Güvenlik açığı analizi sonuçları Orange Cyberdefenses’in Güvenlik Gezgini ilk olarak 1999’da keşfedilen bazı güvenlik açıklarının bugün hala ağlarda bulunduğunu gösteriyor. Bu endişe verici.

VOC bulgularının yaşı

Güvenlik Açığı Taramalarımız yinelenen bir temelde gerçekleştirilir, bu da bize bir Varlık üzerinde bir taramanın ne zaman gerçekleştirildiği ile o Varlık hakkında belirli bir bulgunun ne zaman raporlandığı arasındaki farkı inceleme fırsatı verir. Buna ‘Yaş’ bulma diyebiliriz. İlk bildirilen bulgulara dikkat edilmezse, artan Yaşla birlikte zaman içinde daha fazla taramada ortaya çıkarlar ve böylece bildirilen bulguların Yaşının zaman içinde nasıl değiştiğini takip edebiliriz.

Aşağıdaki tablonun açıkça gösterdiği gibi, tüm Önem Düzeyleri genelinde veri kümemizdeki gerçek bulguların çoğu 75 ile 225 gün arasındadır. 300 gün civarında ikinci bir “zirve” var, bunun daha çok veri kümesindeki verilerin yaşıyla ilgili olduğundan şüpheleniyoruz ve bu nedenle göz ardı edilebilir. Son olarak, yaklaşık 1000 günde büyüleyici bir “tümsek” var ve bunun veri kümesindeki bulguların “uzun kuyruğunu” temsil ettiğine inanıyoruz ve bu kesinlikle asla ele alınmayacak.

1000 günlük ‘çarpma’daki bulguların %75’i Orta Önem Derecesindedir, ancak %16’sı Yüksek veya Kritik Önem Derecesi olarak sınıflandırılır.

Veri kümemizdeki bulguların Ortalama Yaşı, yüksek değişkenlik derecesinde görülebileceği gibi, herhangi bir dış faktör kadar Müşteri ve Varlık kümemizdeki değişikliklerden de etkilenir. Yine de, bu platforma müşteri eklemeye başladığımızdan bu yana 24 ay içinde Bulguların Ortalama Yaşında 63 günden 215 güne %241’lik net bir artış var.

Güvenlik Açığı Taraması verilerimizdeki doğrulanmış bulguları “Yaş Grubuna” göre kabaca gruplandırmak, aşağıdakileri ortaya çıkarır:

  • Tüm bulguların yalnızca %20’si 30 günün altında ele alınır
  • %80 tüm bulguların yamalanması 30 gün veya daha uzun sürüyor
  • Tüm bulguların %57’sinin düzeltilmesi 90 gün veya daha uzun sürüyor.
  • 215 gün Ortalama

Önem derecesine göre bulguların ortalama/maksimum yaşı

Aşağıdaki tablo, Kritik Güvenlik Açıklarının bile çözülmesinin ortalama olarak yaklaşık 6 ay sürdüğünü gösteriyor, ancak bu, cesaret verici bir şekilde, düşük önem düzeyine sahip sorunlara göre en az %36 daha hızlı.

Farklı kritiklik dereceleri için ortalama ve maksimum süre okumalarına daha yakından baktığımızda, aşağıdaki tabloyu elde ederiz.

Kritik sorunların daha hızlı çözüldüğü sonucuna varmamız, ortalama hafifletme süresi anlamına gelse de, kritiklikten bağımsız olarak maksimum süre sürekli olarak yüksektir.

Gelecekte veri kümesi büyüdükçe bu metriği daha çok izlememiz gerekecek.

Sektör Karşılaştırması

Aşağıdaki görünümdeki bulguların maksimum yaşı, diğer herhangi bir şey kadar, o Sektördeki müşterilerin ne kadar süredir veri kümemizde bulunduğunun bir göstergesi olarak hizmet ederken, ortalama yaş, müşterilerin sorunları ele almada ne kadar başarılı olduklarının daha iyi bir temsilcisidir. rapor ediyoruz. Yüksek maksimumlara ve düşük ortalamalara sahip sektörler bu nedenle en iyiyi, yüksek maksimumu ve yüksek ortalamayı yapacaktır… ‘en kötüyü’. Çok düşük maksimum yaşlara sahip sektörler muhtemelen çok uzun süredir veri setinde yer almamaktadır ve bu nedenle, belki de bu metriğe dayalı karşılaştırmalara dahil edilmemelidir.

Bu Endüstriler nasıl karşılaştırılırsa karşılaştırılsın, Yaş bulma ilgili bir metriktir.

Bu güvenlik açıkları gerçekten ne kadar eski?

Şimdiye kadar yalnızca bir varlıkta bir güvenlik açığı bulduğumuz andan şimdiye kadar (eğer hala varsa) göreli zamana baktık. Ancak bu, bu güvenlik açıklarının gerçekte ne kadar eski olduğuna dair bize herhangi bir bilgi vermiyor. Bulunan CVE’lere daha yakından bakarak yayınlanma tarihlerini analiz edebiliriz. Sonuçlar biraz kafa karıştırıcı, ancak ortaya çıkan tabloya uyuyor gibi görünüyor: şu ya da bu nedenle, bazı güvenlik açıkları hiçbir zaman düzeltilmedi. İşletmelerin biriktirdiği güvenlik borcunun bir parçası haline gelirler.

  • Bildirilen CVE’lerin %0,5’i 20 yaşında veya daha büyüktür
  • CVE raporlarının %13’ü 10 yaşında veya daha büyük
  • CVE’lerin% 47’si 5 yaşında veya daha büyük

Çözüm

Her gün atanmış CVE’lere sahip 22’den fazla güvenlik açığı yayınlanmaktadır. Ortalama CVSS puanı 7’nin (Yüksek Önem Derecesi) üzerinde olan bu açıklanan güvenlik açıklarının her biri, risk denklemlerimizi ve tehditlere karşı gerçek maruz kalmamızı etkileyen önemli bir veri noktasıdır.

Güvenlik Açığı Taraması ve Sızma Testi, güvenlik duruşumuzu etkileyebilecek güvenlik açıklarını anlamlandırmak, potansiyel etkilerini anlamak, önceliklendirmek ve uygun önlemi almak için kullandığımız mekanizmalardır. Bu iki değerlendirme alıştırması yaklaşım olarak farklıdır, ancak benzer bir dil kullanır ve benzer bir amaca hizmet eder.

Bu yıl, Navigator’daki her iki hizmetten veri kümelerinin bir analizini ekliyoruz. Bunu ilk kez deniyoruz ve verilerimiz hala mükemmel olmaktan uzak.

Açıkça görebildiğimiz şey, bildiğimiz güvenlik açıklarını yönetmek için mücadele ettiğimizdir. Müşterilerimize bildirdiğimiz bir güvenlik açığını düzeltmemiz ortalama 215 gün sürüyor. Bu, Kritik Güvenlik Açıkları için biraz daha düşük – görünüşe göre bunlar ‘Düşük’ önem dereceli sorunlardan %36 daha hızlı yamalanıyor. Ancak tablo hâlâ iç karartıcı: Tüm Bulguların %80’inin yamalanması 30 gün veya daha uzun sürüyor, %57’sinin yama işlemi 90 gün veya daha uzun sürüyor.

Sızma testi ekiplerimiz hâlâ ilk olarak 2010’da tanımlanan güvenlik açıklarını keşfediyor ve tarama ekiplerimiz 1999’a kadar uzanan sorunlarla karşılaşıyor! Gerçekten de CVE’lerin %47’si 5 yaşında veya daha büyüktür. %13’ü 10 yaşında veya daha yaşlı. Bu endişe verici bir sonuçtur.

Bu sadece analizden bir alıntıdır. Güvenlik açıklarının kritikliği ve Pentesting ve VOC tarama sonuçlarındaki zaman içindeki değişiklikler (ve bir ton başka ilginç araştırma konusu) gibi daha fazla ayrıntı şu adreste bulunabilir: Güvenlik Gezgini. Ücretsizdir, bir göz atın. Buna değer!

Not: Bu bilgilendirici parça, Orange Cyberdefense Güvenlik Araştırmaları Başkanı Charl van der Walt tarafından ustalıkla hazırlanmış ve cömertçe paylaşılmıştır.



siber-2