CVSS’den RBVM’ye: Güvenlik açığı önceliklendirmesinin doğru yapılışı

CVSS (Common Vulnerability Scoring System) ile ilk karşılaştığınızda, bunun güvenlik açıklarını önceliklendirmek için mükemmel bir araç olduğunu düşünmek kolaydır. Daha yüksek bir puan daha kritik bir güvenlik açığı anlamına gelmeli, değil mi? Gerçekte, bu yaklaşım pek işe yaramaz. Her yıl, yüksek CVSS puanlarına sahip güvenlik açıklarının sayısının arttığını görüyoruz. Güvenlik ekipleri bunların hepsini zamanında yamalayamaz, ancak bu kusurların büyük çoğunluğu gerçek dünyadaki saldırılarda asla kullanılmaz. Bu arada, saldırganlar sürekli olarak daha düşük puanlara sahip daha az gösterişli güvenlik açıklarından yararlanıyor. Çakışan CVSS puanları gibi tamamen teknik sorunlardan iş bağlamı eksikliği gibi kavramsal sorunlara kadar uzanan başka gizli tuzaklar da vardır.

Bunlar CVSS’nin kendi eksiklikleri değildir. Bunun yerine, bu aracın daha sofistike ve kapsamlı bir güvenlik açığı yönetimi sürecinin bir parçası olarak, doğru bir şekilde kullanılması gerektiğinin altını çizmektedir.

CVSS tutarsızlıkları

Aynı güvenlik açığının mevcut kaynağa bağlı olarak nasıl farklı önem derecelerine sahip olabileceğini hiç fark ettiniz mi? Bir puan bunu bulan siber güvenlik araştırmacısından, diğeri güvenlik açığı olan yazılımın satıcısından ve bir diğeri de ulusal güvenlik açığı veri tabanından mı? Bu her zaman basit bir hata değildir. Bazen farklı uzmanlar açığın bağlamı konusunda aynı fikirde olmayabilirler. Güvenlik açığı bulunan bir uygulamanın hangi ayrıcalıklarla çalıştığı veya internete açık olup olmadığı konusunda farklı fikirlere sahip olabilirler. Örneğin bir satıcı, değerlendirmesini önerilen en iyi uygulamalara dayandırabilirken, bir güvenlik araştırmacısı uygulamaların gerçek dünya kuruluşlarında tipik olarak nasıl yapılandırıldığını dikkate alabilir. Bir araştırmacı güvenlik açığı karmaşıklığını yüksek olarak değerlendirirken, bir diğeri düşük olarak değerlendirebilir. Bu nadir görülen bir durum değildir. Vulncheck tarafından 2023 yılında yapılan bir araştırma, Ulusal Güvenlik Açığı Veri Tabanındaki (NVD) güvenlik açıklarının %20’sinin farklı kaynaklardan alınan iki CVSS3 puanına sahip olduğunu ve bu eşleştirilmiş puanların %56’sının birbiriyle çeliştiğini ortaya koymuştur.

CVSS kullanırken sık yapılan hatalar

FIRST, on yılı aşkın bir süredir CVSS’nin metodolojik olarak doğru uygulanmasını savunmaktadır. Yine de güvenlik açığı yönetim süreçlerinde CVSS derecelendirmelerini kullanan kuruluşlar tipik hatalar yapmaya devam eder:

1. CVSS taban puanını birincil risk göstergesi olarak kullanmak: CVSS, bir güvenlik açığının ciddiyetini ölçer; ne zaman kötüye kullanılacağını veya bu kötüye kullanmanın saldırı düzenlenen kuruluş üzerindeki potansiyel etkisini ölçmez. Bazen kritik bir güvenlik açığı, önemsiz ve kapalı sistemlerde bulunduğu için spesifik bir şirket ortamında zararsızdır. Tersine, büyük ölçekli bir fidye yazılımı saldırısı, CVSS puanı 6 olan görünüşte zararsız bir bilgi sızıntısı açığı ile başlayabilir.
2. Tehdit/Zamansal ve Çevresel ayarlamalar olmadan CVSS Taban puanını kullanmak: Yamaların, halka açık açıklıkların ve telafi edici önlemlerin mevcudiyeti, bir güvenlik açığının nasıl ve ne kadar acilen ele alınması gerektiğini önemli ölçüde etkiler.
3. Yalnızca belirli bir puanın üzerindeki güvenlik açıklarına odaklanmak: Bu yaklaşım bazen devlet veya endüstri düzenleyicileri tarafından zorunlu kılınmaktadır (“CVSS puanı 8’in üzerinde olan güvenlik açıklarını bir ay içinde giderin”). Sonuç olarak, siber güvenlik ekipleri, gerçekte altyapılarını daha güvenli hale getirmeyen, sürekli artan bir iş yüküyle karşı karşıya kalmaktadır. Her yıl tespit edilen yüksek CVSS puanına sahip güvenlik açıklarının sayısı son 10 yılda hızla artmaktadır.
4. Kötüye kullanma olasılığını değerlendirmek için CVSS kullanmak: Bu ölçütler arasında zayıf bir korelasyon vardır; kritik güvenlik açıklarının yalnızca %17’si saldırılarda kullanılmaktadır.
5. Sadece CVSS derecelendirmesini kullanmak: CVSS’de standartlaştırılmış vektör dizisi, savunucuların bir güvenlik açığının ayrıntılarını anlayabilmeleri ve kendi organizasyonları içindeki önemini bağımsız olarak hesaplayabilmeleri için tanıtıldı. CVSS 4.0, ek metrikler kullanarak iş bağlamını hesaba katmayı kolaylaştırmak için özellikle revize edilmiştir. Yalnızca sayısal bir derecelendirmeye dayanan herhangi bir güvenlik açığı yönetimi çalışması büyük ölçüde etkisiz olacaktır.
6. Ek bilgi kaynaklarını göz ardı etmek: Tek bir güvenlik açığı veri tabanına güvenmek ve sadece CVSS analizi yapmak yetersizdir. Yamalar, çalışan kavram kanıtları ve gerçek dünyadaki kötüye kullanım vakaları hakkında veri olmaması, güvenlik açıklarının nasıl ele alınacağına karar vermeyi zorlaştırmaktadır.

CVSS bir güvenlik açığı hakkında size ne söylemez?

CVSS; bir güvenlik açığının ciddiyetini, hangi koşullar altında kötüye kullanılabileceğini ve savunmasız bir sistem üzerindeki potansiyel etkisini tanımlamak için tasarlanmış bir endüstri standardıdır. Ancak, bu açıklamanın (ve CVSS Taban puanının) ötesinde, kapsamadığı çok şey vardır:

• Güvenlik açığını kim buldu? Satıcı mı, hatayı bildiren ve yama bekleyen etik bir araştırmacı mı, yoksa kötü niyetli bir aktör mü?
• Herkesin ulaşabileceği bir güvenlik açığı var mı? Başka bir deyişle, güvenlik açığından faydalanmak için kullanılabilecek hazır kod var mı?
• Gerçek dünya senaryolarında kullanılması ne kadar pratik?
• Bir yama var mı? Tüm savunmasız yazılım sürümlerini kapsıyor mu ve uygulamanın potansiyel yan etkileri neler?
• Kuruluş güvenlik açığını ele almalı mı? Yoksa sağlayıcının kusurları otomatik olarak düzelteceği bir bulut hizmetini (SaaS) mi etkiliyor?
• Vahşi doğada sömürü belirtileri var mı?
• Hiçbiri yoksa, saldırganların gelecekte bu güvenlik açığından yararlanma olasılığı ne?
• Kuruluşunuzdaki hangi belirli sistemler savunmasız?
• Kötüye kullanım bir saldırgan için pratik olarak erişilebilir durumda mı? Örneğin, bir sistem çevrimiçi herkesin erişebildiği kurumsal bir web sunucusu olabilir veya ağ erişimi olmayan tek bir bilgisayara fiziksel olarak bağlı savunmasız bir yazıcı olabilir. Daha karmaşık bir örnek, bir yazılım bileşeninin yöntemindeki bir güvenlik açığı olabilir. Ancak bu bileşeni kullanan belirli bir iş uygulaması, yöntemi hiçbir zaman çağırmaz.
• Savunmasız sistemler tehlikeye girerse ne olur?
• Böyle bir olayın işletmeye finansal maliyeti nedir?

Tüm bu faktörler, bir güvenlik açığının ne zaman ve nasıl giderileceği, hatta giderilmesinin gerekli olup olmadığı kararını önemli ölçüde etkiler.

CVSS nasıl iyileştirilir? Cevap RBVM’de!

CVSS sınırları içinde hesaba katılması genellikle zor olan birçok faktör, risk tabanlı güvenlik açığı yönetimi (RBVM) olarak bilinen popüler bir yaklaşımın merkezinde yer alır.

RBVM, düzenli olarak tekrarlanan birkaç temel aşaması olan, bütünsel ve döngüsel bir süreçtir:

• İşletmenizin tüm BT varlıklarının envanterini çıkarır. Buna bilgisayarlar, sunucular ve yazılımlardan bulut hizmetleri ve IoT cihazlarına kadar her şey dahildir.
• Varlıkları önem sırasına göre önceliklendirir; en değerli varlıklarınızı belirler.
• Bilinen güvenlik açıkları için varlıkları tarar.
• Güvenlik açığı verilerini zenginleştirir. Bu, CVSS-B ve CVSS-BT derecelendirmelerinin iyileştirilmesini, tehdit istihbaratının dahil edilmesini ve istismar olasılığının değerlendirilmesini içerir. İstismar edilebilirliği ölçmek için iki popüler araç; çoğu güvenlik açığı için gerçek dünyada kötüye kullanılma olasılığının yüzdesini veren bir başka FIRST derecelendirmesi olan EPSS ve saldırganlar tarafından aktif olarak kötüye kullanılan güvenlik açıkları hakkında bilgi içeren CISA KEV gibi danışmanlık veren veri tabanlarıdır.
• İş bağlamını tanımlar: Bir güvenlik açığından yararlanılmasının savunmasız sistemler üzerindeki potansiyel etkisini anlamak, yapılandırmalarını ve kuruluşunuzda nasıl kullanıldıklarını göz önünde bulundurmak gibi…
• Yamalar ya da telafi edici önlemler yoluyla güvenlik zafiyetinin nasıl nötralize edilebileceğini belirler.
• En heyecan verici kısım, iş riskini değerlendirmek ve toplanan tüm verilere dayanarak öncelikleri belirlemektir. En yüksek kötüye kullanım olasılığına ve önemli BT varlıklarınız üzerinde olası önemli etkiye sahip güvenlik açıklarına öncelik verilir. Güvenlik açıklarını sıralamak için, toplanan tüm verileri Çevresel bileşene dahil ederek CVSS-BTE’yi hesaplayabilir veya alternatif sıralama metodolojileri kullanabilirsiniz. Düzenleyici hususlar da önceliklendirmeyi etkiler.
• Risk seviyesine ve güncellemeler için en uygun zaman gibi operasyonel hususlara dayalı olarak her bir güvenlik açığının çözümü için son tarihleri belirler. Güncellemeler veya yamalar mevcut değilse veya bunların uygulanması yeni riskler ve karmaşıklıklar ortaya çıkarıyorsa, doğrudan iyileştirme yerine telafi edici önlemler alınır. Bazen, bir güvenlik açığını düzeltmenin maliyeti, oluşturduğu riskten daha ağır basar ve bu açığın hiç düzeltilmemesine karar verilebilir. Bu gibi durumlarda işletme, güvenlik açığının istismar edilmesi riskini bilinçli olarak kabul eder.

Bahsettiklerimize ek olarak, şirketinizin güvenlik açığı ortamını ve BT altyapısını periyodik olarak analiz etmek çok önemlidir. Bu analizin ardından, tüm güvenlik açığı sınıflarının istismar edilmesini önleyen veya belirli BT sistemlerinin genel güvenliğini önemli ölçüde artıran siber güvenlik önlemleri almanız gerekir. Bu önlemler arasında ağ mikro segmentasyonu, en az ayrıcalık uygulaması ve daha sıkı hesap yönetimi ilkelerinin benimsenmesi sayılabilir.

Doğru şekilde uygulanan bir RBVM süreci, BT ve güvenlik ekipleri üzerindeki yükü büyük ölçüde azaltır. Çabaları öncelikle işletme için gerçek bir tehdit oluşturan kusurlara yönelik olduğu için zamanlarını daha etkili bir şekilde harcarlar. Bu verimlilik kazanımlarının ve kaynak tasarruflarının ölçeğini kavramak için bu FIRST çalışmasını inceleyebilirsiniz. Yalnızca EPSS kullanarak güvenlik açıklarını önceliklendirmek, güvenlik açıklarının yalnızca %3’üne odaklanarak %65 verimlilik elde etmenizi sağlar. Tam tersine, CVSS-B’ye göre önceliklendirme, güvenlik açıklarının %57’sinin %4’lük bir etkinlikle ele alınmasını gerektirmektedir. Burada “verimlilik”, gerçekte kötüye kullanılmış olan güvenlik açıklarının başarılı bir şekilde ortadan kaldırılması anlamına gelmektedir.