Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) araştırmacılar, güvenlik açığı yönetimini geliştirmek için tasarlanmış yeni bir güvenlik metriği getirdiler.
Önerilen muhtemel sömürülen güvenlik açıkları (LEV) metrik, kuruluşların hangi güvenlik açıklarının sömürülme olasılığını belirleme yeteneğini geliştirmeyi ve daha verimli iyileştirme çabalarını sağlayarak amaçlamaktadır.
Bu gelişme, siber güvenlik ekiplerinin her yıl yayınlanan on binlerce güvenlik açıkına öncelik vermek için mücadele ederken, vahşi doğada aktif olarak sömürülüyor.
.png
)
Her yıl, güvenlik uzmanları yeni yayınlanan on binden fazla yazılım ve donanım güvenlik açıklarını ele alma işiyle karşı karşıyadır.
Teklifin ortak yazarı NIST araştırmacısı Peter Mell’e göre, bu güvenlik açıklarının sadece küçük bir yüzdesi tehdit aktörleri tarafından silahlandırılacak.
“Hangi güvenlik açıklarının kullanılacağını tahmin etme yeteneği, kurumsal güvenlik açığı iyileştirme çabalarının verimliliği ve maliyet etkinliği için çok önemlidir,”
Mell Araştırma Özetinde Notlar. Sınırlı kaynakları olan kuruluşlar, önce hangi güvenlik açıklarının yamacağı konusunda zor kararlar vermeli ve kritik güvenlik açıkları daha az etkili olanlar lehine göz ardı edildiğinde genellikle önemli güvenlik boşluklarına yol açmalıdır.
Mevcut çözümler ve bunların sınırlamaları
Siber güvenlik topluluğu şu anda güvenlik açığı önceliklendirilmesine yönelik iki temel yaklaşıma güvenmektedir.
İstismar Tahmin Puanlama Sistemi (EPSS), güvenlik açığı sömürüsü olasılığını tahmin etmeye çalışır, ancak araştırmacılar bunun güvenlik ekiplerini yanıltabilecek bilinen yanlışlıklar içerdiğini kabul eder.
Buna ek olarak, CISA tarafından sürdürülen bilinen sömürülen güvenlik açıkları (KEV) kataloğu, aktif olarak sömürülen güvenlik açıkları hakkında yetkili bilgiler sağlar, ancak araştırmacılar bu listelerin kapsamlı olmayabileceğini, potansiyel olarak ortaya çıkan tehditler olmayabileceğini uyarmıştır.
Bu sınırlamalar, güvenlik açığı yönetimi süreçlerinde genellikle verimsiz kaynak tahsisine ve potansiyel güvenlik maruziyetlerine yol açan kritik bir boşluk yaratmıştır.
Yeni Metrik Geliştirilmiş Güvenlik Açığı Yönetimi
Önerilen LEV metriği, sömürü faaliyetlerinde belirli bir kırılganlığın gözlenme olasılığı hesaplanmış bir olasılık sağlayarak güvenlik açığı değerlendirme metodolojisinde önemli bir ilerlemeyi temsil etmektedir.
Mevcut çözümlerden farklı olarak, LEV metriği mevcut yaklaşımların eksikliklerini ele alan tamamlayıcı bir araç olarak çalışmak üzere tasarlanmıştır.
Araştırmayı birlikte yazan Cisa’dan Jonathan Spring, “Önerilen olasılık metriği, bazı yanlışlıkları düzelterek EPSS’nin iyileştirilmesini artırabilir ve KEV listelerini kapsamlılığın ölçümlerini sağlayarak geliştirebilir” diyor.
Bununla birlikte, araştırmacılar LEV metriğinin yaygın olarak benimsenmesinin ve etkinliğinin, gerekli performans ölçümlerini ve doğrulama verilerini sağlamak için endüstri ortaklarıyla önemli işbirliği gerektireceğini vurgulamaktadır.
Rapora göre, araştırmacılar bu metriğin kuruluşların kırılganlık yönetimine yaklaşımlarını temelden değiştirebileceğine inanarak güvenlik ekiplerinin sadece teorik risk puanlarından ziyade ampirik sömürü olasılığına dayalı daha bilinçli kararlar almalarına izin veriyorlar.
Kuruluşlar genişleyen bir saldırı yüzeyiyle ve giderek daha karmaşık tehditlerle karşılaşmaya devam ettikçe, LEV metriği gibi araçlar, sınırlı kaynaklarla etkili siber güvenlik duruşlarının korunmasında gerekli olabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!