Bazen çok fazla bilgi karışık bir nimettir. Güvenlik ekipleri, hem saldırı yüzeyi çeşitliliğinde hem de yazılım güvenlik açıklarında önemli bir artışla başa çıkmak için birden çok güvenlik açığı tarayıcısı kullanır.
Ancak kısa sürede kendilerini sonuçlara boğulmuş halde bulurlar ve bu da düzeltilmesi gereken artan bir hata birikimine yol açar. Bu birikim birden çok olumsuz etkiye sahiptir. Kusurların düzeltilmesi zaman aldığından geliştirme sürecini yavaşlatır ve bunları göz ardı etmek aşırı miktarda teknoloji borcuna yol açar.
Birçok ekip, eski uygulamaları ve sınırlı verileri kullanıyor; bu, çalışmaların bir kuruluşun saldırı yüzeyi riskinde azalmaya yol açmadığını gösteriyor. Aslında, RAND Corporation’dan yeni bir analiz olgun güvenlik açığı yönetimi programlarına sahip kuruluşlarda ihlallerde kayda değer bir azalma bulamadı.
Güvenlik açığı yönetimini ele almanın daha iyi bir yolu olmalı. Güvenlik açığı yönetimi konusunda yeniden düşünmeyi öneriyorum.
Çok Fazla Gürültü, Çok Az Sinyal
Güvenlik açığı yönetiminde ileriye dönük yeni yol, güvenlik açığı yönetiminin yalnızca yazılımınızı tehditlere karşı taramakla ilgili olduğu algısını değiştirmeyi gerektirir. Neden? Niye? Çünkü bilgi tarayıcıları, riski azaltan sonraki anlamlı adımlar için size eksik bağlam sağlar.
Rezilion’un kendi çalışma zamanı araştırma analizi ortalama olarak, keşfedilen güvenlik açıklarının yalnızca %15’inin belleğe yüklendiğini ve bu da onları sömürülebilir hale getirdiğini tespit eder. Bu, ortalama olarak kusurların yalnızca %15’inin öncelikli yama ya da hiç yama gerektirdiği anlamına gelir. Risk bağlamını uygulamaktan elde edilecek daha fazla değer vardır. Güvenlik ekipleri, bu boşluklardan nasıl yararlanılabileceğini ve ele alınmadığında ortaya çıkabilecek sonuçları öğrenebilmelidir.
En önemlisi, güvenlik açıklarına önem derecelerine göre öncelik verilmelidir. Ancak ortak güvenlik açığı puanlama sistemine (CVSS) dayalı önemden bahsetmiyorum. Geleneksel yaklaşımlarda, güvenlik ekipleri sık sık çarklarını döndürerek tarama yapıyor ve ardından puanlama sistemi onları kritik olarak gördüğü için ciddi veya acil bir tehdit oluşturmayan güvenlik açıklarını düzeltiyor.
Kritiklik konusundaki bu anlayış eksikliği, güvenlik ve DevOps ekipleri arasında, genellikle güvenliği korurken hız ve iş çevikliği ihtiyacına karşı çıkan ek sürtüşmelere de neden olabilir.
Önemli Olan Yama
Rezilion bir analiz yaptı DockerHub’daki en popüler 20 kapsayıcı görüntüsünün yanı sıra üç büyük bulut sağlayıcısından birkaç temel işletim sistemi görüntüsü: Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP). Buradaki fikir, kaç güvenlik açığının alakalı olmadığını ve hangilerinin gerçek bir risk oluşturduğunu değerlendirmekti.
Bulgular, 4.347’den fazla bilinen güvenlik açığı gösterdi. Bunların %75’i, kritik veya önem derecesi yüksek olarak derecelendirilenlerin belleğe yüklenmedi ve hiçbir risk oluşturmadı. Tabii ki, tüm bunları bir kerede yamalamak zaman alıcı ve neredeyse imkansız olurdu. Buradaki çıkarım, kuruluşların güvenlik açıklarının düzeltilmesine öncelik vermek için çalışma zamanı analizini kullanabilmesi ve büyüyen birikmiş iş yığınından yılmamasıdır. Bir paketteki belleğe yüklenmeyen bir güvenlik açığı saldırgan tarafından kullanılamaz.
Bu yeni yaklaşımla, kuruluşlar sınırlı kaynaklarını kullanarak güvenlik açıklarını iyileştirebilir. aslında gerçek bir sömürü tehdidi oluşturur ve bunları uygun şekilde yamalayın. Bu bilgi düzeyi ve önceliklendirme aynı zamanda geliştirme süresinden tasarruf sağlar ve piyasaya sürme süresindeki gecikmeleri önler.
Güvenlik açığı düzeltmesine öncelik vermek için risk tabanlı bir yaklaşım uygulandığında, iş, önemli bir tehdit oluşturan tehditleri içermeye kayar. Bu da ek yükü ve güvenlik açığı birikimini azaltır. Ayrıca yazılım saldırı yüzeyini küçülterek yamaların uygun şekilde uygulanmasını daha kolay yönetilebilir hale getirir.
Güvenlik Açığı Yönetiminde Değişim Zamanı
Yeni bir güvenlik açığı yönetimi stratejisinin zamanı geldi ve sizin gibi düşünmeniz gereken birkaç şeyi tekrarlamak uygun olur. Statik, puana dayalı veya manuel ilke odaklı izin verme veya engelleme kararlarını uygulamak yerine, sürekli ve uyarlanabilir risk tabanlı kararlar almak için daha fazla bağlam ve çalışma zamanı görünürlüğü kullanın.
Güvenlik ekiplerinin yalnızca CVSS önem puanlarını kullanarak yalnızca güvenlik açığı düzeltmesine öncelik vermediği bir yeniden düşünmeyi savunuyoruz. Bunun yerine, en büyük riski oluşturan güvenlik açıklarına odaklanmanıza izin veren araçlara bakın. senin organizasyon. Rezilion yazılım ortamınızı görmek ve hangi güvenlik açıklarının risk oluşturduğunu ve hangilerinin yama gerektirmediğini belirlemek için araçlar sağlar. Güvenlik ekipleri, gerçek yazılım saldırı yüzeylerini anlamak için gerçek zamanlı bağlama dayalı güvenlik kontrollerini kullanmalıdır. Ancak bağlamı uygulamak için, zayıf noktaları belirlemeye yardımcı olacak verilere ihtiyacınız var. İyileştirme çabalarını en kritik risklere yeniden odaklayın. Aksi takdirde, gürültüde sinyal bulmak için değerli zamanınızı boşa harcarsınız.
yazar hakkında
Rezilion’un CEO’su ve kurucu ortağı olan Liran Tancman, İsrail siber komutanlığının kurucularından biri ve İsrail istihbarat teşkilatında on yıl geçirdi. 2013 yılında Liran, siber tehditlerin nasıl gelişebileceğini tahmin edebilen ve geleceğe yönelik güvenlik sunabilen bir teknoloji geliştiren CyActive adlı şirketin kurucu ortağı oldu. Liran, CyActive’in CEO’su olarak görev yaptı ve kuruluşundan 2015’te PayPal tarafından satın alınmasına kadar onu yönetti. Satın almanın ardından Liran, PayPal’ın müşterilerini güvence altına almak için en son teknolojileri geliştirmekten sorumlu PayPal’ın küresel Güvenlik Ürünleri Merkezi’ne başkanlık etti.