SAN JOSE, Kaliforniya, 19 Ocak 2022 /PRNewswire/ —
Haber Özeti:
- 2021’de günde ortalama 55 olmak üzere rekor kıran 20.130 yazılım zafiyeti rapor edildi. Ancak bunların sadece %4’ü kuruluşlar için yüksek risk oluşturmaktadır.
- Bir kuruluş, ilk olarak yüksek riskli güvenlik açıklarını genel açıklardan yararlanma koduyla düzelterek ve yüksek bir iyileştirme kapasitesine sahip olarak, ihlal olasılığını veya “sömürülebilirlik puanını” 29 kata kadar azaltabilir.
- Yazılım düzeltmelerine öncelik vermek için Twitter ifadelerini kullanmak, istismarı azaltmada endüstri standardı Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre iki kat daha etkilidir.
Yeni araştırmalar, siber güvenlik uygulamaları için risk temelli oyun kitabını genişleterek, güvenlik açığı yönetimine yönelik çeşitli stratejilerin başarısını ve tüm kuruluşların istismar edilebilirliğini ölçtü.
Bir ile ortalama 55 2021’de her gün yayınlanan yeni yazılım güvenlik açıkları, en iyi personele ve kaynaklara sahip BT ekipleri bile altyapılarındaki tüm güvenlik açıklarını düzeltemez. Neyse ki, daha iyi bir çözüm var.
tarafından yürütülen araştırma Kenna Güvenlik, artık Cisco’nun bir parçası ve risk tabanlı güvenlik açığı yönetiminde pazar lideri ve Cyentia Enstitüsü, güvenlik açıklarını düzeltmek için uygun şekilde önceliklendirmenin, bir kuruluşun bunları yamalama kapasitesini artırmaktan daha etkili olduğunu, ancak her ikisine birden sahip olmanın, bir kuruluşun ölçülen sömürülebilirliğinde 29 kat azalma sağlayabileceğini gösteriyor.
Bulgular Kenna’nın son raporunda açıklanıyor, Tahmine Önceliklendirme, Cilt 8: Kullanılabilirliği Ölçme ve En Aza İndirme.
Ed Bellis, “Vahşi doğadaki suistimaller, güvenlik ekiplerinin öncelik vermesi gereken güvenlik açıkları için en iyi göstergeydi. Artık belirli bir organizasyonun istismar edilme olasılığını gösterebiliriz, ki bu her zaman yapmak istediğimiz şeydi,” dedi. Şimdi Cisco’nun bir parçası olan Kenna Security’nin kurucusu ve baş teknoloji sorumlusu. “Bu, kuruluşlara potansiyel siber tehditlerle etkin bir şekilde mücadele etme konusunda çok daha iyi bir şans veriyor ve araştırmalar, müşterilerimizin güvenlik açığı risklerini her gün başarıyla yönettiklerini gösteriyor.”
Kullanılabilirlik, açık Yararlanma Tahmini Puanlama Sistemi (EPSS) kullanılarak belirlendi; tarafından sürdürülen Kenna Security ve Cyentia Enstitüsü dahil olmak üzere sektörler arası bir çaba FIRST.org.
Araştırma, bir son Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktifi Bu, CVSS puanlarına dayalı güvenlik açıklarının düzeltilmesine öncelik vermekten uzaklaşmanın ve bunun yerine yüksek riskli güvenlik açıklarına odaklanmanın daha akıllıca olduğunu gösterir. Analiz, istismar kodu ve hatta Twitter’dan bahsetme gibi faktörlerin CVSS puanlarından daha iyi sinyaller olduğunu gösteriyor.
“Bu rapordaki verilere ve bulgulara dayanarak sömürülebilirliğe geçişin büyük bir fark yaratacağı açık. CISA’nın yayınlanan güvenlik açıklarının bir analizi, bu araştırmayı yürütürken rotayı CVSS puanlarından da uzaklaştırabileceklerini gösteriyor. ” dedi Cyentia Enstitüsü’nün ortağı ve kurucu ortağı Wade Baker. “Hesaplarımızı yaparken, güvenlik ekiplerini daha iyi bilgilendirmesi gereken düzeltme hızını hesaba katmak için bir adım daha ileri gittik.”
Araştırma ayrıca şunu gösteriyor:
- Neredeyse tüm (%95) BT varlıkları, en az bir yüksek düzeyde yararlanılabilir güvenlik açığına sahiptir.
- Güvenlik açıklarını istismar koduyla önceliklendirmek, istismar edilebilirliği en aza indirmede CVSS’den 11 kat daha etkilidir.
- Çoğu (%87) kuruluş, aktif varlıklarının en az dörtte birinde açık güvenlik açıklarına sahiptir ve bunların %41’i her dört varlıktan üçünde güvenlik açıkları göstermektedir.
- Güvenlik açıklarının %62’lik güçlü bir çoğunluğu, %1’den daha az istismar şansına sahiptir. CVE’lerin yalnızca %5’i %10 olasılığı aşıyor.
Ek kaynaklar
Cisco hakkında
Cisco (NASDAQ: CSCO) internete güç sağlayan teknolojide dünya lideridir. Cisco, uygulamalarınızı yeniden tasarlayarak, verilerinizi güvence altına alarak, altyapınızı dönüştürerek ve küresel ve kapsayıcı bir gelecek için ekiplerinizi güçlendirerek yeni olanaklara ilham verir. Ağda daha fazlasını keşfedin ve bizi Twitter’da takip edin.
Cisco ve Cisco logosu, Cisco’nun ve/veya bağlı kuruluşlarının ABD ve diğer ülkelerdeki ticari markaları veya tescilli ticari markalarıdır. Cisco’nun ticari markalarının bir listesi şu adreste bulunabilir: www.cisco.com/go/trademarks. Bahsedilen üçüncü taraf ticari markaları, ilgili sahiplerinin mülkiyetindedir. İş ortağı kelimesinin kullanılması, Cisco ile başka herhangi bir şirket arasında bir ortaklık ilişkisi anlamına gelmez.