Yılın ilk yarısında açıklanan güvenlik açıklarının sayısı 11.800’ü aştı ve şirketleri hafta içi ortalama 90 güvenlik sorununun etkisini belirlemeye zorladı.
Rakamlar, siber güvenlik firması Flashpoint’in yılın ilk yarısında rapor edilen çok sayıda güvenlik açığının yazılım güvenlik sorunlarını önceliklendirmeye çalışırken şirketlerin karşılaştığı sorunları vurguladığını belirten “The State of Vulnerability Intelligence – 2022 Midyear Edition” raporundan alınmıştır. hangi yazılım güncellemelerine öncelik verileceğini belirleyin.
Flashpoint’te güvenlik açığı istihbaratı başkan yardımcısı Brian Martin, daha iyi rehberlik olmadan, güvenlik sorunlarını çözmeye çalışan kuruluşların, son derece kritik olanları küçük güvenlik açıklarından ve çevrelerini hiç etkilemeyenlerden ayırmak için mücadele ettiğini söylüyor.
Martin, “Dünyadaki herhangi bir gerçek kuruluşla ilgisi olmayacak bazı sorunlar var – dünya çapında yedi yüklemesi olan bazı Çin bloglarında bir güvenlik açığı olabilir” diyor. “Öte yandan, Microsoft ürünlerinde, Google ürünlerinde, Apple ürünlerinde güvenlik açıklarımız var. Salı Yaması ile ilgili herhangi bir sorun kadar yüksek profilli ve ilgili şeyler.”
Sorunu bulanıklaştırmak, bir yama kullanıma sunulmadan önce araştırmacılar tarafından “vahşi doğada keşfedilen” olarak etiketlenen sıfırıncı gün güvenlik açıklarına odaklanan odak noktasıdır. Bunlar hakkında bilgi toplamak zordur. Google’ın Sıfır Projesi, 2022’nin ilk yarısında vahşi ortamda istismar edilen bu tür 20 güvenlik açığını belgelerken, Flashpoint en az 17 sorun daha buldu.
Yine de en yaygın saldırılar genellikle bilinen güvenlik açıklarını kullanır.
Raporda, “Vahşi doğada keşfedilen güvenlik açıkları genellikle yüksek profilli ihlallerde kullanılıyor veya Gelişmiş Kalıcı Tehdit (APT) saldırılarına atfediliyor” diyor. “Doğaları gereği, kuruluşlar genellikle kendileri için savunma seçeneklerinden yoksundur. Ancak iş liderlerinin, vahşi doğada keşfedilen güvenlik açıklarının dünya çapında meydana gelen uzlaşmaların küçük bir kısmını temsil ettiğini akıllarında tutmaları gerekir.”
Kuruluşlar ayrıca, yazılım satıcılarının düzenli olarak planlanmış güncellemeleri nedeniyle rapor edilen yüzlerce güvenlik açığıyla günlerin artmasıyla uğraşmak zorunda kaldı. Örneğin, Şubat ayında Flashpoint, Microsoft’un Salı Yaması’ndan çıkan yayınlar ve aynı güne denk gelen diğer yazılım satıcılarının açıklamaları sayesinde 351 sorunu belgeledi. Nisan ayında, benzer bir yazılım güvenlik açığı açıklamaları yakınsaması, tek bir günde yayınlanan en yüksek güvenlik açığı sayısı 356’yı gördü.
“Kuruluşlar, güvenlik açığı açıklama ortamının oldukça değişken olduğunun ve ‘standart’ günlerin potansiyel olarak geleneksel olarak yalnızca Yama Salı günleri ve diğer benzer etkinliklerde görülen hacimleri beraberinde getirdiğinin farkında olmalıdır.” Parlama noktası raporu durumları.
Güvenlik Açığı Açıklamalarının Kartopu Düzeyleri
Rapor ayrıca, satıcılara açıklanan güvenlik açıklarının sayısının yüksek seviyelerde kalmaya devam ettiğini gösteriyor.
Ulusal Güvenlik Açığı Veritabanı (NVD) da belgelenmiştir 11.000’den fazla kusur atandı Yılın ilk altı ayındaki Ortak Güvenlik Açığı ve Etkilenmeler (CVE) tanımlayıcıları. Bununla birlikte, bunların bir kısmı bildirilen gerçek güvenlik açıkları değil, gelecekteki veya henüz açıklanacak güvenlik açıkları için CVE tanımlayıcıları ayıran satıcılardır. Flashpoint, veritabanının NVD’de belgelenenden %27 daha fazla güvenlik açığıyla ilgili ayrıntılara sahip olduğunu tahmin ediyor.
Linux’un çeşitli dağıtımları, SUSE, openSUSE Leap ve Ubuntu gibi savunmasız uygulamalar tablosunun zirvesinde yer alırken, açık kaynak odaklı şirketler, 2022’nin ilk yarısında en yüksek güvenlik açığı sayısına sahip 10 satıcıdan sadece dördünü oluşturuyordu. Yine de yüksek sayılar mutlaka bir güvensizlik işareti değildir, ancak çoğu zaman yazılım şirketinin sorunları tespit etmek ve gidermek için bir sürece sahip olduğunun bir işaretidir.
“Belirli ürünlerin ve satıcıların genel pazar payı, ürüne özgü pazar payı, rutin – veya eksiklik – açıklama takvimi, güvenlik açığı araştırmacılarının dikkati ve satıcı yanıtı gibi yüksek güvenlik açığı sayılarına sahip olma eğiliminde olmasının altında yatan birçok neden vardır. /yama zamanı, diğerleri arasında”, Flashpoint raporunda belirtilir. “Bu nedenle, kuruluşlar, aktif olarak açıkladıkları ve sorunları yamaladıklarının bir işareti olabileceğinden, tanınmış satıcıların ‘daha fazla’ güvenlik açığına sahip olmaları konusunda hemen endişelenmemelidir.”