Yirmi yıl önce Microsoft, “öngörülebilirlik ve daha iyi yönetim unsuru sunarak BT yöneticilerinin üzerindeki yükü azaltmak” amacıyla Patch Tuesday’i başlattı. Amaç, büyük ölçüde bir sürece yapı kazandırmaktı. geçici. BT departmanları ve sistem yöneticileri, gerekli güvenlik güncellemelerinin ve yamaların çoğunu planlı bir sürüm döngüsünde birleştirerek, bir yamanın yayınlanmasının ardından ortaya çıkan bazı ikilemleri çözmek için kaynakları daha iyi planlayabilir ve tahsis edebilir. Bugün, Salı Yaması güncelliğini koruyor ve Microsoft her ayın ikinci Salı günü güvenlik güncellemelerini yayınlıyor.
Ancak program, tek seferlik acil durum düzeltmeleri dışında sabit kalsa da, Ekim 2003’ten bu yana işler değişti. Şirketler hızla bulutu benimsedi ve uzaktan çalışmayı desteklemek için geleneksel güvenlik önlemlerini ortadan kaldırdı; bu da sayının önemli ölçüde artmasına yol açtı. Yönetilecek uç noktaların, bağlı cihazların, uygulamaların ve bulut ortamlarının. Bu, güvenlik açıklarının ortaya çıkması için daha büyük bir saldırı yüzeyi oluşturdu.
Microsoft ürün ekosistemi de çeşitli teknolojileri, yazılımları, uygulamaları ve bulut bilişim tekliflerini kapsayacak şekilde önemli bir büyüme kaydetti. Bu durum, tüm teknolojileri etkileyen güvenlik açıklarının sayısında artışa ve kurumsal güvenliğe yönelik tehditlerde artışa neden oldu. Ancak güvenlik açıklarındaki bu büyük büyümeyi ve bunları hedef alan siber saldırıları yönetme sorumluluğu genellikle satıcıdan müşteriye kaydırılıyor.
Bu, birçok güvenlik ve/veya BT ekibi için Salı Yamasının neden artık çekişmeli yama ortamında umut verici bir işaret olmadığını açıklıyor. Bunun yerine, bu ekipler yamaları önceliklendirmek, bunların yukarı yöndeki etkilerini anlamak ve bir düşmanın güvenliklerini tehlikeye atacak güvenlik açıklarından yararlanmadan önce harekete geçmek için çabaladığı için, her ay onları bekleyen kabusun bir sembolü haline geldi.
Yirmi yılı aşkın bir süre sonra Microsoft’un güvenlik açıkları katlanarak arttı
Microsoft ürünlerinin her yerde bulunması ve güvenlik açıklarının sayısı, devasa bir saldırı yüzeyi yarattı; dünyada bilgisayarlar, masaüstü bilgisayarlar ve tabletler için en yaygın olarak kullanılan Microsoft Windows işletim sisteminin popülaritesi göz önüne alındığında bu şaşırtıcı değil. bir araştırmaya göre.
Düşmanlar sürekli olarak ortamlarda can kayıplarına yol açabilecek zayıf noktalar arıyor. Patch Tuesday’in yıllar içindeki büyümesinin de gösterdiği gibi, Microsoft’un güvenlik açıkları saldırılar için geniş bir üreme alanı sağlıyor.
Salı Yaması uygulandığından bu yana Microsoft, çoğunluğu son yıllarda olmak üzere 10.900’den fazla yama yayınladı. Böylece Microsoft, 2016’dan bu yana 124 benzersiz sıfır gün güvenlik açığını ve kritik olarak sınıflandırılan 1.200’den fazla güvenlik açığını düzeltirken, 5.300’den fazlası da ciddiyet açısından önemli olarak sınıflandırıldı. “Kritik” ve “önemli” olarak adlandırılan güvenlik açıklarına ilişkin olarak 630’dan fazla yararlanma vektörü bulunmaktadır. Microsoft, yalnızca 2023 yılında 800’den fazla güvenlik açığını kapsayan düzeltmeler yayımladı.
Tüm bu veriler CVE Ayrıntıları şirketinin web sitesinde mevcuttur.
Güvenlik açıklarının sayısının fazla olması büyük görünebilir ancak aslında sorunun boyutunu gizlemektedir. Nitekim Microsoft’un 2016’dan bu yana yama yayınladığı 1.200’den fazla benzersiz kritik güvenlik açığı göz önüne alındığında ve aynı güvenlik açıklarının birden fazla Microsoft ürününü etkilediğini hesaba katarsak, kritik güvenlik açıklarının toplam sayısı 21.000’in üzerine çıkmaktadır. Ancak her zaman istisnalar vardır. ve spesifik iyileştirme süreçleri farklılık gösterebilir.
Microsoft’un güvenlik açıklarının çoğalması, yama sürecinin iyileştirilmesinden elde edilen verimlilik kazanımlarını fazlasıyla dengeledi. Pek çok BT ve güvenlik ekibi için Salı Yaması gerçek bir yük haline geldi ve onları önceliklendirilecek kritik noktaları, kendilerini en fazla tehlikeye maruz bırakanları, BT üzerinde önemli bir etkiye sahip olabilecekleri ve risk altında olanları belirleme çabalarını iki katına çıkarmaya zorladı. şirketi kurtarabilir veya mahvedebilir. Ekip öncelikleri belirlemeye çalışırken yeni güvenlik açıklarının ortaya çıkması sıklıkla karşılaşılan bir durumdur.
Tüm bunların sonuçları zaman, maliyet, kaynak ve riskler açısından dikkate değerdir. Infosec Enstitüsü’ne göre, bir güvenlik açığını yamalamak için gereken ortalama süre 60 ila 150 gün arasında değişebilir ve bazı güvenlik ve BT ekipleri “yamayı yayınlamak için en az 38 gün” sürebilir. Müdahalelerin hızı, modern düşmanın hızına ve zayıf noktalardan yararlanma becerisine uymuyor.
Bir güvenlik açığı yeterince hızlı bir şekilde düzeltilmezse ve bir ihlal meydana gelirse, mağdur genellikle güvenlik önlemlerine uymamaktan ve yama uygulamamaktan sorumlu tutulur. Dolayısıyla Microsoft’un kusurlarının boyutunun sorunu bir kez daha müşteriye kaydırdığı bilinmeyen bir şey var; bu sorun, rakipler kusurları kötü amaçlarla kullanmaya devam ettikçe büyümeye devam ediyor.
Modern düşmanın saldırı alanı olan Microsoft güvenlik açıkları
Microsoft ürünlerindeki güvenlik açıkları fiilen modern düşmanın saldırı yüzeyi haline geldi. Dolayısıyla düşmanların bu büyüyen sorunu bir silah olarak kullanması şaşırtıcı değil.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan bir araştırmaya göre, düzenli olarak yararlanılan ilk on iki güvenlik açığından dördü Microsoft ürünlerinde bulunuyor. Ayrıca Microsoft’un fidye yazılımı saldırılarında yararlanılan güvenlik açıkları listesinin başında yer aldığını belirtiyor. Bu nedenle, fidye yazılımı dağıtmak için yararlanılan güvenlik açıklarının %40’ından fazlası Microsoft ürünleriyle ilişkilendirilebilir.
Düşmanlar mevcut güvenlik açıklarından yararlanırsa, artık yeni bir döneme, “zafiyetlerin yeniden keşfedilmesine” giriyorlar. CrowdStrike 2023 Küresel Tehdit Raporu’ndan elde edilen bulgulara göre, saldırganlar önceki yamaları ele geçirirken aynı güvenlik açığına sahip diğer ürünleri hedeflemek için aynı süreci değiştiriyor veya yeniden uyguluyor.
Bu etkinliğin bir örneği olarak rapor, “2021’deki ProxyLogon ve ProxyShell kampanyaları sırasında Microsoft Exchange’i tehlikeye atmak için kullanılan proxy mekanizmalarının, bu kez ProxyNotShell (CVE-2022-41040 ve CVE-) adı verilen kimliği doğrulanmış bir varyant kullanılarak 2022’nin 4. çeyreğinde yeniden hedeflendiğine dikkat çekiyor. 2022-41082). ProxyNotShell’in hafifletici etkileri daha sonra fidye yazılımıyla bağlantılı aktörlerin aynı hedeflere ulaşmak için CVE-2022-41080’den yararlanan başka bir istismar vektörü kullanmasıyla atlatıldı.
Güvenlik açıklarının yüksek hacmi ile test ve düzeltme süreci, kuruluşlarını saldırılara karşı korumaya çalışan ekipleri yavaşlatabilir.
Salı günü yamanın güvenlik ve BT liderlerine rakip karşısında avantaj sağlaması gerekiyordu, ancak Microsoft’un son yıllardaki güvenlik açıklarının hacmi tam tersi bir etki yarattı. Sistemlere yama uygulanması, ayarların değiştirilmesi ve diğer benzer eylemler, iş araçlarını ve veri akışlarını etkiler. Tüm bu değişikliklerin üretkenlik üzerinde önemli bir etkisi olması muhtemeldir. Buna, düzeltmelerin yokluğuna bağlı risk de eklenir. Saldırganların güvenlik açıklarından yararlanma oranı artmaya devam ediyor.
Salı Yaması kendi başına bir sorun olmasa da, sektörü etkileyen daha geniş güvenlik açıkları sorununun simgesi haline geldi. Microsoft gibi şirketler daha güvenli ürünler oluşturmaya ve yama yükünü hafifletmeye başlamadan önce, kuruluşların karşılaştıkları riskleri anlamaları ve en fazla hasara neden olabilecek güvenlik açıklarını ortaya çıkarmak ve önceliklendirmek için proaktif adımlar atmaları gerekir.
Koruma söz konusu olduğunda şu soru sorulmaya değer: Kime güveniyorsun? Güvenlik satan bir satıcıya, aynı zamanda bu kadar yüksek hacimli kritik güvenlik açıklarından da sorumlu olduğunda güvenilebilir mi?
