Yama yönetimi söz konusu olduğunda üç önemli oyuncu vardır: güvenlik analistleri, BT uzmanları ve saldırganlar. Ve ne yazık ki, genellikle güvenlik ve BT ekipleri arasında saldırganlara karşı başarılı bir şekilde savunma yapmalarını engelleyen çok fazla sürtüşme vardır. Bu, saldırganın başarılı olmak için yalnızca bir zayıflığı veya güvenlik açığını bilmesi gerektiği, savunucuların ise kendilerini savunmak için her zayıflığı veya güvenlik açığını bilmesi gerektiği asimetrik bir tehdide yol açar.
Güvenlik analistleri, siber güvenlik tehditlerine ve saldırılarına sürekli olarak öncelik verir ve bunlara yanıt verir. Genellikle bir güvenlik olayını ele alma baskısı altındayken, riski değerlendirmek ve anlamak için genellikle birden fazla güvenlik aracı ve tehdit kaynağı arasında gezinirler. Kuruluşu olumsuz etkileyebilecek tehdit istihbaratı, hükümet uyarıları ve güvenlik olaylarının üstünde kalırlar.
Bu arada, BT ekiplerine sistem kullanılabilirliği ve yanıt verme görevi verilir, bu da öncelikli risk iletilmediği sürece yamaları uygulamakta tereddüt etmelerine neden olur. Sürekli çalışma süresi ihtiyacını, planlanmamış ve test edilmediği veya incelenmediği takdirde sistem performansını ve güvenilirliğini olumsuz etkileyebilecek güvenlik yamalarını uygulama ihtiyacı ile dengelemeleri gerekir. Bu uzmanlar ayrıca genellikle silolarda çalışarak BT bakımını ve sorumluluk alanları için riskleri yönetir.
Bir de geniş ölçekte karmaşık saldırılar başlatmak için bu kurumsal güvenlik açıklarından yararlanan tehdit aktörleri var. Maksimum etkiyi elde etmek için hizmet olarak siber suçtan giderek daha fazla yararlanıyorlar. Örneğin, Conti, bir hizmet olarak fidye yazılımı modeli altında faaliyet gösteren, günümüzün en büyük fidye yazılımı çetelerinden biridir. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) yakın zamanda gözlemlenen ABD ve uluslararası kuruluşlara yönelik 400’den fazla saldırıda Conti fidye yazılımının artan kullanımı.
Fidye yazılımlarına karşı savaşı kazanmak ve siber suçlara karşı etkin bir şekilde savunma yapmak için güvenlik ve BT ekipleri birlikte çalışmalıdır. Saldırganlarla savaşmak için ortak bir amaç için birleşmeliler. Tüm düşük meyveleri toplamak ve yama süresini kısaltmak için işbirliği yapmaları gerekir, bu da saldırganların vazgeçip diğer hedeflere geçmelerini zorlaştırır.
Risk tabanlı güvenlik açığı yönetimi kavramının devreye girdiği yer burasıdır. BT ve güvenlik ekiplerinin güneş altında her şeyi düzeltmesi imkansız, bu yüzden öncelik vermeleri gerekiyor. Ayrıca, her güvenlik açığı aynı değildir; aslında, %10’dan az bilinen açıkları var. BT ve güvenlik ekipleri her küçük şeyi düzeltmeye çalışmamalıdır. Bunun yerine, etki ve aktif tehdit bağlamına dayalı olarak yama yapmalıdırlar.
Bugün, 200.000 benzersiz güvenlik açığı var ve bunların 22.000’inde yamalar var. Yine de, istismarlar veya kötü amaçlı yazılımlar yoluyla silahlandırılan 25.000 güvenlik açığından yalnızca 2.000’inde yamalar var. Bu, BT ve güvenlik ekiplerinin diğer 20.000 yamayı hemen görmezden gelebileceği anlamına gelir.
Oradan, kuruluşlar en yüksek riski oluşturan silahlandırılmış güvenlik açıklarını belirlemelidir. Diyelim ki 6.000 silahlı güvenlik açığı uzaktan kod yürütme yeteneğine sahip ve 589 yama mevcut. Ancak bu 6.000 silahlı güvenlik açığından sadece 130’u aktif olarak trend oluyor, yani saldırganlar vahşi ortamda bu güvenlik açıklarına saldıracaklarını söylüyor. Ve bu 130 trend güvenlik açığı için 68 yama mevcut. BT ve güvenlik ekipleri bu 68 yamayı uygulamaya öncelik vermelidir.
En iyi endüstri liderleri, uygulayıcılar ve analist firmalar, güvenlik açığı zayıflıklarını belirlemek ve önceliklendirmek ve ardından iyileştirmeyi hızlandırmak için risk tabanlı bir yaklaşım önermektedir. Beyaz Saray son zamanlarda bir not yayınladı Kuruluşları, yama yönetimini yönlendirmek ve siber güvenliği fidye yazılımı saldırılarına karşı desteklemek için risk tabanlı bir değerlendirme stratejisi kullanmaya teşvik etmek.
Sonuç olarak, kuruluşlar en yüksek risk maruziyetini düzeltmeye odaklanmalıdır. Bunu yapmak için kuruluşların her yama ve istismar edilebilir, silahlandırılmış ve fidye yazılımıyla bağları olan ilgili güvenlik açıkları hakkında bilgi sahibi olmaları gerekir. Kuruluşlar, risk tabanlı güvenlik açığı önceliklendirme ve otomatik yama zekasının bir kombinasyonundan yararlanarak, yamaların tehdit risklerine göre önceliklendirilmesini sağlayabilir.
Bu serinin 1. bölümü burada. 14 Ocak Cuma günü yapılması planlanan bu dizinin 3. Bölümü, yama yönetiminin nereye gittiğine bakacak.