Yeni siber güvenlik açıkları, 2021’de daha önce hiç görülmemiş bir hızda arttı ve güvenlik açıklarının sayısı tek bir yılda şimdiye kadar bildirilen en yüksek seviyeye ulaştı. Güvenlik tavsiyelerini günlük olarak izleyen bir tehdit analisti olarak şunu da gözlemledim: Vahşi doğada sömürülen yeni güvenlik açıklarında %24 artış
geçen yıl – tehdit aktörlerinin ve kötü amaçlı yazılım geliştiricilerinin yeni güvenlik açıklarını silahlandırmada daha iyi hale geldiğini gösteriyor. Güvenlik açıkları eşi benzeri görülmemiş bir hızla çoğalmakla kalmıyor, aynı zamanda tehdit aktörleri de bir dizi yeni kötü amaçlı yazılım ve açıklardan yararlanma yarışında daha iyi hale geldi.
Bu bulgular tarafından pekiştirildi Nisan 2022’de yayınlanan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) uyarısı: “Küresel olarak, 2021’de kötü niyetli siber aktörler, e-posta sunucuları ve sanal özel ağ (VPN) sunucuları gibi internete açık sistemleri yeni ifşa edilen güvenlik açıklarından yararlanarak hedef aldı. En çok yararlanılan güvenlik açıklarının çoğu için, araştırmacılar veya diğer aktörler kanıt yayınladı Güvenlik açığının açıklanmasından sonraki iki hafta içinde konsept (POC) kodu, muhtemelen daha geniş bir kötü niyetli aktörler yelpazesi tarafından istismarı kolaylaştırıyor.”
Aktif Tehditlere ve Maruz Kalmaya Odaklanma
Her yıl güvenlik açıklarındaki bu bileşik artışın bir gümüş astarı var: Kulağa ne kadar mantıksız gelse de, tüm güvenlik açıklarını düzeltmek çoğu kuruluş için büyük olasılıkla gereksizdir. Ve milyonlarca güvenlik açığıyla mücadele eden birçok büyük şirketle, geleneksel güvenlik açığı tarayıcıları tarafından tanımlanan tüm kusurları hemen düzeltmek imkansız bir iştir.
Uyarı yorgunluğu neden var? Güvenlik açıklarının ciddiyetini anlamaya yönelik geleneksel yaklaşımlar, neredeyse yalnızca Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) dayanır. Bununla birlikte, CVSS yalnızca genel bir resim sağlar ve güvenlik açığının belirli bir ağda nasıl kullanılacağını dikkate almaz. Sonuç olarak, kuruluşlar, belirli güvenlik kontrolleri ve yapılandırmalarına göre nasıl öncelik verilmesi gerektiğine dair çok az veya hiç görünürlük olmayan çok sayıda güvenlik açığı uyarısı listesiyle uğraşmak zorunda kalıyor.
Riske dayalı yaklaşım
Siber güvenlik ihlalleri yıldan yıla keskin bir şekilde artarken, iyi haber şu ki İhlalleri olmayan kuruluşların %48’i risk temelli bir yaklaşım benimsedi. Bu risk temelli yaklaşım beş temel bileşen içerir:
- Saldırı yüzeyi görünürlüğü ve bağlamı
- saldırı simülasyonu
- Pozlama yönetimi
- Risk puanlama
- Güvenlik açığı değerlendirmeleri
Gerçek risk azaltma, önemli olan tehditleri ortadan kaldırmaya odaklanmayı gerektirir. Neyse ki, siber güvenlik liderleri artık tüm güvenlik açıklarının eşit şekilde oluşturulmadığı gerçeğini benimsiyor. Bu yeni düşünce tarzı, SecOps’un iyileştirme için önemli olan güvenlik açıklarına acımasızca öncelik vermesini ve riski ölçülebilir şekilde azaltmasını sağlar.
Siber Risk Yönetiminin Modellenmesi
Risk yönetimi, siber güvenliğin temel bir ilkesidir ve güvenlik ekiplerinin bir kuruluş üzerindeki potansiyel etkilerine göre tehditlere öncelik vermesini sağlar.
Kapsamlı bir risk puanı için bu öğeleri statik CVSS’ye eklemeyi düşünün:
Kullanılabilirlik: Tehdit aktörleri vahşi doğada güvenlik açığından yararlanıyor mu?
Maruziyet: Mevcut güvenlik kontrolleri savunmasız varlığı koruyor mu?
Varlık önemi: Varlık görev açısından kritik mi? Hassas verileri açığa çıkarır mı?
Finansal etki: Sistem tehlikeye girerse, işinize günlük ne kadara mal olur?
Dijital dönüşümün ve modern siber suç stratejilerinin yan etkileriyle mücadele edecek ihlal önlemeyi benimsemek için sahip olduğunuz verilerden yararlanmanın şimdi tam zamanı. Bu, ifşa bile edilmemiş milyonlarca güvenlik açığı yerine, düşmanların erişebildiği ve işletmenizi finansal olarak mahvetme potansiyeline sahip aktif tehditlere odaklanmak anlamına gelir.
Siber risk modelleme ile donanmış güvenlik ekipleri, önemli olan riskleri saptama ve gerçekten ihtiyaç duyulduğu yerde iyileştirmeye öncelik verme yetkisine sahiptir. Bir CISO’ya tek bir ayda binlerce istismar edilebilir güvenlik açığını ve kötü amaçlı yazılım ailesini emekli ettiğinizi söylemek, mutlu bir yöneticiyle sonuçlanacaktır.