analiz, CVSS v3.1 puanlarının tek risk kriteri olduğu durumlarda en yüksek riskli OT ve IoMT’nin toplam %38’inin gözden kaçırılacağını göstermektedir. Geleneksel bir yaklaşım aynı zamanda varlık sahiplerini ve operatörlerini, kuruluş başına iyileştirme için zorlu bir cihaz yüzdesiyle karşı karşıya bırakıyor. Kuruluşlar, en yüksek riske maruz kalanlara odaklanarak, acil risklerin yanı sıra bunları düzeltmek için gereken zaman ve kaynakları da azaltabilirler.
KEV veritabanı, saldırganların sıfır gün istismarını yakmak yerine bilinen, eski güvenlik açıklarını hedefleme olasılıklarının çok daha yüksek olduğunu gösteriyor (her ne kadar Google 2021’den bu yana 265 sıfır gün istismarı bildirmiş olsa da).
Gartner’a göre, “Güvenlik liderleri her zaman siber güvenlik risklerini azaltmak için gelişmiş çerçeveler ve araçlar arıyor. Bu, yalnızca önleyici yaklaşımdan, tespit ve yanıt yeteneklerine sahip daha olgun, stratejiyi artıran önleyici kontrollere geçişi içerir. Saldırı yüzeyini yönetmeye yönelik önceki yaklaşımlar artık dijital hıza ayak uyduramıyor; kuruluşların her şeyi düzeltemediği veya hangi güvenlik açığı düzeltmesinin güvenli bir şekilde ertelenebileceğinden tam olarak emin olamadıkları bir çağda. Sürekli tehdide maruz kalma yönetimi (CTEM), bu iki imkansız uç arasındaki ince ipte yürüyerek öncelikleri sürekli olarak iyileştirmeye yönelik pragmatik ve etkili sistemik bir yaklaşımdır.”
Claroty CPO’su Grant Geyer, “Güvenlik açığı odaklı bir bakış açısına sahip olmak tek başına kuruluşların en önemli konulara odaklanmasına yardımcı olmuyor ve güvenliği ve kullanılabilirliği riske atabilecek gerçek risklere maruz kalıyor” dedi. “Riskin azaltılması, geleneksel bir güvenlik açığı yönetimi programından, benzersiz CPS varlık özelliklerini ve karmaşıklıklarını, benzersiz operasyonel ve çevresel kısıtlamaları, kurumsal risk toleranslarını ve CPS siber risk programının istenen sonuçlarını dikkate alan daha odaklanmış ve dinamik bir risk yönetimi programına doğru bir evrimi gerektirir. ”