Yalnızca geçen yıl 30.000’den fazla yeni güvenlik açığı yayınlandı ve Skybox Security’ye göre yaklaşık her 17 dakikada bir yeni bir güvenlik açığı ortaya çıkıyor; bu da haftada ortalama 600 yeni güvenlik açığı anlamına geliyor.
Rapor, düzeltme çabalarında kritik bir boşluğun altını çiziyor; ortalama yama süresi 100 günü aşıyor; bu durum, yeni güvenlik açıklarının %75’inden 19 gün veya daha kısa sürede yararlanıldığı bulgusuna tezat oluşturuyor. Bu bulgular, artan siber saldırı risklerine karşı korunmak için sürekli maruz kalma yönetimine ve modern güvenlik açığı azaltma stratejilerine olan acil ihtiyacın altını çiziyor.
2023 yılı, Ulusal Güvenlik Açığı Veritabanının (NVD) bir önceki yıla göre %17 artış kaydetmesiyle güvenlik açıklarında bir artışa tanık oldu. NVD’nin otuz yıl önceki başlangıcından bu yana 234.579 CVE kataloglandı, ancak bunların yarısı yalnızca son beş yıl içinde keşfedildi.
2023’teki güvenlik açıklarının yarısının yüksek veya kritik olduğu değerlendiriliyor
Skybox, yeni keşfedilen güvenlik açıklarının neredeyse yarısının yüksek veya kritik olarak sınıflandırıldığını buldu. Bu ezici akın, güvenlik ekipleri için bir “odaklanma boşluğu” yaratıyor. Tehditlerin çok büyük olması, etkili bir şekilde önceliklendirilmesini zorlaştırıyor, potansiyel olarak kritik risklerin gözden kaçırılmasına ve kuruluşların açıkta kalmasına neden oluyor.
Güvenlik açıklarındaki artış, sektörde devam eden endişelerden kaynaklanıyor, bunlardan bazıları şunlar:
- Daha fazla birbirine bağlı cihazla hızla genişleyen bir saldırı yüzeyi.
- Üçüncü taraf bileşenlerde gizli güvenlik açıkları bulunan, giderek daha karmaşık hale gelen yazılım.
- Güvenlik açıklarını ortaya çıkarmaya yönelik daha fazla kaynağın kullanılması yönündeki olumlu eğilim, doğal olarak daha fazla sayıda kaynağın tespit edilmesine yol açıyor.
Skybox Security CEO’su Mordecai Rosen, “Geçtiğimiz yıl, dünya çapındaki kuruluşların siber tehditlerin hem hacminde hem de karmaşıklığında benzeri görülmemiş bir artışla karşı karşıya kalmasıyla siber güvenlik açısından bir dönüm noktası oldu” dedi. “Yamalama hayati bir savunma olmaya devam ediyor, ancak sınırlamaları açık. Etkili güvenlik açığı yönetimi yama uygulamasının ötesine geçer. Sürekli tanımlamayı, riske dayalı önceliklendirmeyi, zamanında hafifletme için mevcut kontrollerden yararlanmayı ve etik siber güvenlik uygulamalarını içerir. Bu kapsamlı yaklaşım, kuruluşlara modern tehditlerin karmaşıklığıyla başa çıkma gücü veriyor.”
Bu rapor, kritik bir siber güvenlik zorluğunu daha da açığa çıkarıyor: güvenlik açığı düzeltme için daralan bir pencere. Ortalama istismar süresi (MTTE) 2023’te sadece 44 güne düştü ve güvenlik açıklarının endişe verici bir şekilde %25’i aynı gün ve şaşırtıcı bir şekilde %75’i 19 gün içinde istismar edildi.
Bu hızlı kullanım zaman çizelgesi, CVE’nin yayınlanmasından düzeltmeye kadar geçen 95-155 günlük uzun süreyle keskin bir tezat oluşturuyor. Bu hızlı istismar zaman çizelgesi ve kötü amaçlı etkinliklerin tespit edilmesindeki uzun gecikme, kuruluşların hızlı ve etkili yanıt mekanizmalarını gerektirmektedir. Yeni güvenlik açıklarının düzeltilmesi için çok kısa bir pencere var ve bu da, hızlı bir şekilde harekete geçilmezse siber suçlulara ağları tehlikeye atmak için yeterli zaman bırakıyor.
Geleneksel güvenlik açığı tarama yöntemlerinin dezavantajları
Geleneksel güvenlik açığı tarama yöntemleri, günümüzdeki güvenlik açıklarındaki artışa ayak uydurmakta zorlanıyor. Bu hacim, en çalışkan güvenlik ekiplerini bile bunaltıyor ve e-tablo tabanlı izleme ve yama uygulama döngülerini etkisiz hale getiriyor. Bu nedenle kuruluşlar giderek daha fazla modern güvenlik açığı yönetimi çözümlerine yöneliyor.
Sürekli bir risk yönetimi programına entegre edilmiş modern bir güvenlik açığı yönetimi yaklaşımı, daralan iyileştirme pencereleriyle mücadelede hayati önem taşıyor. Şirketler aşağıdakileri benimseyerek risklerini azaltabilir ve ortalama iyileştirme süresini (MTTR) kısaltabilirler:
Sürekli güvenlik açığı tespiti: Sistemler ve ağlar genelinde sürekli olarak yeni güvenlik açıklarını keşfetmek için otomatikleştirilmiş tekniklerden yararlanmak.
Risk bazlı önceliklendirme: Tüm güvenlik açıkları eşit şekilde oluşturulmamıştır. Etkili güvenlik açığı yönetimi, istismar edilebilirlik, kritik sistemler veya veriler üzerindeki potansiyel etki ve yamaların varlığı gibi faktörlere dayalı olarak tehditleri önceliklendirir. Bu, güvenlik ekiplerinin öncelikle en kritik konulara odaklanmasını sağlar.
Mevcut kontrollerden yararlanma: Güvenlik açığı yönetimi çözümleri, bir yama yayınlanmadan önce bile belirli güvenlik açıklarının oluşturduğu riskleri azaltmak için bu kontrollerin nasıl kullanılabileceğini belirlemeye yardımcı olabilir.
Etik ve yasal uyumluluk: Siber güvenlik teknik önlemlerin ötesine geçer. Etkili güvenlik açığı yönetimi, ilgili veri gizliliği düzenlemelerine ve sorumlu testlere uyulmasını sağlar.