Siber Güvenlik

Her CVE’ye acil tepki verilmemeli; exploit edilebilene odaklan!

teknomers
teknomers

2024’teki Güvenlik Açıkları ve Risk Yönetimi

2024 yılı itibarıyla 40.000’in üzerinde yeni güvenlik açığı (CVE) yayınlandı. Bu açıklananların %60’tan fazlası “yüksek” veya “kritik” olarak etiketlendi. Bu, kulağa ürkütücü geliyor ama bu açılardan hangilerinin gerçekten sizin ortamınız için risk taşıdığını biliyor musunuz?

Contents

Aslında düşündüğünüz kadar çok değil. Geleneksel güvenlik açığı önceliklendirme sistemleri, yalnızca teknik faktörlere dayanarak şiddeti işaretler. Ancak bu sistemler, sizin ağınızı, kontrollerinizi veya ana varlıkların nasıl sertleştirildiğini bilmez. Bu durum, güvenlik ekiplerinin zamanlarının çoğunu korkutucu görünen hataları kovalamakla harcamalarına ve gerçekten tehlikeli olanları gözden kaçırmalarına yol açar.

Bu yazıda, geleneksel güvenlik açığı önceliklendirmesinin neden yanıltıcı olduğuna ve daha iyi bir yaklaşım olan maruz kalma doğrulama ile ekiplerin gerçekten sömürülebilir olan şeylere nasıl odaklanabileceğine dair detayları inceleyeceğiz.

“Kritik” Güvenlik Açıklarında Ne Problem Var?

Rakamlarla başlayalım. Geçtiğimiz yıl güvenlik açığı açıklamaları %38 oranında artış gösterdi. Birçok araç, tarayıcı, yamanlama platformu ve gösterge paneli hâlâ bu açıkları ham CVSS veya EPSS puanlarına göre sıralıyor. Ancak burada dikkat edilmesi gereken bir durum var: Bu puanlar sadece küresel skorlardır. Yani bir güvenlik açığı kağıt üzerinde 9.8 puan alıyorsa, bu sizin ortamınızda kritik bir etki yaratacağı anlamına gelmez. Güvenlik duvarınız, EDR (Son Nokta Tehdit Yanıtı), IPS/IDS veya segmentasyon mevcut açıkları durduruyor olabilir. Bu sırada, listede daha aşağıda bulunan “orta” şiddetli sorunlar, tam olarak gizli bir bomba haline gelebilir.

Ayrıca sömürü hızına da dikkat etmek gerekir. 2024’ün başlarında, sömürülen güvenlik açıklarının yarısından fazlası kamuya açık şekilde duyurulduktan sonra kısa süre içinde çalışır hale geldi. Saldırganlar hızlı hareket eder; çoğu zaman savunuculardan daha hızlı. Yeni güvenlik açıkları dikkat çekerken, birçok güvenlik ihlali hâlâ zamanında yamalanmamış eski kusurlara dayanır. Burada bir keşif sorunu değil, bir önceliklendirme sorunu var.

Geleneksel Puanlama Sistemleri Neden Yetersiz?

Geleneksel sistemlerin nasıl çalıştığını inceleyelim. CVSS, erişim gereksinimleri, yetkiler ve olası etki temelinde bir şiddet derecesi verir. EPSS ise dış tehdit sinyallerini kullanarak sömürü olasılığını tahmin eder. CISA KEV (Bilgi Sistemleri ve Altyapı Güvenliği Ajansı), bilinen sömürülen güvenlik açıklarını işaretler.

Bu bilgiler büyük bir resim açısından faydalı olabilir. Ancak, teorik olarak bu sistemler sizin özel ortamınızı bilmezler. Açığın engellenip engellenmediğini veya sistemin gerçekten önemli olup olmadığını anlayamazlar. Bu da yanlış önceliklendirmelere ve yanlış yönlendirilmelere yol açabilir.

Maruz Kalma Doğrulama Nedir?

Maruz kalma doğrulama, süreci tersine çevirir. Bir güvenlik açığının ne kadar kötü olabileceğini tahmin etmek yerine, onun gerçekten sizin ortamınızda sömürülebilir olup olmadığını test eder. Gerçek dünya saldırı tekniklerini kullanarak güvenli ve kontrollü saldırı simülasyonları gerçekleştirir. Eğer kontrolleriniz saldırıyı durduruyorsa, harika. Değilse, işte o zaman neyi düzeltmeniz gerektiğini öğrenirsiniz.

Amacı basittir: Varsayımları kanıtla değiştirmek. Böylece, öncelikle en önemli açıkları düzeltebilirsiniz.

Teknik Altyapı: BAS ve Otomatik Penetrasyon Testleri

Maruz kalma doğrulama, iki tür güvenli, yıkıcı olmayan araca dayanır:

  1. Breach and Attack Simulation (BAS): BAS, bilinen taktikler ve sahada belgelenmiş malware davranışları kullanarak sürekli saldırı senaryoları çalıştırır. Bu, EDR, SIEM ve güvenlik duvarınızın bilinen ve yeni tehditler karşısında işini yapıp yapmadığını kontrol etmenin bir yoludur.

  2. Otomatik Penetrasyon Testi: Bu teknik, zaten ortamınıza erişimi olan bir saldırganın eylemlerini taklit eder. Hassas hedeflere erişim gibi ileri hareketler ve ayrıcalık artırma test eder. Bu, kırmızı takımın daha karmaşık ve kritik saldırı yollarına odaklanmasına olanak tanır.

Bu araçlar birlikte çalışarak, ekiplerin saldırganların sizin ağınızdaki potansiyelini anlamalarına yardımcı olur.

CVSS Puanı 9.4 Olandığında Ne Olur?

Bu sürecin nasıl işlediğine bir örnekle devam edelim. Diyelim ki bir tarayıcı, 9.4 puan alan bir güvenlik açığını işaretledi. Bu, ciddiye alınması gereken bir durum. Ancak maruz kalma doğrulama bunu test eder.

"İlk adım: Açığın halka açık bir sömürüsü var mı?" Evet, bir kanıtı mevcut. Ancak bu, kolay kullanılabilir bir şey değil. Teknik beceri ve belirli koşullar gerektiriyor. Bu, açığın önemini düşürüyor ve risk ayarını buna göre güncelliyor.

"İkinci adım: Savunmalarınız bunu durdurabilir mi?" Güvenlik yığınınızı kontrol etme zamanı: bulut kontrolleri, ağ korumaları, son nokta araçları ve SIEM kuralları. Eğer bunlar saldırıyı zaten tespit ediyorsa veya engelliyorsa, risk önemli ölçüde düşer.

"Son kontrol: Sistem önemli mi?" Eğer açık olan varlık kritik değilse ve hassas veri içermiyorsa, bu durumda risk daha da düşer.

Bu örnekte, tarayıcı 9.4 puanla yüksek bir güvenlik açığı olduğunu aslen bağırıyor. Ancak sizin gerçek ortamınızda bu açık bloklanmakta ve bu sayede daha kritik güvenlik açıklarıyla ilgilenebiliyorsunuz. Maruz kalma doğrulama, gerçek riskleri gürültüden ayırarak, önemli olanlarla ilgilenmenizi sağlar.

Daha Akıllı Bir Önceliklendirme Yöntemi

Picus Security’nin Maruz Kalma Doğrulama (EXV) çözümü, ekiplerin yüzeysel puanların ötesine geçmelerine ve gerçeklerle yüzleşmelerine yardımcı olur. Saldırı yüzey yönetimi, güvenlik ihlali ve saldırı simülasyonu ve otomatik penetrasyon testlerini harmanlayarak bir açığın sizin gerçek ortamınızda sömürülebilir olup olmadığını belirler.

Bu sayede, gerçek koşullar altında bir risk puanı hesaplıyor. Bu skor, yalnızca en kötü senaryolar yerine, gerçek durumları yansıtıyor.

Saha Sonuçları

Ekipler ham CVSS puanlarına dayanmaktan vazgeçip maruz kalma doğrulama uygulandığında, hemen sonuçlar görmeye başlıyorlar. Picus olarak, organizasyonların kritik güvenlik açığı sayısını yarıdan fazla azalttığını gördük; %63’ten sadece %10’a düştü. Aynı çevre, aynı araçlar. Tek değişiklik, gerçekten sömürülebilir olanları doğrulamaktı.

Bu değişim, yamanma süreçlerini hızlandırıyor ve gürültüyü temizliyor. En önemlisi, güvenlik ekiplerini gerçek tehditlere daha etkili bir şekilde odaklamalarını sağlıyor. Gereksiz korkutucu bulgular yerine, iş için gerçekten önemli olanların net bir listesini elde ediyorsunuz.

Maruz kalma doğrulama, güvenlik açıklarının yönetimini eyleme geçirilebilir hale getiriyor. Daha hızlı hareket ediyorsunuz, daha az zaman kaybediyorsunuz ve gerçekten önemli olanı koruyorsunuz.

Güncel Siber Güvenlik Haberleri – 2

Sprocket ASM: Saldırganın Bakış Açısı ile Haritalama (Siber Güvenlik)
MetaStealer Kötü Amaçlı Yazılım Son Saldırılarda Apple macOS’u Hedefliyor
Elastic, Defend EDR’deki ‘sıfırıncı gün’ RCE açığı iddialarını reddetti.
Yazılım Bağımlılığı Verileri, Geliştiricilere Güvenlik Sağlar
Tehdit Aktörleri Güvenli E-postayı Atlatmak İçin Kodlanmış URL Kullanımını Artırıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Trump Media, Yaklaşık 2.5 Milyar Dolar Değerinde Bitcoin Duyurdu
Sonraki Makale Anma Günü İndirimi Devam Ediyor: Apple’ın En Yeni M4 iPad Pro’su Amazon’da Hala 300 $ İndirimde, Ama Hızlı Davranın!

Sanal Medya

Son Eklenenler

Benchmark ilk büyüme fonunu 2 milyar dolarlık finansmanla hayata geçiriyor
Genel
Güney Koreli teknoloji çalışanları bonus sonrası lüks harcama yaptı
Donanım
İki yıllık PrivadoVPN aboneliğinde %90 indirim ve 3 ay bedava!
Donanım
Canlı CRM’den Çoklu Kiracılık ve İkinci İncelemenin Bulduğu İki Eksiklik
Yazılım
Wander ile Küçük Ağı Keşfedin
Genel
RTX 5060’lı OLED Oyun Laptopu: 1.099 $ – HP Omen Transcend
Donanım