Güvenlik açığı yama yönetimi ve sunum görevleriyle görevli siber güvenlik profesyonelleri, Ivanti tarafından derlenen yeni bir rapora göre, kritik güncellemelere etkili bir şekilde öncelik vermek için mücadele ettiklerini ve ‘her şeyi’ bir öncelik olarak tanımlama yaklaşımına geri dönme eğiliminde olduklarını söylüyor.
Yeni 2025 Risk Tabanlı Yama Önceliklendirme RaporuBu hafta yayınlanan Ivanti, güvenlik açıkları ve yamalar için endüstri standardı derecelendirmelerinin eksikliğine ağıt yaktı, yani kullanıcılar güncellemeleri izole edilmiş önerilere göre karşılaştırmaya ve önceliklendirmeye bırakıldı.
Bir güvenlik açığının kritik sistemlere etkisi gibi, bir güvenlik açığı tarayıcısı, CVSS skoru veya satıcı şiddeti puanı tarafından tespit edilse de, CISA keV’de dahil edilmesi gibi uyumluluk nedenleri için, CYBE tarafından öncelikli olarak belirlendikleri veya daha önce belirlenmeleri gibi bir şekilde tespit edilmesi gerektiği gibi, yama önceliklendirmesini etkileyen faktörlere karşı, ya da olmasın, CYBE, ya da önemli bir şekilde belirlendikleri, daha önce belirtildikleri, daha önce belirlendikleri, daha önce belirlendikleri, bu kadar önemli olarak tespit edildikleri, bu tür bir şekilde belirlendikleri, bu tür bir şekilde belirlendikleri, bu şekilde belirlendikleri, bu şekilde belirlendikleri, bu şekilde belirlenmesi durumunda, bu kadar önce belirtilip tespit edildikleri için yamalaması, ya da yoktu. yukarıda aciliyetleri üzerinde yüksek veya ılımlı bir etkiye sahip olmak.
“Ancak her şey bir öncelik olduğunda, hiçbir şey bir öncelik değildir,” diye yazdı raporun bu istatistikler ışığında, siber profesyonellerin% 39’unun risk iyileştirmesine ve yama dağıtımına öncelik vermek için mücadele ettiklerini ve% 35’inin uyumu sürdürmek için mücadele ettiklerini söyledi.
Ivanti’deki Endpoint Güvenliği Ürün Yönetimi Başkan Yardımcısı Chris Goettl, vahşi doğada aktif olarak hedeflendiğini gördüğü en güvenlik açıklarının aslında güvenlik ekiplerinin öncelik vermediğini söyledi.
“Bu yüzden yama önceliklendirme ve iyileştirme için riske dayalı bir yaklaşıma ihtiyacımız var” dedi. “Kuruluşların birden fazla farklı iyileştirme parçasını yönetmesi gerekiyor: rutin aylık bakım, tarayıcılar ve iletişim araçları gibi yaygın olarak hedeflenen uygulamalar için daha yüksek öncelikli güncellemeler ve örnek olarak acil sıfır gün yanıtları.
“Sistemleri düzgün bir şekilde yapılandırarak, tüm sürekli güncellemeler bu parçalardan birine atanır ve ayda bir kez sürekli yama yönetimi süreçlerinin bir parçası olarak işlenir” dedi.
Veri boşlukları ve sessiz takımlar
Güvenlik uzmanları ayrıca, gölge BT gibi alanlarda ortaya çıkan en sık boşluklar, hangi güvenlik açıklarının sistemlerini açığa çıkardığına dair bağlamsal boşluklar ve yama yapılandırması, uyumluluk durumu veya yama hizmet düzeyi anlaşmalarına bağlı olarak bağlı boşluklar ile ilgili en sık boşluklar ile bilinçli kararlar almalarına yardımcı olacak yeterli veri bulunmadıklarını söylediler.
Ivanti’nin güvenli birleşik uç nokta yönetimi (UEM) hatları için ürün yönetimi kıdemli başkan yardımcısı Daren Goeson, “İyileştirme çabalarını gerçekten yükseltmek isteyen kuruluşlar hakkında düşünürsek, bunu yapmak zorunda kalacakları bazı önemli bağlamsal veriler var” dedi.
“Birincisi saldırı yüzeyinin görünürlüğü, ikincisi kuruluşun saldırı yüzeyinde güvenlik açıkları bağlamı, üçüncüsü, riskin nasıl geliştiğini belirlemek için iplik zekasıdır ve dördüncüsü, kuruluş içindeki gerçek riske odaklanan uyum görüşüdür.”
Organizasyonlar ayrıca siber güvenlik arasında mevcut silolar buldular ve BT ekipleri sorun yaratıyorlardı, siber ekipler BT takımlarını aciliyet duygusu yoktu ve kuruluşun risk iştahını anlayamadığı için suçlamaya eğilimli. Ivanti, güvenlik ekiplerinin hızla yanıt vermeleri gerektiğini söyledikleri, ancak BT takımlarının istikrara ihtiyaç duyduklarını, ikisinin birbirleriyle çelişen olduğunu söylediği bir itme-pull dinamiği olduğunu söyledi.
Raporda, ‘her şey acil’ zihniyet, BT ekiplerine güncellemeleri düzgün bir şekilde test etmeden zorlamaya baskı yaparken daha fazla soruna neden olurken, silolar ve yanlış hizalanmış öncelikler arasındaki etkileşim yanlış iletişim ve yama görevlerinin belirsiz mülkiyetine yol açarak daha fazla risk getiriyor.
AI anahtarı tutar mı?
Ivanti, yapay zeka (AI) ve otomasyondaki ilerlemelerin raporda belirtilen sorunların üstesinden gelmeye yardımcı olabileceğini öne sürdü, ancak kuruluşların maliyet ve beceriler de dahil olmak üzere çoklu engeller gördüğünü söylediklerini belirtti.
Rapor, AI çözümlerinin, tehdit ve risk bağlamı gibi faktörlere dayanan güvenlik açıklarının hızlı analizi ve yama testi ve dağıtım iş akışlarını otomatikleştirerek kuruluşlara yama yönetimi stratejilerini geliştirmenin bir yolunu sunabileceği iki yol vurguladı.
Goettl, “Riske dayalı bir önceliklendirme sistemi kullanıyorsanız, AI çeşitli farklı kaynaklardan ve araçlardan büyük miktarlarda bilgi çekebilir, bu bilgileri analiz edebilir ve riske dayalı puanlamayı mümkün olduğunca verimli hale getirmek için öngörücü modeller kullanabilir” dedi.
“Risk iştahınızı belirledikten sonra, bir sonraki adım, otomasyonu risk önceliklendirmenizle uyumlu olarak sürekli olarak izlemek ve düzeltmek için otomasyonu yapılandırmaktır” dedi.