Yazılım güvenlik açıklarının yamalanmasına öncelik vermek için Ortak Güvenlik Açığı Puanlama Sistemini (CVSS) kullanan kuruluşlar, sorunları rastgele düzeltmeye kıyasla potansiyel istismar edilebilirliklerini azaltır, ancak çok fazla değil. Yeni bir çalışma, yazılım kusurları için istismarların yaratılıp yaratılmadığına odaklanmanın daha iyi olduğunu gösteriyor.
Güvenlik açığı yönetim şirketi Kenna Security ve veri bilimi grubu Cyentia Institute tarafından yürütülen analizde, güvenlik açığı raporlarından alınan bilgiler ve bu güvenlik açıklarının gerçek şirketler üzerindeki etkisi kullanılarak güvenlik açıklarını gidermek için en iyi stratejinin belirlenmesine çeşitli faktörlerin yardımcı olup olamayacağı araştırıldı. ve sorunlar için açıklardan yararlanma kodunun yayınlanıp yayınlanmadığı.
Şirketler, verileri analiz etmenin yanı sıra, güvenlik açığı iyileştirmeye öncelik vermek için farklı stratejilerin etkisini belirlemek için simülasyonlar gerçekleştirdi.
CVSS tarafından yapılan triyaj sorunları, bir şirketin kusurları ne kadar hızlı düzeltebileceğine bağlı olarak, istismar edilebilirliği rastgele bir stratejiden iki ila altı kat daha fazla azaltırken, açıklardan yararlanma kodunun varlığına göre öncelik verilmesi, istismar edilebilirliği 22 ila 29 kat azaltıyor. .
Kenna Security’nin kurucu ortağı ve baş teknoloji sorumlusu Ed Bellis, “Başka bir şey yapamıyorsanız, açıklardan yararlanma koduyla başlayın” diyor. “Sömürü koduna sahip olan ve sahip olduğunuz güvenlik açıklarına bakarsanız, bu, yalnızca bunları düzelterek riskinizi hemen azaltacaktır.”
İyileştirme stratejileri şirketler için önemlidir, çünkü 20.000’den fazla güvenlik açığı 2021’de Ulusal Güvenlik Açığı Veritabanına giriş yapıldığında, firmaların her sorunu hızlı bir şekilde düzeltme şansı çok az. Aslında, ortalama bir şirket her ay ortamındaki kusurların yalnızca yaklaşık %15’ini düzeltirken, firmaların dörtte üçü sistemlerindeki güvenlik açıklarının %27’sinden daha azını yamalıyor, şirketler raporlarında, “Tahmine Önceliklendirme: Kullanılabilirliği Ölçme ve En Aza İndirme“
Rapora göre, kusurları daha hızlı düzeltmek, istismar olasılığını azaltır, ancak yüksek “düzeltme kapasiteleri” olan şirketler mutlaka doğru sorunları düzeltmiyor.
“[M]Raporda, sömürülebilirliği en aza indirmek, yalnızca daha fazlasını yapmak veya daha hızlı yapmak meselesi değil,” diyor.[S]bazı düşük kapasiteli firmalar düşük sömürülebilirlik elde etmeyi başarır, bazıları yüksek iyileştirme kapasitesine sahip bazıları hala nispeten sömürülebilir ve diğerleri her yerde arada kalır.”
Twitter İfadeleri ve Diğer “Metrikler”
Kenna ve Cyentia tarafından toplanan verilere göre, 2021’de şirket ortamlarında bulunan güvenlik açıklarının payı, yıl için rapor edilen toplamın yaklaşık beşte biri ila dörtte biri arasında yer aldı ve önceki dört yıla kıyasla önemli ölçüde düştü. Bununla birlikte, hem kurumsal ortamlarda hem de bilinen açıklardan yararlanma koduna sahip güvenlik açıklarının oranı, toplamın %4’üne düşmektedir.
Bellis, şirketlerin bu sorunları öncelik sırasına koyarak en büyük riski temsil eden yazılımı yamalayabileceklerini söylüyor.
“Tüm CVE’leri düşünürseniz [vulnerabilities] Ulusal güvenlik açığı veritabanında, şirketlerin ve kuruluşların çalıştırmadığı yazılımlara uygulanan pek çok şey var – örneğin, tüketici tabanlı,” diyor ve “Ya da şirketlerin olmadığı bir güvenlik açıkları sınıfı olabilir. tarama yapıyor veya aramıyorlar – aslında sahip oldukları ancak aramadıkları belirsiz bir IoT yazılımı güvenlik açığı.”
Ortak Güvenlik Açığı Puanlama Sistemi, bir güvenlik açığının potansiyel ciddiyetini derecelendirmenin bir yoludur. Bununla birlikte, saldırganlar daha çok çabayı en aza indiren stratejiler tarafından yönlendirilir – örneğin, halihazırda mevcut olan açıklardan yararlanma kodunu kullanarak. Bu nedenle, mevcut açıklardan yararlanma koduna sahip güvenlik açıklarına öncelik vermek mantıklıdır.
Analiz, CVSS tarafından sorunların yamalanmasına öncelik verilmesinin rastgele bir stratejiyi yalnızca küçük bir oranda iyileştirdiğini buldu – hatta yamalaması en kolay yazılımın ilk önce uygulanması bile CVSS tabanlı bir stratejiyi iyileştiriyor.
Jay Jacobs, “CVSS’nin peşinde olduğu şeylerin ilginç ve toplamak için iyi veri noktaları olduğunu düşünüyorum, ancak sorun şu ki, insanlar bir puan istiyorlar ve bu puan uygulandığında, yanlış kullanıyorlar – bir risk olarak,” diyor Jay Jacobs. Cyentia Enstitüsü’nün kurucusu ve baş veri bilimcisi. “Gittiğini görmek istemiyorum, ancak puanlamayı tamamen bırakabilir ve sadece diğer önceliklendirme biçimlerini kullanabiliriz.”
Aslında, rapora göre, Twitter’dan bahsedenlerin sayısını kullanmak, hem CVSS tabanlı hem de ilk yama için en kolay stratejileri geliştiriyor. Bir sonraki en iyi strateji, belirli bir ortamda en çok gözlemlenen güvenlik açıklarına odaklanmak. Yine de, açıklardan yararlanma kodunun varlığına göre öncelik verilmesi, diğer dört stratejinin tamamında önemli bir gelişmedir.
“[V]Rapora göre, güvenlik açığı yönetimi akılsız, sonsuz bir bulma ve düzeltme döngüsü değildir. “Kuruluşlar, kullandıkları stratejiler ve yetenekler aracılığıyla saldırı yüzeyleri üzerinde büyük bir kontrole sahiptir.”