A kiberbűnözők optimisták. Felkutatják a jól látható biztonsági réseket és megcélozzák az ismert sebezhetőségeket, hogy hozzáférhessenek a kritikus adatokhoz. És jellemzően sikerrel is járnak. A legújabb kutatások szerint a sikeres támadások 82%-ában a kijavítatlan sérülékenységek és a kockázatos szolgáltatások – például a Remote Desktop Protocol (RDP) – érintettek.
A támadók tudják, hogy a legtöbb IT- és biztonsági csapatot túlterheli a szervezetben található nagy számú sérülékenység folyamatos javítása. Sok vállalat továbbra is a sérülékenységkezelés hagyományos megközelítésére támaszkodik, mint amilyenek a rendszertelen szkennelések vagy olyan CVSS- rangsorolások, amelyek nem veszik figyelembe a szervezetre jellemző kockázatokat. Következésképpen a biztonsági csapatok továbbra is leterheltek, és sikertelenül próbálnak felzárkózni egy soha véget nem érő játékban.
A Skybox 2023-as trendjelentése szerint 2022-ben 25.096 új sebezhetőség jelent meg, ami 25%-os ugrást jelent 2021-hez képest. A gyártó arra számít, hogy a növekedés az elkövetkező években is folytatódni fog, számos új lehetőséget kínálva a támadóknak.
További nehézség, hogy a biztonsági csapatok létszáma továbbra is alacsony. A Verizon Data Breach Report szerint a szervezetek kritikus sérülékenységeinek javítási ideje átlagosan 49 nap. Tekintettel arra, hogy a legtöbb szervezet havonta (vagy akár negyedévente) egyszer végez sérülékenységszkennelést, és 2023-ban a sebezhetőségeknek csak a 16%-a volt kritikus, el lehet képzelni, hogy mennyi időbe telik a kevésbé kritikus sérülékenységek befoltozása. A kiberbűnözők megtanulták ezt előnyükre fordítani, és gyakran az alacsonyabb CVE-besorolású kitettségekre összpontosítanak támadásaik végrehajtása során.
Azt is érdemes megjegyezni, hogy a CISA szerint a kritikus sérülékenységek jelentős hányada annyira összetett, hogy a kiberbűnözők soha nem használják ki, hanem szívesebben választják a könnyebb célpontokat.
Ezért kell a szervezeteknek módosítaniuk a sérülékenységkezelési stratégiájukat, és el kell kezdeniük a CVSS-besoroláson túlmutató tényezőket is megvizsgálni. Egy modern, folyamatos sérülékenységkezelési megoldás
például figyelembe veszi, hogy a sérülékenységet valóságosan kihasználták-e, ami lényegesen értékesebb információt jelenthet egy IT-csapatnak, mint a CVSS minősítés.
Alternatív sérülékenységrangsorolási módszertanra van tehát szükség!
A rendszerek és alkalmazások patchelése fontos lépés a sebezhetőségi kockázatok csökkentésében. Mindazonáltal azt is tudjuk, hogy egy eszköz leállítása, akár csak rutin biztonsági karbantartások miatt is, kihat a termelékenységre, és a szolgáltatás megszakítását is jelentheti az ügyfelek számára (gondoljunk csak az energiaszektorra). Ráadásul minden javítással fennáll annak a veszélye, hogy új sebezhetőség kerül a rendszerbe.
Kritikus a kellő gondosság a javítások kezelésével kapcsolatban, de elengedhetetlen a gyors cselekvés a magas kockázatú sebezhetőségek esetén is.
Amint a CISA megjegyzi, a rosszindulatú szereplők rendkívül gyorsan kihasználják az általuk kiszemelt sebezhetőségeket: a 42 százalékukat már a nulladik napon.
A kockázatcsökkentésnek léteznek alternatív módjai, amelyek ellenállóbbá teszik a szervezeteket a jogsértésekkel szemben. Például a folyamatos, szkennelést nem igénylő vizsgálatok láthatóvá teszik a rendszer sérülékenységét, és azonnal figyelmeztetnek azokra a kockázatokra, amelyek máskülönben csak időszakos (havi vagy gyakoribb) szkennelések során derülnének ki. Ezáltal a biztonsági rések élettartama több hónapról alig egy napra csökken. A folyamatos, szkennelés nélküli vizsgálat továbbá jelentős mértékben csökkenti a javítási ciklusok közötti idő (ún. „patch lag”) kockázatát is.
Összefoglalva a tanulságokat a támadók által használt stratégiákból:
A sebezhetőségek orvoslásának rangsorolása nem csak a kockázati pontszám alapján, hanem a hozzáférhetőség, a valós kihasználás és az eszköz fontossága alapján történik.
Az infrastruktúra elleni támadási útvonalak proaktív tesztelésére támadásszimulációkkal utánozhatók a bűnözők által a hálózat eléréséhez használt általános módszerek.
Telepítés előtt ellenőrizni kell, hogy a változtatások nem vezetnek-e be véletlenül új veszélyforrásokat.
A sérülékenységkezelési megoldásnak integrálnia kell a különböző szkennelőeszközöket a sebezhetőségi adatok kiszűrése, normalizálása és a leghatékonyabb helyreállítási prioritások meghatározása érdekében.
A Skybox Vulnerability Control a Continuous Exposure Management platform részeként a hagyományos sebezhetőségkezelési megoldásoktól eltérő megközelítést alkalmaz. Jelentősen csökkenti a zajt azáltal, hogy gyorsan azonosítja a sérülékenységeket, priorizálja azokat, és automatikusan javaslatokat tesz a javításra.
A Skybox megoldásaival kapcsolatban keresse a RelNet szakértőit!
Forrás
Think like a cybercriminal to reduce cyber exposure
Kapcsolódó tartalom
Skybox Security képzések a RelNet eLearning programban