Geleneksel yaklaşımlar güvenlik açığı yönetimi Claroty’ye göre kurumsal saldırı yüzey alanının önemli miktarda riski göz ardı eden dar bir şekilde odaklanmasına neden oluyor.
Kuruluşlar maruz kalma yönetimine bütünsel bir yaklaşım benimsemelidir
Claroty’nin araştırma grubu Team82, maruziyetin kapsamını ve siber-fiziksel sistemler (CPS) ortamlarının karşı karşıya olduğu ilişkili riskleri anlamak için, CPS’deki 20 milyondan fazla operasyonel teknoloji (OT), bağlı tıbbi cihaz (IoMT), IoT ve BT varlığından elde edilen verileri analiz etti.
Araştırma, “yüksek riskli” olarak tanımlanan, güvenli olmayan bir internet bağlantısına sahip olan ve en az bir tane içeren varlıklara odaklandı. Bilinen İstismara Uğrayan Güvenlik Açığı (KEV). Araştırmacılar “yüksek riski”, kullanım ömrü sonu durumu, güvenli olmayan protokollerle iletişim, bilinen güvenlik açıkları, zayıf veya varsayılan şifreler, PII veya PHI gibi risk faktörlerinin bir kombinasyonuna dayalı olarak istismar edilme olasılığının ve etkisinin yüksek olması olarak tanımladılar.
“Elektrik şebekesi gibi sistemleri kontrol etmek veya hayat kurtaran hasta bakımı sağlamak için kullanılan aşırı derecede maruz kalan varlıklarla ilişkili riski ölçerken sıfırdan yüksek herhangi bir sayının sonuçlarını anlamak önemlidir” dedi. Emir Preminger, Claroty’s Team82’nin araştırma başkan yardımcısı. “Kuruluşlar, çevrelerindeki saatli bombalara odaklanan risk yönetimi konusunda bütünsel bir yaklaşım benimsemelidir; çünkü her bir 9.0+ CVSS güvenlik açığını ele alma gibi imkansız görevde bir şekilde ustalaşsalar bile, yine de çoğu güvenlik açığının neredeyse %40’ını kaçıracaklardır.”
CPS varlıkları yüksek etki riski taşır
Endüstriyel OT’nin %23’ü ve tıbbi cihazların %22’si, CVSS v3.1 puanı 9,0 veya daha yüksek olan güvenlik açıklarına sahiptir ve bu, yama yapılması imkansız bir sayı olacaktır. Yüksek riskli cihazları, internete güvenli olmayan bir şekilde bağlanıp bağlanmadıkları ve hâlihazırda yaygın olarak kullanılan güvenlik açıklarını içerip içermedikleri gibi diğer faktörlere dayalı olarak yeniden kategorize ederek, en yüksek istismar riski altındaki cihazları ve sistemleri belirleyebilir ve cihazların sayısını ve yüzdesini önemli ölçüde azaltabiliriz.
OT ve IoMT’nin %1,6’sı “yüksek riskli” olarak tanımlanıyor, güvenli olmayan bir internet bağlantısına sahip ve kuruluşlar için gerçek, yakın bir tehlike oluşturan maruz kalma faktörlerinin zirvesi olan en az bir KEV içeriyor. Bu, tehdit aktörleri tarafından uzaktan erişilebilen ve doğada aktif olarak kullanılan güvenlik açıklarını içeren on binlerce yüksek riskli CPS varlığını temsil ediyor.
Geleneksel bir güvenlik açığı yönetimi yaklaşımıyla çalışmak, kuruluşlar için gerçek risk duruşları konusunda ciddi bir kör nokta oluşturur. Analiz, en yüksek riskli OT ve IoMT’nin toplam %38’inin göz ardı edileceğini gösteriyor. CVSS v3.1 puanları tek risk kriteridir. Geleneksel bir yaklaşım aynı zamanda varlık sahiplerini ve operatörlerini kuruluş başına iyileştirme için zorlu bir cihaz yüzdesiyle karşı karşıya bırakır. Kuruluşlar, en yüksek riske maruz kalanlara odaklanarak acil riskleri ve bunları düzeltmek için gereken zamanı ve kaynakları azaltabilir.
KEV veritabanı, saldırganların sıfır gün istismarını yakmak yerine bilinen, eski güvenlik açıklarını hedefleme olasılıklarının çok daha yüksek olduğunu gösteriyor (her ne kadar Google 2021’den bu yana 265 sıfır gün istismarı bildirmiş olsa da).
Gartner’a göre, “Güvenlik liderleri her zaman siber güvenlik risklerini azaltmak için gelişmiş çerçeveler ve araçlar arıyor. Bu, yalnızca önleyici bir yaklaşımdan tespit ve yanıt yeteneklerine sahip daha olgun, stratejiyi artıran önleyici kontrollere geçişi içerir. Saldırı yüzeyini yönetmeye yönelik önceki yaklaşımlar artık dijital hıza ayak uyduramıyor; kuruluşların her şeyi düzeltemediği veya hangi güvenlik açığı düzeltmesinin güvenli bir şekilde ertelenebileceğinden tam olarak emin olamadıkları bir çağda. Sürekli tehdide maruz kalma yönetimi (CTEM), bu iki imkansız uç arasındaki ince ipte yürüyerek öncelikleri sürekli olarak iyileştirmeye yönelik pragmatik ve etkili sistemik bir yaklaşımdır.”
“Güvenlik açığı odaklı bir bakış açısı tek başına kuruluşların en önemli konulara odaklanmasına yardımcı olmuyor ve güvenliği ve kullanılabilirliği riske atabilecek gerçek risklere maruz kalıyor” dedi Grant Geyer, Claroty’de CPO. “Riskin azaltılması, geleneksel bir güvenlik açığı yönetimi programından, benzersiz CPS varlık özelliklerini ve karmaşıklıklarını, benzersiz operasyonel ve çevresel kısıtlamaları, kurumsal risk toleranslarını ve CPS siber risk programının istenen sonuçlarını dikkate alan daha odaklanmış ve dinamik bir risk yönetimi programına doğru bir evrimi gerektirir. ”
0 Yorumlar