Güvenlik Açıkları Bir Siber Suçlunun En İyi Arkadaşıdır

Siber suçluların ve bilgisayar korsanlarının bir kuruma sızmasına ve nüfuz edişine dair yöntemler tartışıldığında, konu hep güvenlik açıkları ve istismar kitlerinin kullanılmasına gelir. Tüm yazılımlar hatalar içerebileceğinden, bir tehdit aktörünün ya yeni açığa çıkmamış bir güvenlik açığına (sıfır gününe) sahip olması ya da daha önce ifşa edilen pek çok güvenlik açığını kullanması ve bir makineyi veya cihazı tehlikeye atmak için donanımlı bir exploit oluşturması gerekir. Bu WannaCry, Petya / Not-Petya ve Equifax ihlali dahil olmak üzere 2017’deki en büyük tehditlerin çoğu için geçerliydi. Siber suçlular, yama yönetiminin çok zor olduğunu ve kurumlardaki pek çok sistemin, eskiyen yazılımların veya aygıtların satıcı politikaları nedeniyle yamalanmadığını biliyor. Bütün bunlar kurumların savunmasında kritik boşluklar yaratıyor. İyi haber şu ki, kurumları hem bilinen hem de bilinmeyen istismarlardan koruyacak güvenlik açıklarının sorumlu bir şekilde açıklanmasını ön planda tutan bir organizasyon var.

Trend Micro’nun Zero DayInitiative veya ZDI 2005 yılında, araştırmacıları teşvik edici bir program aracılığıyla finansal olarak ödüllendirilmesi yoluyla sıfır gün açıklarının üreticilere rapor edilmesini motive etmek amacıyla kuruldu. Bugün, ZDI, birçok ülkenin kritik altyapılarında kullanılan Microsoft, Adobe, Apple, VMware, Oracle ve hatta SCADA / ICS uygulamalarıyla sınırlı olmamak kaydıyla daha önce keşfedilmemiş güvenlik açıklarını sunan iç ekibin yanı sıra, dünya çapındaki 3.500’den fazla bağımsız araştırmacının yer aldığı, dünyanın en büyük tedarikçi-bağımsız ödüllü hata bulma programıdır. Bu program aracılığıyla, ZDI açığa çıkmamış güvenlik açıklarını elde edebilir ve doğrulayabilir, etkilenen üreticilerle birlikte çalışarak bu açıkları sorumlu bir şekilde açıklayabilir. Çoğu durumda, üreticiler, güvenlik açığının kamuya açıklanmasından önce mevcut bir yama bulunduğundan emin olurlar. İki önemli etkinlik olan Pwn2Own ve Mobile Pwn2Own’da her yıl araştırmacılar bir araya gelip parasal teşvikler ve Master of Pwn ödülünü almak için keşfettikleri güvenlik açıklarını ortaya dökerler. Bu etkinlikler ZDI tarafından yönetilen ve üreticilerin yama sağlaması için yeni güvenlik açıklarını ortaya çıkarmanın bir başka yoludur.

ZDI’nın “dünyanın en büyük hata ödül programı” olduğunu neye dayanarak söylediğimizi (Trend Micro) merak ediyor olabilirsiniz. “Frost&Sullivan” Küresel Kamu Güvenlik Açığı Araştırması Analizi, 2017 ” ZDI dahil olmak üzere kamu güvenlik açığı raporlama ajanslarının çoğunu profilleyen raporunu yayınladı. ZDI 2007’den beri, sadece en fazla güvenlik açığı raporlayan değil, aynı zamanda en çok ICS-CERT’e bildirilen ve en kritik güvenlik açıklarını bulan tek program olarak profillenmiştir. Rapordaki 2017 rakamlarından bazıları şunlardır:

  • 1,522 açıklık kamuya açıklandı
  • 1,009 (% 66,3) ZDI’den geldi
  • Kritik ya da Yüksek Öncülük olarak kategorize edilen %8, ZDI tarafından açıklanmıştır.

Kamu ve Trend Micro müşterileri için bu ne anlama geliyor? ZDI ve bağımsız araştırmacıları, SCADA / ICS kritik altyapılarına sahip işletmelerin ve kuruluşların kullandığı işletim sistemlerinde ve uygulamalarında bulunan güvenlik açıklarının birçoğunun, güvenlik açığı açıklanırken uygulanabilecek bir yamaya sahip olmasını sağlamaya yardımcı olmaktadır. Böylece, kurumların yamaları uygulamalarına ve onları hedefleyebilecek aktörler tarafından yaratılan herhangi bir istismara karşı korunma sağlamalarına imkan sunar. Ancak, TippingPoint ürünlerini kullanan Trend Micro müşterileri için, açıklanan yama etkilenen üretici tarafından kullanılabilir hale getirilmeden önce sanal bir yama yoluyla bu güvenlik açıkları için önleyici korumaya sahip olmak anlamına gelir. Müşteriler için 2017 yılında önceden açıklanmış filtreler üretici yaması öncesinde hazırdı:

  • Microsoft bültenlerinden 42 gün önce
  • Adobe bültenlerinden 63 gün önce
  • Tüm üretici bültenlerinden 72 gün önce

Bu, tehdit aktörlerinin bir istismar yaratması için olası fırsatları en aza indirir ve bir üreticinin yama çıkarmasından önce veya sonrasında saldırılarda onu kullanır. Organizasyonlar, sanal yamaları çok etkili bir şekilde kullanabilir ve yamalar minimum operasyon kesintisiyle korunmalarını sağlar. İstismarlara ve istismar kitlerine karşı koruma ZDI tarafından sağlanan dünya çapında güvenlik açığı araştırması yoluyla proaktif olarak geliştirilmektedir.

ZDI ve Frost&Sullivan raporundaki istatistikler hakkında daha fazla bilgi için, bu infografiğe göz atın. Frost&Sullivan raporunun tamamını okumak için buradan indirebilirsiniz.

Düşüncelerinizi aşağıdaki yorumlara ekleyebilir ve Twitter’da bizi takip edebilirsiniz; @trendmicrotr

Bir cevap yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.