“Vahşi” terimi, kontrollü bir ortamın dışında gözlemlenen herhangi bir aktiviteyi ifade etmek için geniş ölçüde kullanılır. Bu, güvenlikte önemli bir metriktir, çünkü suçlular genellikle çabalarını aynı şekilde tekrar tekrar çoğaltmazlar – eğer öyleyse, etkili güvenlik yazılımı oluşturmak çok daha kolay olurdu. Ama gerçekte, her zaman yeni ve öngörülemez bir şey olacak.
Bilgilerini “vahşi” olarak etiketleyen birçok güvenlik açığı önceliklendirme çözümü vardır, ancak ne yazık ki, bu özelliklerin çoğu (CVSS taban puanlarına, satıcı bültenlerine, vb. Ek olarak) diğer kaynaklardan elde edilen bilgilere dayanmaktadır ve zaten bir güvenlik ekibi tarafından alınmadan önce bayatlar.
Bir zamanlar “vahşi doğada” bir şey gözlemlenmesi, şu anda gerçekleştiği anlamına gelmez. Çok fazla zaman ve çaba gerektiren yayılması zor bir yarış koşulu “vahşi doğada” olabilir, ancak bu, bir aktörün bugün aktif olarak sömürdüğü bir şeyle düzeltmek için aynı aciliyet gerektirmez.
Ancak, saldırganlar şu anda kullanmaya kadar iyi değil yazılım böcek sen Bilmek Sahip Oluyorsuno zaman büyük bir sorununuz var – çözmek için geçici bir iş sürekliliği eksikliğini riske atacak kadar acil bir sorun.
Bir aciliyet sorusu
İnternet çapında fırsatçı sömürü ile mücadele etmek karmaşık bir sorundur ve yeni güvenlik açıkları endişe verici bir oranda silahlandırılır. Hacimdeki şaşırtıcı artışa ek olarak, saldırganlar, büyük bir ölçekte çok daha yüksek frekansta APT’ler ve suçlular veya botnetler aracılığıyla sıfır gün güvenlik açıklarını sömürmede daha iyi hale geliyor. Yeni bir güvenlik açığının ifşa edilmesi ile aktif sömürünün başlangıcı arasındaki süre büyük ölçüde azaltılmış ve savunucuları tepki vermek ve yanıt vermek için çok az zaman bırakmıştır. İnternette, bir şey gözlemleyen bir kişi ile bunu gören herkes arasındaki fark genellikle birkaç dakika içinde nicelenir. Yeni bir güvenlik açığı keşfedildiğinde ve duyurulduğunda, siber suçlular önce savunmasız sunucuları kimin bulabileceğini görmek için yarışıyor. Şimdi, yazılım üreticileri bir sorun olduğunu fark etmeden önce saldırganların aslında sömürülmeye başladığı durumlar görüyoruz.
Örneğin, ilerleme hareketi transfer SQL enjeksiyon güvenlik açığı (CVE-2023-34362) 31 Mayıs 2023 tarihinde ilerleme yazılımı tarafından açıklanmıştır. Ancak, açıklamadan önce birkaç hafta boyunca vahşi doğada sömürülmüştü. Greynoise, bu etikette sadece birkaç saat içinde erken aktivite gördü ve 2023’ün geri kalanında devam etti.
Yapay zeka ile ilişkili otomasyon seviyesi, yazılımda güvenlik açıkları bulmayı eskisinden daha kolay hale getirir. En yeni eğilimlere ayak uydurmamanın sonuçları hiç bu kadar büyük olmamıştı ve büyümeye devam ediyorlar. Uyumlu bir güvenlik açığı önceliklendirme stratejiniz yoksa, ağınızın tehlikeye atılmasından önce sadece bir zaman meselesidir.
Kurt ağlayan yazılım satıcıları
Siber güvenlik ekiplerinin birden fazla yazılım satıcısının kritik uyarıları ile sürekli olarak barındırıldığı bir dünyada, gerçek bir acil durumun neyin oluşturulduğunu belirlemek çok zor olabilir. Güvenlik açığı yönetimi satıcıları, müşterilerinin karşılaştıkları zaman sınırlamalarını anlamalı ve kritik bir güvenlik açığı olarak etiketledikleri konusunda daha mantıklı olmalıdır. Ayrıca, riskin statik ve değişmez bir şey olduğunu varsaymak yerine saldırgan davranışı hakkında bilgileri risk hesaplamalarına dahil etmenin bir yolunu bulmaları gerekir. Mevcut aktivite hakkında bilginin gelmesi genellikle zordur, ancak risk her zaman değişir ve anlayışımızın da değişmesi gerekir.
“Vahşi doğada” neler olduğunu araştırmanın bir yolu – ister yazılım için taranan, ister bu yazılımı numaralandıran, yazılımın varlığını kontrol etmek veya aslında yazılımdan yararlanmak – bir proxy kullanmaktır. Bu, herhangi birinin bu güvenlik açığından yararlanma kapasitesine sahip olup olmadığını belirlemeye yardımcı olur ve bunu yapmaya çalışır.
Genel olarak konuşursak, bir yazılım güvenlik açığını silahlandırmaya çok fazla çalışma gidiyor. Çok zorlu ve gelişmiş teknik beceri gerektiriyor. Bazen saldırganların tıpkı işletmeler gibi kârla derinden motive edildiğini unutma eğilimindeyiz. Saldırganlar bir şeyin çıkmaz olduğunu düşünüyorsa, zamanlarını yatırmak istemeyeceklerdir. Bu nedenle, saldırganların proxy aracılığıyla ne yaptığını araştırmak, belirli bir güvenlik açığını ne kadar önemsemeniz gerektiğini anlamanın iyi bir yoludur.
2023’ün ikinci çeyreğinde, Geynoise araştırmacıları bazı düzenli internet tarama deyimlerinin davranışında önemli bir değişiklik gözlemlediler. Envanter taramaları – hem iyi huylu hem de kötü niyetli aktörlerin belirli bir teknoloji veya belirli bir güvenlik açığı için düzenli kontroller yapması – frekans ve ölçekte önemli ölçüde azaltılmıştır. Bu tür taramaların büyük çoğunluğu artık iyi huylu kaynaklardan geliyor. Bu, yeni bir güvenlik açığının duyurulmasından sonra kuruluşların tehlikeye girme hızı ile birlikte, daha yetenekli saldırgan gruplarının kendi “saldırı yüzeyi izleme” biçimlerine sahip olduğunu ve mevcut savunmaları açmamak için kullanmayı güçlü bir şekilde önermektedir.
Bu hedeflenen saldırılar, mevcut savunma yeteneklerini atlatmak ve kuruluşları yeni bir yıkıcı ihlal dalgasına maruz bırakmakla tehdit ediyor. Ağlarını yeterince korumak için, savunucuların yanıt olarak gelişmesi gerekir.
Nihayetinde, siber güvenlik verileri için böyle bir şey ve tek bir gerçek kaynağı var. Ancak, gürültüyü önceliklendirmenize ve kesmenize yardımcı olacak bazı harika kaynaklar var:
- Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın bilinen sömürülen güvenlik açıkları (Cisa Parçaları) Katalog güvenlik açığı yönetimi önceliklendirmesi için bir kaynak olarak vahşi doğada sömürülen yetkili bir güvenlik açıkları kaynağıdır.
- . Tahmin Tahmin Puanlama Sistemi (EPSS) Güvenlik ekiplerinin tehditleri öngörmesine ve azaltmasına yardımcı olan veriye dayalı bir öngörücü güvenlik açığı yönetimi çerçevesi.
- . Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Güvenlik açıklarının doğal şiddetini özelliklerine ve potansiyel etkilere dayalı olarak ölçer.
- InfoSec arama platformları maruz kalan cihazları bulmaya, tehditleri izlemeye, mızrak kimlik avı simülasyonlarına hazırlanmaya ve daha fazlasına yardımcı olabilecekleri için güvenlik araştırmacıları ve analistler için değerlidir.
Bu kaynakları kullanmak ve risk faktörlerini dinamik olarak nasıl değerlendireceğinizi daha iyi anlamak, güvenlik açığı yönetimine daha bütünsel bir yaklaşım benimsemenizi sağlayacaktır.
Yazar hakkında
Corey Bodzin, bir güvenlik uzmanı ve olağanüstü ekipler ve ürünler geliştirme deneyimi olan 25 yılı aşkın deneyime sahip kanıtlanmış bir liderdir. Greynoise Intelligence’ın baş ürün sorumlusu olarak, vizyondan infaza kadar ürün stratejisi ve gelişimine öncülük ediyor. Greynoise’den önce Bodzin, kurumsal altyapı için tedarik zinciri güvenliği sağlayan bir şirket olan Eclypsium’un baş ürün memuru olarak görev yaptı. Daha önce Tenable Network Security’de Ürün Operasyonları ve Ürün Yönetimi Başkan Yardımcısı olarak görev yaptı ve Automox, Deepwatch, Extrahop, RSA (EMC’nin Güvenlik Bölümü), NCircle ve Qualys gibi yenilikçi güvenlik şirketlerinde üst düzey ürün ve teknoloji pozisyonları düzenledi. Kariyerine Charles Schwab, Wells Fargo ve Lucent Technologies gibi büyük finansal hizmetler ve telekomünikasyon firmaları için yönetmeye başladı.
Corey’e çevrimiçi olarak https://www.linkedin.com/in/coreybodzin/ ve https://www.greynoise.io/ adresinden ulaşılabilir.