(Siber) Risk = Oluşma Olasılığı x Hasar


İşte CVSS ile Siber Dayanıklılığınızı Nasıl Artıracağınız

2023’ün sonlarında, hem sektör hem de kamu için güvenlik açığı değerlendirmesini geliştirmek amacıyla sekiz yıllık CVSS v3.0’ın yerini alan Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) v4.0 tanıtıldı. Bu son sürüm, daha kapsamlı bir değerlendirme için gözden geçirilmiş bir puanlama sistemi sunarken, ayrıntı eksikliğine yönelik eleştirilere yanıt vermek için güvenlik ve otomasyon gibi ek ölçümler sunar. Ayrıca, güvenlik açıklarını doğru bir şekilde değerlendirmek için temel puanın yanı sıra çevresel ve tehdit ölçümlerini de dikkate almanın önemini vurguluyor.

Neden fark eder?

CVSS’nin temel amacı bir güvenlik açığıyla ilişkili riski değerlendirmektir. Bazı güvenlik açıkları, özellikle de ağ ürünlerinde bulunanlar, kimliği doğrulanmamış saldırganların etkilenen sistemler üzerinde uzaktan kontrol elde etmek için bunları kolaylıkla istismar edebilmesi nedeniyle açık ve önemli bir risk teşkil etmektedir. Bu güvenlik açıkları yıllar içinde sıklıkla istismar edildi ve genellikle fidye yazılımı saldırıları için giriş noktaları olarak kullanıldı.

Güvenlik açığı değerlendirme sistemleri, güvenlik açıklarının olasılığını ve potansiyel etkisini objektif olarak ölçmek için önceden tanımlanmış faktörleri kullanır. Bu sistemler arasında CVSS, temel güvenlik açığı özelliklerini tanımlamak ve şiddet düzeylerini belirlemek için uluslararası kabul görmüş bir standart olarak ortaya çıkmıştır.

CVSS, güvenlik açıklarını çeşitli kriterlere göre değerlendirir ve her ölçüm için önceden tanımlanmış seçeneklere sahip ölçümleri kullanır. Bu ölçümler, 0,0 ila 10,0 arasında değişen bir şiddet puanının hesaplanmasına katkıda bulunur; 10,0, en yüksek şiddet düzeyini temsil eder. Bu sayısal puanlar daha sonra güvenlik açığı raporlarında yaygın olarak kullanılan terminolojiyi yansıtacak şekilde “Yok”, “Düşük”, “Orta”, “Yüksek” ve “Kritik” gibi niteliksel kategorilerle eşleştirilir.

Şiddetin belirlenmesinde kullanılan metrikler üç gruba ayrılır:

  1. Temel Metrikler
  2. Zamansal Metrikler
  3. Çevresel Metrikler

Her grup, güvenlik açığının farklı yönlerine ilişkin spesifik bilgiler sunarak, güvenlik açığının ciddiyeti ve potansiyel etkisinin kapsamlı bir şekilde değerlendirilmesine yardımcı olur.

Ortak Güvenlik Açığı ve Etkilenme (CVE) tanımlayıcılarını kullanarak:

  • Şirketler, sistemleri genelinde bilinen güvenlik açıklarını etkili bir şekilde izleyebilir ve bu sayede, her bir güvenlik açığının oluşturduğu risk düzeyine bağlı olarak yamalama ve iyileştirme için kaynak tahsis edebilirler.
  • Kritik güvenlik endişelerini gidermek için sınırlı kaynakların verimli bir şekilde kullanılmasını sağlarlar.
  • CVSS ve CVE aracılığıyla standardizasyon güvenlik araçları ve sistemleri arasındaki birlikte çalışabilirliği artırırAğ olaylarını bilinen güvenlik açıklarıyla ilişkilendirerek potansiyel tehditlerin daha doğru tespit edilmesini ve bunlara yanıt verilmesini sağlar.
  • Tehdit istihbaratı beslemelerinin güvenlik araçlarına entegrasyonu CVSS ve CVE tarafından kolaylaştırılarak tehditlerin bilinen CVE’lerle ilişkilerine göre tanımlanmasına ve önceliklendirilmesine olanak tanır.
  • CVSS puanları ve CVE tanımlayıcıları hakkında bilgi aynı zamanda şunları sağlar: Olaylara daha hızlı ve daha etkili müdahale, Güvenlik ekiplerine anında önlem alınması için eyleme geçirilebilir bilgiler sağlamak üzere ağ olaylarını ilgili CVE’lerle otomatik olarak ilişkilendiren araçlarla.
  • CVSS ve CVE’yi anlamak şirketlerin toplantı yapmasına yardımcı olur mevzuata uygunluk gereksinimleriDüzenleyici çerçevelere uygun olarak güvenlik açıklarını belirlemelerine, önceliklendirmelerine ve ele almalarına olanak tanır.

CVSS, güvenlik açığının ciddiyetinin değerlendirilmesine yardımcı olarak şirketlerin yamaları ve azaltma çabalarını etkili bir şekilde önceliklendirmesine olanak tanır ve kaynakları öncelikle kritik güvenlik açıklarını ele almaya odaklar.

Nerede Kullanılır?

EDR gibi güvenlik araçları, saygın CVE veritabanlarından elde edilen verilerin düzenli olarak birleştirilmesinden yararlanır. Bu veritabanları, benzersiz CVE tanımlayıcıları ve karşılık gelen CVSS puanları da dahil olmak üzere, bilinen güvenlik açıklarına ilişkin ayrıntıları sağlar.

  1. EDR, CVE’leri imzalarla uyumlu hale getirerek, her imzanın CVE’si tarafından tanımlanan belirli bir güvenlik açığına karşılık geldiği, CVE ayrıntılarına dayalı kurallar veya imzalar geliştirir.
  2. Bir imzayla eşleşen etkinliğin algılanması üzerine EDR bir uyarıyı tetikler.
  3. Daha sonra EDR’ler, CVE ile ilgili uyarılara yanıt olarak uç noktaları engelleyebilir veya izole edebilir.
  4. Güvenlik ekipleri genellikle güvenlik açıklarını izlemek ve istemcileri potansiyel tehditlere karşı korumak amacıyla güvenlik cephaneliklerini güncellemek için birden fazla CVE veritabanından yararlanır.

Sonuç: Yeni bir CVE ortaya çıktığında, EDR çözümü derhal imzasıyla güncellenir ve genellikle savunmasız sistemlerde satıcı yama dağıtımından önce ağ çevresinde sıfır gün saldırılarının önleyici olarak engellenmesine olanak tanır.

EDR ve güvenlik duvarları, bilinen CVE’lerden yararlanma girişimlerini etkili bir şekilde engellerken, yeni ortaya çıkan veya alışılmadık tehdit vektörlerinden kaynaklanan istismar saldırılarını tanımlamak için genel kurallar tasarlama ve davranış analizi yürütme konusunda genellikle zorluklarla karşı karşıya kalırlar.

Ağ Tespiti ve Yanıtı (NDR), siber güvenliğe bütünsel bir yaklaşımı benimseyerek tipik EDR tekliflerinin ötesine geçer. NDR, puanlamanın (CVSS gibi) ve Makine Öğreniminin gücünü birleştirir. EDR öncelikle imza tabanlı algılamaya dayanırken, NDR bunu davranış tabanlı anormallik algılamayla güçlendirir.

Bu, bilinen CVE’lerden ve yeni ve ortaya çıkan saldırı vektörlerinden gelen tehditleri tanımlamasına olanak tanır. NDR, sapmaları ve anormallikleri analiz ederek, şüpheli davranış kalıplarını belirli imzalar henüz mevcut olmadan tespit eder. Yalnızca geçmiş verilere dayanmaz, aynı zamanda gelişen tehditlere de uyum sağlar.

Bilinen Güvenlik Açıklarından Daha Fazlası

EDR bilinen güvenlik açıklarını engellemede başarılı olurken, NDR yeteneklerini sıfır gün saldırılarına ve bilinmeyen tehdit vektörlerine kadar genişletiyor. CVE güncellemelerini beklemez ancak anormal etkinlikleri proaktif olarak tanımlar. Ağ trafiğini, kullanıcı davranışını ve sistem etkileşimlerini gözlemler. Bir aktivite normdan saparsa, belirli bir CVE’nin ilişkili olup olmadığına bakılmaksızın uyarılar verir. NDR sürekli olarak ağ davranışından öğrenir. Değişikliklere uyum sağlayarak yeni saldırı tekniklerine karşı etkili olmasını sağlar.

Daha önce bir saldırı vektörü görülmemiş olsa bile NDR, anormal davranışlara dayalı olarak uyarı verebilir. Son olarak, NDR kendisini uç noktalarla sınırlamaz. Ağ çapındaki etkinlikleri izleyerek daha geniş bir bağlam sağlar. NDR yetenekleri, tüm altyapıdaki olayları ilişkilendirmesine olanak tanır.

NDR, EDR ile birleştirildiğinde tehditlere hızla yanıt verir. Yalnızca uç nokta tabanlı kurallara dayanmaz, ağ çapındaki kalıpları dikkate alır.

Sayılabilir hale getirin!

Risk Tabanlı Uyarı (RBA), dinamik bir tehdit algılama ve yanıt yaklaşımı kullanarak siber güvenlik verimliliğinin temel taşı olarak ortaya çıkıyor. RBA, uyarıları önceden belirlenmiş risk seviyelerine göre önceliklendirerek çalışmaları düzene sokarak güvenlik ekiplerinin en önemli yere odaklanmasına olanak tanır, böylece uyarı hacimlerini azaltır ve kaynak tahsisini optimize eder. CVSS, güvenlik açıklarını ciddiyetlerine göre değerlendirmek için standart bir çerçeve sunarak etkili risk yönetiminde çok önemli bir unsur olarak hareket eder. Yüksek düzeyde istismar edilebilirlik veya etki gösteren yüksek puanlı güvenlik açıkları, derhal ilgilenilmesini ve sağlam koruyucu önlemlerin alınmasını gerektirir.

CVSS’nin risk temelli bir yaklaşımla birleştirilmesi, kuruluşlara güvenlik açıklarını tespit etme ve ele alma gücü vererek siber savunmalarını proaktif bir şekilde güçlendirme olanağı sağlar. CVSS ve CVE’yi anlamak, risk değerlendirmesini geliştirir, kaynak tahsisine yardımcı olur ve yama ve iyileştirme çabalarına öncelik verir.

NDR, risk değerlendirmesini temel işlevlerine entegre eder, böylece uyarıları önem derecesine ve potansiyel etkiye göre önceliklendirirsiniz. Uyarı eşiklerini risk toleranslarıyla uyumlu olacak şekilde özelleştirebilir, ilgili uyarıları sağlayabilir ve gürültüyü azaltırken kaynak tahsisini optimize edebilirsiniz.

NDR çözümleriyle birleştirildiğinde RBA’nın etkinliği artar. NDR, ağ etkinliğine ilişkin gerçek zamanlı bilgiler sağlamak için sürekli izleme ve makine öğrenimi algoritmalarından yararlanır ve tespit edilen olaylarla ilişkili riskleri değerlendirerek potansiyel tehditlere hızlı yanıt verilmesini sağlar.

NDR, ML, RBA ve CVS bir araya gelerek siber güvenlik ortamında güvenlik önlemlerini ve risk yönetimini geliştirir:

  • NDR’nin makine öğrenimi algoritmaları, davranışa dayalı anormallikleri analiz ederek tehditlerin erken tespitine olanak tanır ve proaktif güvenlik önlemlerini kolaylaştırır.
  • Makine öğrenimi odaklı içgörüler, ağ trafiğini ve kullanıcı davranışını sürekli izleyerek risk değerlendirmesini geliştirir ve potansiyel risklere hızlı yanıt verilmesine olanak tanır.
  • Dolayısıyla NDR, CVSS ve ML’yi entegre ederek karmaşık siber güvenlik ortamlarında gezinme konusunda güven sağlar ve önceden tanımlanmış risk düzeylerine dayalı olarak kolaylaştırılmış uyarılar yoluyla kaynak verimliliğine olanak tanır.

CVSS puanlarından yararlanan NDR, ayrıntılı bir risk değerlendirmesi sunar ve güvenlik açığının ciddiyetine göre uyarıları önceliklendirerek yüksek önem derecesine sahip CVE ile ilgili uyarılara hızlı yanıt verilmesini sağlar. Kuruluşlar, uyarı eşiklerini CVSS puanlarına göre düzenleyebilir ve çabalarını belirli eşik değerlerinin üzerindeki güvenlik açıklarına odaklayabilir. CVSS puanlarının ve CVE tanımlayıcılarının entegre edilmesi, olay müdahalesi sırasında uyarı vermeyi, bilinçli karar almayı yönlendirmeyi ve ciddiyete dayalı olarak iyileştirme çabalarını önceliklendirmeyi bağlamsallaştırır.

CVSS’nin entegrasyonu konusunda daha fazla rehberlik için CVSS kitapçığımızı buradan indirin!

Sürdürmek

CVSS ve CVE’yi anlamak şirketler ve güvenlik ekipleri için hayati öneme sahiptir. Şirketler, yama uygulama ve iyileştirmeye öncelik vermek için CVE tanımlayıcılarına dayalı olarak kaynakları verimli bir şekilde tahsis ederek fayda sağlar. CVSS ve CVE yoluyla standardizasyon, güvenlik araçları arasındaki birlikte çalışabilirliği geliştirerek doğru tehdit algılama ve müdahaleye yardımcı olur.

CVSS ve ML’yi entegre eden NDR, bilinen CVE’lerin ötesindeki tehditleri tespit ederek davranış tabanlı anormallik tespitiyle EDR’yi geride bırakır. NDR’nin gelişen tehditlere uyum sağlama yeteneği ve ağ çapındaki izleme yetenekleri, onu sıfır gün saldırılarına ve bilinmeyen tehdit vektörlerine karşı etkili kılar. Daha fazlası için CVSS kitapçığımızı indirin!


Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkıda bulunduğu bir yazıdır. Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link