Pek çok işletme, önceliklendirme için güvenlik açıklarının ciddiyetini değerlendirmek amacıyla Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) güveniyor. Bu puanlar bir güvenlik açığının potansiyel etkisine dair bazı bilgiler sağlarken, kötüye kullanım olasılığı gibi gerçek dünyadaki tehdit verilerini hesaba katmaz. Her gün keşfedilen yeni güvenlik açıkları nedeniyle ekiplerin aslında riski azaltmayacak güvenlik açıklarını düzeltmek için harcayacak zamanı veya bütçesi yok.
CVSS ve EPSS’nin nasıl karşılaştırıldığı ve EPSS kullanmanın neden güvenlik açığı önceliklendirme sürecinizde ezber bozan bir yöntem olduğu hakkında daha fazla bilgi edinmek için okumaya devam edin.
Güvenlik açığı önceliklendirmesi nedir?
Güvenlik açığı önceliklendirmesi, güvenlik açıklarını bir kuruluş üzerinde yaratabilecekleri potansiyel etkiye göre değerlendirme ve sıralama sürecidir. Amaç, güvenlik ekiplerinin hangi güvenlik açıklarının hangi zaman diliminde ele alınması gerektiğini veya bunların düzeltilmesi gerekip gerekmediğini belirlemelerine yardımcı olmaktır. Bu süreç, en kritik risklerin istismar edilmeden önce azaltılmasını sağlar ve bu risklerin önemli bir parçasıdır. saldırı yüzeyi yönetimi.
İdeal bir dünyada, güvenlik ekipleri her güvenlik açığını keşfeder keşfetmez düzeltebilir ancak bu ne mümkün ne de verimlidir. Araştırma gösterdi Çoğu ekibin açık güvenlik açıklarının yalnızca %10-15’ini ayda düzeltebildiğini ve bu nedenle etkili bir şekilde önceliklendirmenin çok önemli olduğunu görüyoruz.
Sonuç olarak, güvenlik açığı önceliklendirmesinin doğru yapılması, kuruluşların kaynaklarını en iyi şekilde kullanabilmelerini sağlar. Bu neden önemli? Çünkü işletmeler, bir fark yaratmadığı sürece para harcamayı göze alamaz ve risk yönetimi, paranın riski gerçekten azaltmak için harcanmasını sağlamakla ilgilidir.
Güvenlik açığı önceliklendirmesi için CVSS’nin sınırlamaları
Tarihsel olarak, kuruluşların güvenlik açıklarını önceliklendirmesinin en yaygın yollarından biri, CVSS taban puanları.
CVSS taban puanları, bir güvenlik açığından yararlanma kolaylığı ve teknik araçlar ve başarılı bir yararlanmanın sonucu gibi, zaman ve kullanıcı ortamları boyunca sabit olan faktörler tarafından belirlenir. Bu faktörler ölçülür ve birleştirilir ve 0 ila 10 arasında bir nihai puan oluşturulur; puan ne kadar yüksek olursa, ciddiyet de o kadar yüksek olur.
CVSS puanları şiddetin değerlendirilmesi için bir temel ve standartlaştırılmış bir yol sunar ve bazen uyum için gereklidir. Ancak, bunlara güvenmeyi, onları gerçek zamanlı veri kaynaklarıyla birlikte değerlendirmekten daha az verimli hale getiren sınırlamaları vardır.
CVSS puanlarının ana sınırlamalarından biri, bir güvenlik açığının vahşi ortamda aktif olarak kullanılıp kullanılmadığı gibi mevcut tehdit ortamını dikkate almamalarıdır. Bu, yüksek CVSS puanına sahip bir güvenlik açığının, bir kuruluşun karşılaştığı en kritik sorun olmayabileceği anlamına gelir. Almak CVE-2023-48795Örneğin. Mevcut CVSS puanı ‘orta’ olan 5,9’dur. Ancak diğer tehdit istihbaratı kaynaklarını dikkate alırsanız, örneğin EPSSönümüzdeki 30 gün içinde (bu yazının yazıldığı sırada) kötüye kullanılma ihtimalinin yüksek olduğunu göreceksiniz.
Bu, yalnızca CVSS puanlarını değil aynı zamanda gerçek zamanlı tehdit istihbaratını da dikkate alan güvenlik açığı önceliklendirmesine yönelik daha bütünsel bir yaklaşımın benimsenmesinin önemini göstermektedir.
Yararlanma verileriyle önceliklendirmeyi iyileştirme
Güvenlik açığı önceliklendirmesini geliştirmek için kuruluşlar CVSS puanlarının ötesine geçmeli ve doğada tespit edilen istismar faaliyetleri gibi diğer faktörleri dikkate almalıdır. Bunun için değerli bir kaynak, tarafından geliştirilen bir model olan EPSS’dir. BİRİNCİ.
EPSS nedir?
EPSS, önümüzdeki 30 gün içinde bir güvenlik açığından yararlanılma olasılığının günlük tahminini sağlayan bir modeldir. Model, 0 ile 1 (%0 ile %100) arasında bir puan üretir; daha yüksek puanlar, daha yüksek bir istismar olasılığını gösterir.
Model, Ulusal Güvenlik Açığı Veri Tabanı (NVD), CISA KEV ve Exploit-DB gibi çeşitli kaynaklardan çok çeşitli güvenlik açığı bilgilerinin yanı sıra istismar faaliyeti kanıtlarını toplayarak çalışır. Makine öğrenimini kullanarak, modelini bu veri noktaları arasındaki ince kalıpları tanımlayacak şekilde eğiterek gelecekteki istismar olasılığını tahmin etmesine olanak tanır.
CVSS ve EPSS
Peki EPSS puanları güvenlik açığı önceliklendirmesinin iyileştirilmesine tam olarak nasıl yardımcı oluyor?
Aşağıdaki diyagram, CVSS puanı 7 veya daha yüksek olan güvenlik açıklarının iyileştirme için önceliklendirildiği bir senaryoyu göstermektedir. Mavi daire, 1 Ekim 2023’te kaydedilen tüm bu CVE’leri temsil eder. Kırmızı renkte, önümüzdeki 30 gün içinde istismar edilen CVSS puanlarına sahip tüm CVE’leri görebilirsiniz.
Gördüğünüz gibi, doğada istismar edilen güvenlik açıklarının sayısı, CVSS puanı 7 veya daha yüksek olan güvenlik açıklarının az bir kısmını temsil ediyor.
Orijinal kaynak: FIRST.org |
Bunu, %10’a ayarlanmış EPSS eşiğine göre güvenlik açıklarının önceliklendirildiği bir senaryoyla karşılaştıralım.
Aşağıdaki iki diyagram arasında göze çarpan bir fark, önceliklendirilmesi gereken güvenlik açıklarının sayısını gösteren mavi dairelerin boyutudur. Bu, her bir önceliklendirme stratejisi için gereken çabanın miktarı hakkında bir fikir verir. %10’luk EPSS eşiğiyle, önceliklendirilmesi gereken güvenlik açıkları çok daha az olduğundan, harcanan çaba önemli ölçüde azalır ve bu da ihtiyaç duyulan zaman ve kaynakları azaltır. Kuruluşlar, ilk önce ele alınmadığı takdirde en fazla etkiye sahip olacak güvenlik açıklarına odaklanabildiğinden verimlilik de önemli ölçüde daha yüksektir.
Orijinal kaynak: FIRST.org |
Kuruluşlar, güvenlik açıklarını önceliklendirirken EPSS’yi göz önünde bulundurarak iyileştirme çabalarını gerçek tehdit ortamıyla daha iyi hizalayabilir. Örneğin, EPSS, nispeten düşük CVSS puanına sahip bir güvenlik açığından yararlanma olasılığının yüksek olduğunu gösteriyorsa, güvenlik ekipleri, daha yüksek CVSS puanlarına sahip ancak daha düşük yararlanılabilirlik olasılığına sahip diğer güvenlik açıklarına göre bu güvenlik açığına öncelik vermeyi düşünebilir.
Intruder ile güvenlik açığı önceliklendirmesini basitleştirin
Davetsiz misafir işletmelerin saldırı yüzeylerini yönetmelerine ve güvenlik açıklarını istismar edilmeden önce tespit etmelerine yardımcı olan bulut tabanlı bir güvenlik platformudur. Sürekli güvenlik izleme, saldırı yüzeyi yönetimi ve akıllı tehdit önceliklendirme sunarak Intruder, siber güvenliği basitleştirirken ekiplerin en kritik risklere odaklanmasına olanak tanır.
Intruder platformunun ekran görüntüsü |
Intruder, önümüzdeki 30 gün içinde bir güvenlik açığından yararlanılma olasılığını tahmin etmek için makine öğreniminden yararlanan bir model olan Exploit Tahmin Puanlama Sistemi (EPSS) tarafından desteklenen bir güvenlik açığı önceliklendirme özelliğini yayınlamak üzere.
Yakında EPSS puanlarını doğrudan Intruder platformunun içinde görüntüleyebileceksiniz, böylece ekibinize daha akıllı önceliklendirme için gerçek dünya bağlamı sunabileceksiniz. Bu puanlar, CVSS puanlarını Intruder’ın güvenlik uzmanlarından oluşan ekibinin girdileriyle birleştirerek sonuçlarınızı akıllıca önceliklendiren mevcut puanlama sisteminin yanında görüntülenecektir.
Yeni sürümün önüne geçmek için hemen kaydolun. Başlat 14 günlük ücretsiz deneme veya sohbet etmek ve daha fazlasını öğrenmek için biraz zaman ayırın.