Analiz, birçok kişinin şaşırtıcı bir içgörü olarak değerlendireceği şeyi ortaya çıkardı: Her zaman tüm yazılımlarını en yeni sürümlerine güncelleyen kuruluşlar, siber casusluk kampanyalarında, bir güvenlik açığı ifşa edildikten sonra yalnızca belirli güncellemeleri uygulayanlarla kabaca aynı riske sahiptir.
İtalya, Trento Üniversitesi’nden araştırmacılar tarafından 2008 ve 2020 yılları arasında 350 gelişmiş kalıcı tehdit (APT) kampanyasından elde edilen verilere nicel bir bakış, tamamen reaktif bir yazılım güncelleme stratejisine sahip kuruluşların, gelişmiş siber saldırılara karşı kabaca aynı riske maruz kaldığını gösteriyor. her konuda güncel. Bu, deneklerin her zaman güncellenen kuruluşların hemen yaptığı güncellemelerin yalnızca %12’sini dağıtmasına rağmen.
Veriler, aynı şeyin, önceden aldıkları bilgilere dayalı olarak, örneğin sıfır gün hakkında bilgi için ödeme yaparak, güvenlik açıklarına yama güncellemeleri uygulayabilecek kuruluşlar için de geçerli olduğunu gösteriyor. Çalışma, bu kuruluşların bile, ihlal riski söz konusu olduğunda yalnızca reaktif bir temelde yama yapanlara göre önemli bir avantajı olmadığını gösteriyor.
APT’ler için Reaktif Yama Uygulaması Neden Uygun Olabilir?
Bu, geleneksel görüşle örtüşmese de, çalışma sonuçları iki gerçeği yansıtıyor: 1) APT’lerin kendileri gerici olma eğilimindedir ve 2) yama zamanı metrikleri önemlidir.
Araştırmacılar, 2008 yılına kadar uzanan yaklaşık 350 kampanyayı (kullanılan güvenlik açıkları, saldırı vektörleri ve etkilenen yazılım ürünleri hakkında bilgiler dahil) analiz ederken, APT’lerin genel olarak sıfır günleri hedeflediğinden daha sık kamuya açıklanmış güvenlik açıklarını hedeflediğini buldu. Ayrıca, kampanyalarında aynı bilinen güvenlik açıklarını sık sık paylaşma veya hedefleme eğilimindeydiler.
Toplamda, araştırmacılar, 2008 ve 2020 yılları arasındaki kampanyalarında toplam 118 benzersiz güvenlik açığından yararlanan 86 farklı APT grubu belirledi. Bu tehdit gruplarından yalnızca sekizi kampanyalarında özel güvenlik açıkları kullandı: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8 , DarkHydrus ve Rancor.
Bu, BT ekiplerinin, ödün verme riskinin çoğunu ortadan kaldırmak için APT’nin favorileri olduğu bilinen bu hatalara öncelik verme fırsatı olduğu anlamına gelir.
Risk Kabaca Aynı Kalıyor
Çalışma, yazılım güncellemelerini doğal olarak yayınlandıkları anda uygulayabilen organizasyonların hala en düşük tehlikeye maruz kalma ihtimaliyle karşı karşıya olduğunu gösterdi. Ancak, bir güncellemeyi uygulamadan önce regresyon testi yapma ihtiyacı, varlıkların yazılımlarını güncellemelerinin genellikle çok daha uzun sürdüğü anlamına gelir. Araştırmacıların, tüm yazılım güncellemelerini uygulayanlar, tepkisel olarak uygulayanlar ve diğerlerinden önceden almış olabilecekleri bilgilere dayanarak güncelleme yapanlar arasında riske maruz kalma açısından çok az fark buldukları yer burasıdır.
Ne de olsa, güvenlik açığı bilgilerini önceden almanın avantajı, bir kuruluşun bilgilere göre harekete geçmesi ne kadar uzun sürerse, o kadar ortadan kalkar.
Örneğin, güncellemelerin yayınlanmasından sonraki bir ay içinde tüm yazılım güncellemelerini uygulayan kuruluşlar, hemen güncelleme yapan kuruluşlara göre kabaca beş ila altı kat daha fazla risk altındaydı. Bu sayı, reaktif bir temelde yama uygulayanlardan (kabaca beş buçuk ila yedi kat daha yüksek risk) daha düşüktü (ancak önemli ölçüde değil); ve önceden bilgiyle hareket edenler (yaklaşık beş ila yedi kat daha yüksek).
Araştırmacılar, reaktif bir temelde hareket eden kuruluşların, tüm güncellemeleri uygulayanlardan çok daha az güncelleme dağıttığını buldu. Araştırmacılar, “Bir CVE yayınlandığında güncellemeyi beklemek sekiz kat daha az güncelleme sunar” dedi. “Bu nedenle, bir kuruluş güncellemelere ayak uyduramıyorsa ve bunları dağıtmadan önce beklemesi gerekiyorsa, yalnızca reaktif olmayı düşünebilir. [as an alternative]”
Kritik Bir Sorun
Yama önceliklendirme konusu, kaynak ve zaman sıkıntısı çeken BT departmanları ve güvenlik kuruluşları için giderek daha kritik hale geldi. Açık kaynak bileşenlerinin artan kullanımı – birçoğunda güvenlik açıkları var – sorunu yalnızca daha da kötüleştirdi. Skybox Araştırma Laboratuvarı’nın geçen yıl yaptığı bir araştırma, toplamda 2021’de 20.175 güvenlik açığı açıklandı. Kenna Security tarafından yapılan bir başka araştırma, neredeyse Tüm kurumsal varlıkların %95’i en az bir istismar edilebilir güvenlik açığı içerir. Trend, risk tabanlı yama önceliklendirmesine olan ilgiyi artırdı ve ABD Siber Güvenlik ve Altyapı Ajansını bir yama yayınlamaya itti. istismar edilen güvenlik açıkları kataloğu Böylece kuruluşlar önce hangilerine odaklanacaklarını bilirler.
Kendi adına, Trento Üniversitesi çalışması, özellikle eğitimin etkinliği ve maliyetine odaklandı farklı yazılım güncelleme stratejileri yaygın olarak kullanılan beş kurumsal yazılım ürünü için: Windows işletim sistemi ortamı için Office, Acrobat Reader, Air, JRE ve Flash Player.
“Özetle, analiz ettiğimiz yaygın olarak kullanılan ürünler için, her zaman ve hemen güncellemeye devam edemiyorsanız (örneğin, bir güncellemeyi dağıtmadan önce regresyon testi yapmanız gerektiği için), o zaman genel olarak bilinen savunmasız sürümlerde tamamen reaktif olmak aynı risk profiline sahiptir. Araştırmacılar, gecikmeyle güncelleme yapmaktan çok, ancak maliyeti önemli ölçüde daha düşük” dedi.