SAN JOSE, Kaliforniya, 19 Ocak 2022 /PRNewswire/ —
Haber Özeti:
- 20,130'de rekor kıran 2021 yazılım güvenlik açığı rapor edildi; bu sayı günde ortalama 55 adetti. Ancak bunların yalnızca %4'ü kuruluşlar için yüksek risk oluşturmaktadır.
- Bir kuruluş, önce yüksek riskli güvenlik açıklarını genel yararlanma koduyla düzelterek ve yüksek iyileştirme kapasitesine sahip olarak ihlal olasılığını veya "istismar puanını" 29 kata kadar büyük ölçüde azaltabilir.
- Yazılım düzeltmelerine öncelik vermek için Twitter'dan bahsetmek, kötüye kullanımı azaltmada endüstri standardı Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre iki kat daha etkilidir.
Yeni araştırmalar, güvenlik açığı yönetimine yönelik çeşitli stratejilerin başarısını ve tüm kuruluşların istismar edilebilirliğini ölçerek siber güvenlik uygulamaları için risk temelli taktik kitabını genişletti.
Bir ile 55'in ortalaması 2021'de her gün yeni yazılım güvenlik açıkları yayınlansa da, en iyi kadroya ve kaynaklara sahip BT ekipleri bile altyapılarındaki tüm güvenlik açıklarını gideremez. Neyse ki daha iyi bir çözüm var.
Tarafından yapılan araştırma Kenna Güvenlik, artık Cisco'nun bir parçası ve risk tabanlı güvenlik açığı yönetiminde pazar lideri ve Cyentia Enstitüsü, güvenlik açıklarını düzeltmek için uygun şekilde önceliklendirmenin, bir kuruluşun bunları düzeltme eki uygulama kapasitesini artırmaktan daha etkili olduğunu, ancak her ikisine birden sahip olmanın, bir kuruluşun ölçülen istismar edilebilirliğinde 29 kat azalma sağlayabileceğini gösteriyor.
Bulgular Kenna'nın son raporunda açıklanıyor: Tahminde Önceliklendirme, Cilt 8: İstismarın Ölçülmesi ve En Aza İndirilmesi.
“Ortamdaki istismarlar, güvenlik ekiplerinin hangi güvenlik açıklarına öncelik vermesi gerektiğinin en iyi göstergesiydi. Artık belirli bir kuruluşun istismar edilme olasılığını gösterebiliyoruz ki her zaman yapmak istediğimiz de buydu,” dedi, artık Cisco'nun bir parçası olan Kenna Security'nin kurucu ortağı ve baş teknoloji sorumlusu Ed Bellis. "Bu, kuruluşlara potansiyel siber tehditlerle etkili bir şekilde mücadele etme konusunda çok daha iyi bir şans veriyor ve araştırma, müşterilerimizin güvenlik açığı risklerini her gün başarılı bir şekilde yönettiklerini gösteriyor."
Yararlanılabilirlik, açık Yararlanma Tahmin Puanlama Sistemi (EPSS) kullanılarak belirlendi; tarafından sürdürülen, Kenna Security ve Cyentia Institute'un da dahil olduğu sektörler arası bir çalışmadır. FIRST.org.
Araştırma bir gerçeği doğruluyor güncel Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktifi Bu, CVSS puanlarına dayalı olarak güvenlik açıklarının düzeltilmesine öncelik vermekten uzaklaşıp bunun yerine yüksek riskli güvenlik açıklarına odaklanmanın daha akıllıca olduğunu gösteriyor. Analiz, yararlanma kodu ve hatta Twitter'da bahsedilenler gibi faktörlerin CVSS puanlarından daha iyi sinyaller olduğunu gösteriyor.
“Bu rapordaki verilere ve bulgulara dayanarak, sömürülebilirliğe geçişin büyük bir fark yaratacağı açıktır. CISA'nın yayınlanmış güvenlik açıklarının analizi, biz bu araştırmayı yürütürken bunların CVSS puanlarından da uzaklaşıyor olabileceğini gösteriyor" dedi Cyentia Institute'un ortağı ve kurucu ortağı Wade Baker. "Hesaplamalarımızı yaparken düzeltme hızını hesaba katarak bir adım daha ileri gittik; bu da güvenlik ekiplerini daha iyi bilgilendirecektir."
Araştırma şunu da öne sürüyor:
- Neredeyse tüm (%95) BT varlıkları, istismar edilebilir en az bir güvenlik açığına sahiptir.
- Güvenlik açıklarını istismar koduyla önceliklendirmek, istismar edilebilirliği en aza indirmede CVSS'den 11 kat daha etkilidir.
- Çoğu kuruluşun (%87) aktif varlıklarının en az dörtte birinde açık güvenlik açıkları var ve %41'inde her dört varlıktan üçünde güvenlik açığı bulunuyor.
- Güvenlik açıklarının %62'lik güçlü bir çoğunluğunun istismar edilme şansı %1'den azdır. CVE'lerin yalnızca %5'i %10 olasılığı aşıyor.
Ek kaynaklar
Cisco Hakkında
Cisco (NASDAQ: CSCO) İnternet'e güç veren teknolojide dünya çapında liderdir. Cisco, uygulamalarınızı yeniden tasarlayarak, verilerinizi güvence altına alarak, altyapınızı dönüştürerek ve küresel ve kapsayıcı bir gelecek için ekiplerinizi güçlendirerek yeni olanaklara ilham veriyor. The Network'te daha fazlasını keşfedin ve bizi Twitter'da takip edin.
Cisco ve Cisco logosu, Cisco ve / veya bağlı kuruluşlarının ABD'deki ve diğer ülkelerdeki ticari markaları veya tescilli ticari markalarıdır. Cisco'nun ticari markalarının bir listesi şu adreste bulunabilir: www.cisco.com/go/trademarks. Bahsedilen üçüncü taraf ticari markalar, ilgili sahiplerinin mülkiyetindedir. Ortak kelimesinin kullanılması, Cisco ile başka herhangi bir şirket arasında bir ortaklık ilişkisi olduğu anlamına gelmez.
