Uygulamaları ve ağları güvende tutmak bir Sisifos görevi gibi görünebilir. Güvenlik ve BT ekipleri siber riski azaltmak için güvenlik açığı değerlendirmesi, yama uygulama ve diğer hafifletme işlemlerine ne kadar zaman ve kaynak ayırırsa ayırsın, bunlar yeterli değildir. Aslında güvenlik açığı yönetimi, bir dizi hiç bitmeyen görev gibi hissedilebilir.

Suçlular tarafından saldırıya uğrayan güvenlik açıkları sıkıntısı yoktur. Geçen yıl, Log4Shell, Ruby on Rails (Follina) ve Spring4Shell gibi önemli güvenlik açıkları ve birkaç isim vermek gerekirse Google Chrome, F5 BIG-IP, Microsoft Office ve Atlassian Confluence kusurları vardı.

Siber Güvenlik Altyapısı Ajansı’nın Bilinen Yararlanılan Güvenlik Açıkları kataloğu şu anda Oracle eBusiness paketi, SugarCRM, Zoho, Control Web Panel ve Microsoft Exchange Server gibi yaygın olarak kullanılan kurumsal uygulamalardaki güvenlik açıklarını listeler.

Ayrıca, bozuk erişim kontrolü, kriptografik hatalar, yanlış güvenlik yapılandırmaları ve savunmasız ve güncelliğini yitirmiş bileşenler gibi Web uygulamalarına sürekli olarak giren yaygın ancak tehlikeli güvenlik açıkları vardır.

Ancak kurumsal güvenlik ekipleri, yalnızca bu tür güvenlik açıklarını azaltarak işlerini bitmiş sayamazlar. Kuruluşlar, yeni teknolojileri benimserken güvenlik açıklarını genişletmeli ve buna göre yüzey yönetim programlarına saldırmalıdır..

Yeni bir Dark Reading Tech Insight raporu, kurumsal güvenlik ekiplerinin dikkat etmesi gereken kilit alanları inceliyor: Ürün yazılımı, 5G ağları, uç bilgi işlem, operasyonel teknoloji ve BT yakınsama, bulut güvenlik açıkları ve yanlış yapılandırmalar, açık kaynaklı yazılımdaki güvenlik açıkları ve sürekli yazılım geliştirmedeki güvenlik açıkları boru hatları. Bu rapor bu tür güvenlik açıklarını ve bunların nasıl azaltılacağını ayrıntılarıyla açıklar.



siber-1