Sommige kwesbaarhede is vergeefbaar, maar swak pleisterbestuur is nie
INHOUDSOPGAWE:
Aan die begin van die jaar het die Verenigde Koninkryk se nasionale kuberveiligheidsentrum (NCSC) 'n beroep op die sagteware-industrie gedoen om sy werk bymekaar te kry. Te veel "fundamentele kwesbaarhede" gly deur na kode, wat die digitale wêreld 'n gevaarliker plek maak, het dit aangevoer. Die plan is om sagtewareverkopers te dwing om hul prosesse en gereedskap te verbeter om hierdie sogenaamde "onvergeeflike" kwesbaarhede eens en vir altyd uit te roei.
Alhoewel dit ambisieus in omvang is, sal dit 'n geruime tyd neem vir die agentskap se plan om vrugte af te werp – indien dit enigsins gebeur. Intussen moet organisasies beter word om te pleister. Dit is waar ISO 27001 kan help deur bate-deursigtigheid te verbeter en te verseker dat sagteware-opdaterings volgens risiko geprioritiseer word.
Die probleem met CVE's
sagteware die wêreld geëet het baie jare gelede. En daar is vandag meer daarvan as ooit tevore – die bestuur van kritieke infrastruktuur, wat ons in staat stel om naatloos te werk en te kommunikeer, en bied eindelose maniere om onsself te vermaak. Met die koms van KI-agente sal sagteware homself steeds verder insluit in die kritieke prosesse waarop besighede, hul werknemers en hul kliënte staatmaak om die wêreld te laat draai.
Maar omdat dit (grootliks) deur mense ontwerp is, is hierdie sagteware geneig tot foute. En die kwesbaarhede wat uit hierdie koderingsfoute spruit, is 'n sleutelmeganisme vir bedreigingsakteurs om netwerke te breek en hul doelwitte te bereik. Die uitdaging vir netwerkverdedigers is dat daar die afgelope agt jaar 'n rekordgetal kwesbaarhede (CVE's) gepubliseer is. Die syfer vir 2024 was oor 40,000. Dit is baie sekuriteitsopdaterings om toe te pas.
Solank as wat die volume en kompleksiteit van sagteware aanhou groei, en navorsers en bedreigingsrolspelers aangespoor word om kwesbaarhede te vind, sal die aantal jaarlikse CVE's aanhou styg. Dit beteken meer kwesbaarhede vir bedreigingsakteurs om te ontgin.
Volgens een skatting, 'n yslike 768 CVE's is verlede jaar in die openbaar gerapporteer dat hulle in die natuur uitgebuit is. En hoewel 24% hiervan nul-dae was, was die meeste nie. Trouens, terwyl KI-instrumente sommige bedreigingsakteurs help ontgin kwesbaarhede vinniger as ooit tevore, bewyse stel ook voor dat erfenisfoute 'n groot probleem bly. Dit onthul dat 40% van kwesbaarhede wat in 2024 uitgebuit is van 2020 of vroeër was, en 10% van 2016 of vroeër was.
Wat wil die NCSC doen?
In hierdie konteks maak die NCSC se plan sin. Sy Jaarlikse oorsig 2024 betreur die feit dat sagtewareverkopers eenvoudig nie aangespoor word om veiliger produkte te produseer nie, met die argument dat die prioriteit te dikwels op nuwe kenmerke en tyd om te bemark is.
"Produkte en dienste word vervaardig deur kommersiële ondernemings wat in volwasse markte werksaam is wat - verstaanbaar - groei en wins eerder as die veiligheid en veerkragtigheid van hul oplossings prioritiseer. Dit is onvermydelik klein en mediumgrootte ondernemings (KMO's), liefdadigheidsorganisasies, onderwysinstellings en die breër openbare sektor wat die meeste geraak word, want vir die meeste organisasies is koste-oorweging nie die primêre dryfveer nie."
"Eenvoudig gestel, as die meerderheid kliënte prys en kenmerke bo 'sekuriteit' prioritiseer, sal verskaffers daarop konsentreer om tyd tot mark te verminder ten koste van die ontwerp van produkte wat die sekuriteit en veerkragtigheid van ons digitale wêreld verbeter."
In plaas daarvan hoop die NCSC om te bou 'n wêreld waar sagteware "veilig, privaat, veerkragtig en toeganklik vir almal" is. Dit sal vereis dat dit vir verkopers en ontwikkelaars makliker gemaak word om "topvlak-versagtings" te implementeer deur verbeterde ontwikkelingsraamwerke en aanvaarding van veilige programmeringskonsepte. Die eerste fase help navorsers om te bepaal of nuwe kwesbaarhede “vergeefbaar” of “onvergeeflik” is – en sodoende momentum vir verandering te bou. Almal is egter nie oortuig nie.
“Die NCSC se plan het potensiaal, maar die sukses daarvan hang af van verskeie faktore soos industrie-aanneming en aanvaarding en implementering deur sagtewareverkopers,” waarsku Javvad Malik, hoofadvokaat vir sekuriteitsbewustheid by KnowBe4. "Dit maak ook staat op verbruikersbewustheid en vraag na veiliger produkte sowel as regulatoriese ondersteuning."
Dit is ook waar dat, selfs al het die NCSC se plan gewerk, daar steeds baie "vergeefbare" kwesbaarhede sou wees om CISO's snags wakker te hou. So, wat kan gedoen word om die impak van CVE's te versag?
'n Standaarde-gebaseerde benadering
Malik stel voor dat die beste praktyk sekuriteitstandaard ISO 27001 'n nuttige benadering is.
"Organisasies wat in lyn is met ISO27001 sal meer robuuste dokumentasie hê en kwesbaarheidsbestuur kan belyn met algehele sekuriteitsdoelwitte," sê hy aan ISMS.online.
Huntress senior bestuurder van sekuriteitsbedrywighede, Dray Agha, voer aan dat die standaard 'n "duidelike raamwerk" bied vir beide kwesbaarheid en pleisterbestuur.
"Dit help besighede om voor bedreigings te bly deur gereelde sekuriteitskontroles af te dwing, hoërisiko-kwesbaarhede te prioritiseer en tydige opdaterings te verseker," sê hy aan ISMS.online. “Eerder as om op aanvalle te reageer, kan maatskappye wat ISO 27001 gebruik ’n proaktiewe benadering volg, hul blootstelling verminder voordat kuberkrakers selfs toeslaan, en kubermisdadigers ’n vastrapplek in die organisasie se netwerk ontsê deur die omgewing te pleister en te verhard.”
Agha voer egter aan dat pleister alleen nie voldoende is nie.
"Besighede kan verder gaan om teen kuberbedreigings te verdedig deur netwerksegmentering en webtoepassingsbrandmure (WAF's) te ontplooi. Hierdie maatreëls dien as ekstra lae van beskerming, en beskerm stelsels teen aanvalle selfs al word pleisters vertraag," gaan hy voort. “Die aanneming van nultrust-sekuriteitsmodelle, bestuurde opsporing en reaksiestelsels en sandboxing kan ook die skade beperk as 'n aanval wel deurbreek.”
Malik van KnowBe4 stem saam en voeg by dat virtuele pleistering, eindpuntopsporing en reaksie goeie opsies is om verdediging op te bou.
"Organisasies kan ook penetrasietoetse op sagteware en toestelle onderneem voordat dit in produksie-omgewings ontplooi word, en dan periodiek daarna. Bedreigingsintelligensie kan gebruik word om insig te gee in opkomende bedreigings en kwesbaarhede," sê hy.
"Baie verskillende metodes en benaderings bestaan. Daar was nog nooit 'n tekort aan opsies nie, so organisasies moet kyk wat die beste werk vir hul spesifieke risikoprofiel en infrastruktuur."
