Güvenlik açığı yönetiminde kurumlar nasıl ustalaşabilir?

Yazılım yamalarının zamanında yapılmaması güvenlik açığı oluşturur. Bunun önemini kavramak için maliyetli bir ihlalin yaşanmasını beklemeyin.

Güvenlik açığı istismarı uzun zamandır tehdit aktörleri için popüler bir taktik olmuştur. Ancak her ağ savunucusunu alarma geçirmesi gereken bir gerçek olarak giderek önem kazanıyor. Bir tahmine göre, veri ihlalleriyle sonuçlandığı gözlemlenen güvenlik açığı istismarı vakaları 2023’te üç kat arttı. Ve güvenlik boşluklarını hedef alan saldırılar tehdit aktörlerinin fidye yazılımı saldırılarını başlatmasının ilk üç yolundan biri olmaya devam ediyor.

CVE’lerin sayısı yeni rekor seviyelere ulaşmaya devam ederken kuruluşlar bununla başa çıkmakta zorlanıyor. Güvenlik açığı ile ilgili tehditleri azaltmak için daha tutarlı, otomatik ve risk tabanlı bir yaklaşıma ihtiyaçları var.

Aşırı hata yüklemesi

Yazılım güvenlik açıkları kaçınılmazdır. İnsanlar bilgisayar kodunu yarattığı sürece, insan hatası sürece dahil olacak ve kötü aktörlerin istismar etmede çok uzman hâle geldiği hatalarla sonuçlanacaktır. Ancak bunu hızlı ve büyük ölçekte yapmak yalnızca fidye yazılımı ve veri hırsızlığına değil, aynı zamanda karmaşık devlet destekli casusluk operasyonlarına, yıkıcı saldırılara ve daha fazlasına da kapı açmaktadır. 

Ne yazık ki her yıl yayımlanan CVE’lerin sayısı, çeşitli faktörler sayesinde inatçı bir şekilde artmaktadır.

• Yeni yazılım geliştirme ve sürekli entegrasyon, karmaşıklığın artmasına ve sık güncellemelere yol açarak saldırganlar için potansiyel giriş noktalarını genişletir. Ve bazen yeni güvenlik açıkları ortaya çıkarır. Aynı zamanda, şirketler genellikle üçüncü taraf bileşenlere, açık kaynak kütüphanelerine ve keşfedilmemiş güvenlik açıkları içerebilecek diğer bağımlılıklara dayanan yeni araçları benimsemektedir.
• Hıza genellikle güvenlikten daha fazla öncelik veriliyor, bu yazılımın yeterli kod kontrolleri yapılmadan geliştirildiği anlamına geliyor. Bu da hataların üretim koduna sızmasına neden oluyor, bazen de geliştiriciler tarafından kullanılan açık kaynak kodlu bileşenlerden kaynaklanıyor.
• Etik araştırmacılar, kısmen Pentagon ve Meta gibi çeşitli kuruluşlar tarafından yürütülen hata ödül programlarının çoğalması sayesinde çabalarını artırıyor. Bunlar sorumlu bir şekilde ifşa ediliyor ve söz konusu satıcılar tarafından yamalanıyor ancak müşteriler bu yamaları uygulamazlarsa istismarlara maruz kalacaklar.
• Ticari casus yazılım satıcıları yasal bir gri alanda faaliyet göstermektedir. Müşterilerine de (genellikle otokratik hükümetlere) düşmanlarını gözetlemeleri için kötü amaçlı yazılımlar ve açıklar satmaktadır. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ticari “siber saldırı sektörünün” her on yılda iki katına çıktığını tahmin etmektedir.
• Siber suç tedarik zinciri giderek profesyonelleşiyor ve ilk erişim aracıları (IAB’ler), genellikle güvenlik açığı istismarı yoluyla yalnızca kurban kuruluşlara sızmaya odaklanıyor. 2023 tarihli bir rapor, siber suç forumlarındaki IAB’lerde %45’lik bir artış olduğunu ve 2022’de dark web IAB reklamlarının önceki 12 aya göre iki katına çıktığını kaydetmiştir.

Ne tür güvenlik açığı dalga yaratıyor?

Güvenlik açığı ortamının hikâyesi hem değişim hem de süreklilikten oluşuyor. MITRE’nin ilk 25 listesinde Haziran 2023 ve Haziran 2024 arasında görülen en yaygın ve tehlikeli yazılım kusurlarının olağan şüphelilerin çoğu yer almaktadır. Bunlar arasında siteler arası komut dosyası oluşturma, SQL enjeksiyonu, serbest bırakıldıktan sonra kullanım, sınır dışı okuma, kod enjeksiyonu ve siteler arası istek sahteciliği (CSRF) gibi yaygın olarak görülen güvenlik açığı kategorileri yer almaktadır.

Bunlar çoğu siber savunmacı için tanıdık olmalı. Bu nedenle sistemlerin iyileştirilmiş sertleştirilmesi/korunması ve/veya gelişmiş DevSecOps uygulamaları yoluyla azaltılması için daha az çaba gerektirebilir.

Ancak diğer eğilimler belki de daha da endişe vericidir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2023 En Çok Rutin Olarak İstismar Edilen Güvenlik Açıkları listesinde, bu açıkların çoğunun başlangıçta sıfır gün olarak istismar edildiğini iddia ediyor. Bu, istismar sırasında herhangi bir yamanın mevcut olmadığı ve kuruluşların kendilerini güvende tutmak ya da etkiyi en aza indirmek için başka mekanizmalara güvenmek zorunda oldukları anlamına geliyor.

Başka yerlerde, düşük karmaşıklığa sahip ve çok az kullanıcı etkileşimi gerektiren veya hiç gerektirmeyen hatalar da sıklıkla tercih edilir. Ticari casus yazılım satıcıları tarafından kötü amaçlı yazılımlarını dağıtmak için sunulan sıfır tıklama istismarları buna bir örnektir.

Bir diğer eğilim ise güvenlik açığı istismarı ile çevre tabanlı ürünleri hedef almaktır. Ulusal Siber Güvenlik Merkezi (NCSC), genellikle dosya aktarım uygulamalarını, güvenlik duvarlarını, VPN’leri ve mobil cihaz yönetimi (MDM) tekliflerini hedef alan sıfır gün istismarlarını içeren bu tür saldırılarda bir artış olduğu konusunda uyardı. Şöyle diyor:

Saldırganlar, çevreye maruz kalan ürünlerin çoğunun ‘tasarım gereği güvenli’ olmadığını ve bu nedenle güvenlik açıklarının popüler istemci yazılımlarından çok daha kolay bulunabileceğini fark ettiler. Dahası, bu ürünler tipik olarak düzgün kayıt tutmazlar (ya da adli olarak kolayca araştırılabilirler). Bu da her istemci cihazın muhtemelen üst düzey dedektiflik yetenekleri çalıştırdığı bir ağda mükemmel dayanaklar oluşturur.

Güvenlik açığı işleri daha da kötüleştiriyor

Bu durum ağ savunucularını endişelendirmeye yetmiyormuş gibi çabaları daha da karmaşık hâle geliyor:

• Güvenlik açığından faydalanmanın olağanüstü hızı: Google Cloud araştırması, daha önce 32 gün olan ortalama kullanım süresinin 2023’te sadece beş gün olacağını tahmin ediyor.
• Çoğu zaman silikleşmiş eski teknolojiye sahip hibrit ve çoklu bulut ortamlarına yayılan günümüzün kurumsal BT ve OT/IoT sistemlerinin karmaşıklığı.
• Kalitesiz satıcı yamaları ve kafa karıştırıcı iletişimler, savunucuların aynı çabayı tekrarlamasına neden olur.  Ve genellikle risk maruziyetlerini etkili bir şekilde ölçemedikleri anlamına gelir.
• Birçok kuruluşu en son CVE’ler hakkında güncel bilgi sağlayan kritik bir kaynaktan yoksun bırakan NIST NVD birikimi.

CISA’nın Bilinen Açıklar (KEV) kataloğunun Verizon tarafından yapılan analizine göre: 

• 30 gün sonunda güvenlik açıklarının %85’i giderilmedi
• 55 gün sonunda güvenlik açıklarının %50’si giderilmedi
• 60 gün sonunda güvenlik açıklarının %47’si giderilmedi

Yamalanmış güvenlik açığı

Gerçek şu ki kurumsal BT ve güvenlik ekiplerinin yamalayabilmesi için her ay çok fazla sistemde çok fazla CVE yayımlanmaktadır. Bu nedenle risk büyüklüğü ve önem derecesine göre etkili bir şekilde önceliklendirmeye odaklanmalıdır. Bir güvenlik açığı ve yama yönetimi çözümü seçerken aşağıdaki özellikleri göz önünde bulundurun:

• Bilinen CVE’ler için kurumsal ortamların otomatik taranması,
• Önem derecesine göre güvenlik açığı önceliklendirmesi,
• Güvenlik açığı bulunan yazılımları ve varlıkları, ilgili CVE’leri ve yamaları vb. belirlemek için ayrıntılı raporlama,
• Kurumsal ihtiyaçlara göre yama için belirli varlıkları seçme esnekliği,
• Otomatik veya manuel yama seçenekleri.

Sıfırıncı gün tehditleri için olası istismarları otomatik olarak açan ve tarayan ve kötü niyetli olup olmadığını kontrol etmek için bulut tabanlı bir sanal alanda çalıştırılan gelişmiş tehdit algılamayı düşünün. Makine öğrenimi algoritmaları, yeni tehditleri dakikalar içinde yüksek doğruluk derecesiyle tanımlamak, otomatik olarak engellemek ve her bir örneğin durumunu sağlamak için koda uygulanabilir.

Diğer taktikler arasında ağların mikro bölümlere ayrılması, sıfır güven ağ erişimi, ağ izleme (olağandışı davranışlar için) ve güçlü siber güvenlik farkındalık programları yer alabilir.

Tehdit aktörleri giderek daha fazla sayıda kendi yapay zekâ araçlarını benimsedikçe internete yönelik saldırılara maruz kalan savunmasız varlıkları taramaları daha kolay hâle gelecektir. Zamanla, üretken yapay zekâyı sıfırıncı gün açıklarını bulmaya yardımcı olmak için bile kullanabilirler. En iyi savunma, bilgi sahibi olmak ve güvenilir güvenlik ortaklarınızla düzenli bir diyalog sürdürmektir.