Nya cybersäkerhetssårbarheter ökade i en aldrig tidigare skådad takt under 2021, med antalet sårbarheter som nådde den högsta nivån som någonsin rapporterats under ett enda år. Som en hotanalytiker som övervakar säkerhetsrådgivning dagligen, observerade jag också en 24 % hoppar in i nya sårbarheter som utnyttjas i det vilda
förra året — vilket indikerar att hotaktörer och utvecklare av skadlig programvara blir bättre på att beväpna nya sårbarheter. Inte bara ökar sårbarheterna i en aldrig tidigare skådad hastighet, utan hotaktörer har också blivit bättre på att tävla för att dra fördel av dem med en rad nya skadliga program och utnyttjar.

Dessa fynd förstärktes av Varning för Cybersecurity and Infrastructure Security Agency (CISA) utfärdades i april 2022: "Globalt, 2021, riktade illvilliga cyberaktörer sig mot internetbaserade system, såsom e-postservrar och virtuella privata nätverksservrar (VPN), med utnyttjande av nyligen avslöjade sårbarheter. För de flesta av de mest exploaterade sårbarheterna har forskare eller andra aktörer släppt proof of concept (POC)-kod inom två veckor efter att sårbarheten avslöjats, vilket troligen underlättar utnyttjandet av ett bredare spektrum av illvilliga aktörer.”

Fokusera på aktiva hot och exponering

Det finns ett guldkant på denna sammansatta ökning av sårbarheter år över år: Hur kontraintuitivt det än kan låta, är det troligt att åtgärda alla sårbarheter är onödigt för de flesta organisationer. Och med många stora företag som kämpar mot miljontals sårbarheter är det en omöjlig uppgift att omedelbart åtgärda alla brister som identifierats av traditionella sårbarhetsskannrar.

Varför existerar alert trötthet? Traditionella metoder för att förstå hur allvarliga sårbarheter är bygger nästan uteslutande på Common Vulnerability Scoring System (CVSS). CVSS ger dock bara en allmän bild och tar inte hänsyn till hur sårbarheten skulle utnyttjas inom ett specifikt nätverk. Som ett resultat lämnas organisationer att hantera en enorm lista av sårbarhetsvarningar med liten eller ingen insyn i hur de ska prioriteras baserat på specifika säkerhetskontroller och konfigurationer.

Riskbaserad tillvägagångssätt

Även om cybersäkerhetsintrång ökade kraftigt från år till år, är den goda nyheten att 48 % av organisationerna utan intrång tog en riskbaserad strategi. Detta riskbaserade tillvägagångssätt inkluderar fem nyckelingredienser:

• Attackytans synlighet och sammanhang
• Attacksimulering
• Exponeringshantering
• Riskpoäng
• Sårbarhetsbedömningar

Faktisk riskminskning kräver fokus på att eliminera de hot som är viktiga. Tack och lov omfamnar cybersäkerhetsledare nu det faktum alla sårbarheter skapas inte lika. Detta nya sätt att tänka gör det möjligt för SecOps att hänsynslöst prioritera de sårbarheter som är viktiga för åtgärdande och kvantifierbart minska risken.

Modellering av cyberriskhantering

Riskhantering är en väsentlig princip för cybersäkerhet, som gör det möjligt för säkerhetsteam att prioritera hot baserat på deras potentiella påverkan på en organisation.

För en omfattande riskpoäng, överväg att lägga till dessa element i den statiska CVSS:en:

Exploateringsbarhet: Utnyttjar hotaktörer sårbarheten i det vilda?

Exponering: Skyddar befintliga säkerhetskontroller den sårbara tillgången?

Tillgångens betydelse: Är tillgången verksamhetskritisk? Skulle det avslöja känsliga uppgifter?

Finansiell påverkan: Hur mycket kommer det att kosta ditt företag per dag om systemet äventyras?

Nu är det dags att dra nytta av den data du har för att omfamna förebyggande av intrång som kommer att bekämpa bieffekterna av digital transformation och moderna it-brottsstrategier. Det innebär att fokusera på aktiva hot som är tillgängliga för motståndare och har potential att förstöra ditt företag ekonomiskt – istället för de miljontals sårbarheter som inte ens avslöjas.

Beväpnade med modellering av cyberrisk har säkerhetsteamen befogenhet att lokalisera de risker som är viktiga och prioritera sanering där det verkligen behövs. Att berätta för en CISO att du har tagit bort tusentals exploaterbara sårbarheter och familjer med skadlig programvara på en enda månad kommer att resultera i en nöjd chef.