bu Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yakın zamanda yayınlanan Bağlayıcı İşlemler Direktifi 22-01 aktif olarak yararlanılan güvenlik açıklarıyla ilişkili riski azaltmayı amaçlar. Direktif eşlik etti Bilinen istismar edilen güvenlik açıkları kataloğu zorunlu iyileştirme son tarihlerini içeren CISA tarafından sağlanır. Esasen, ilgili kurum ve kuruluşlar için “bunları hızlı bir şekilde düzeltin ya da başka” anlamına gelir.
CISA tarafından doğru yönde akıllıca bir hareket olduğunu düşünüyorum. Nedenini son Cyentia Enstitüsü araştırmalarından bazı istatistikler ve çizelgelerle açıklayacağım.
Ortaklığımızdan çizelge “Tahminde ÖnceliklendirmeKenna Security ile yapılan araştırma, CISA’nın neden böyle bir direktife ihtiyaç duyulduğunu hissettiğini gösteriyor. CVE Listesi yıllar içinde önemli ölçüde artmıştır. Bu grafiği oluşturduğumuzda 2021 henüz bitmemişti, bu nedenle geçen yılın yayınlanan 20.000 güvenlik açığını aşan ilk yıl olduğunu göstermiyor!
Bu artan güvenlik açığı dalgasının bir kısmı, şu şekilde popüler hale gelen eğilime bağlıdır: dünyayı yiyen yazılım. Kısmen, tüm bu yazılımlar için güvenli kod yazma mücadelesinden kaynaklanmaktadır. Ancak, 2017 dolaylarında güvenlik açığı artışının birincil nedeni, sürekli büyüyen bir güvenlik açığı listesi aracılığıyla daha iyi raporlama yapmaktır. CVE Numaralandırma Yetkilileri. Sebep ne olursa olsun, pratik sonuç, güvenlik programlarının değerlendirmek ve düzeltmek için sürekli bir güvenlik açığı seli tarafından boğulmasıdır.
Ne yazık ki, birçoğu bu selde boğuluyor. Yine “Prioritization to Prediction Vol 8″den alınan aşağıdaki şekle göre, çoğu kuruluş, ortamlarındaki güvenlik açıklarının dörtte birinden daha azını aylık olarak düzeltir. Yeni güvenlik açıkları ortaya çıkmazsa, sonunda yakalarlardı. Ancak Şekil 1’e bir bakış bize, güvenlik açığı yönetiminde yorgun olanlar için dinlenmenin olmadığını hatırlatıyor.
Yıllar boyunca analiz ettiğimiz verilerde sunulan tek mola, kuruluşların düzeltme yapmasına gerek olmadığıdır. tüm onların güvenlik açıkları. Sadece gerçek riski temsil edenleri düzeltmeleri gerekiyor. Ama bu kaç tane?
Şekil 1’de farklı renkli bölümleri fark etmiş olabilirsiniz. Her çubuğun yüksekliği, yayınlanan güvenlik açıklarının sayısına karşılık gelir. Açık mavi, incelediğimiz yüzlerce kuruluş tarafından yönetilen üretim varlıklarında gözlemlenen yayınlanmış CVE’lerin oranını temsil eder. Kırmızı kısım, bilinen açıklardan yararlanma koduna veya vahşi doğada etkin açıklara (diğer bir deyişle “yüksek risk”) sahip güvenlik açıklarını işaret eder. Şekil 2’ye göre iyileştirme kapasitesi sınırlı olduğundan, önce kırmızı (istismar edilmiş) olanları düzeltmek mantıklı değil mi?
Ben de öyle düşünüyorum. İşte tam da bu yüzden daha önce CISA’nın BD 22-01 ile akıllıca bir hamle yaptığını söylemiştim. CISA’nın düzeltilmesi gereken güvenlik açıkları kataloğu kapsamlı olduğunu iddia etmez (veya buna ihtiyaç duymaz). Odak noktası “önemli risk taşıyanlar” üzerinedir. Bu yazı itibariyle, katalog 377 istismar edilmiş güvenlik açığı içeriyor. Bu, CVE Listesinde yayınlanan ~ 170.000 güvenlik açığının çok küçük bir kısmını (% 0,22) temsil ediyor. Bu çok mu az? Çok fazla? Anladın mı? Pekala, daha basit bir soruyla başlayalım: Bu, istismar edilen tüm güvenlik açıklarını temsil ediyor mu?
Bu zor bir hayır. bu önceki cilt “Tahmin için Önceliklendirme” raporunda, yayınlanan tüm CVE’lerin %2,5’ini hedefleyen kullanım etkinliği bulundu. Bu orana göre, katalog mevcut boyutunun 10 katından fazla olmalıdır. Ancak kataloğu kınamadan önce, “vahşi doğada” istismarın çok sayıda kuruluşu hedef alan yaygın saldırılarla aynı anlama gelmediğini unutmayın. Son bir çizelge, bunu netleştirmeye yardımcı olmalı ve sömürü faaliyetinin yaygınlığı hakkında bazı yararlı istatistikler sağlamalıdır.
Argüman adına, kuruluşların en az %1’ine yönelik istismar girişimlerini kaydeden herhangi bir güvenlik açığının firmanız için önemli bir risk oluşturduğunu varsayalım. Şekil 3’e göre, istismar edilen CVE’lerin yaklaşık %6’sı bu eşiği aşmaktadır.
Peçetenin arkasından biraz matematik: CVE’lerin %2,5’i vahşi doğada kullanılıyorsa ve bunların %6’sı risk eşiğimizi aşıyorsa, o zaman %0,15’i (%2,5 x %6) kuruluşumuz için önemli bir riski temsil eder. Bu, CISA kataloğundaki CVE’lerin yüzdesine (%0.22) oldukça yakın (ve daha düşük). Ve en önemlisi – ve cesaret verici – çoğu kuruluşun tipik iyileştirme kapasitesinden (~%15) çok daha azdır.
Dolayısıyla her şey, kuruluşun en riskli güvenlik açıklarını belirleme ve öncelik sırasına koyma becerisine geri dönüyor. CISA’nın kataloğu, sömürüden kaçınmanın en önemli yolu mu? Hayır. Ancak, riske dayalı güvenlik açığı yönetimi dalgasının altında boğulmak yerine bu dalgayı sürmek isteyen kuruluşlar için harika bir başlangıç noktasıdır.