Güvenlik söz konusu olduğunda, her kuruluşun izlemesi gereken iki disiplin vardır: güvenli kod üretmek ve iyi siber hijyen uygulamak. Geliştirici kod üretirken, aşağı yönde bunlarla uğraşmaktan kaçınmak için güvenlik zayıflıklarını hemen yakalamak zorunludur. Siber hijyen için yama yönetimi, kuruluşların teknolojilerini korumak için alabilecekleri en önemli proaktif önlem olmaya devam edecek. Sola kaydır ve sağa kaydır ilkeleri iyi anlaşılmış ve uygulama güvenliği içinde tartışılmıştır; bunları cihaz yönetimine de genişletmeliyiz.
İşte nedeni: Yama uygulanmamış güvenlik açıkları, ister bir istismar ister veri ihlaliyle sonuçlansın, isterse fidye yazılımının başarılı bir şekilde teslim edilmesiyle sonuçlansın, günümüzün siber saldırılarında en yaygın sızma noktalarından biri olmaya devam ediyor. Pandeminin ürettiği her yerde iş yerini desteklemek için gereken buluta hızlı geçiş nedeniyle yama uygulanmamış güvenlik açıklarının neden olduğu güvenlik olayları artmaya devam edecek ve zaten karmaşık olan yama yönetimi yalnızca çok daha zor hale gelecek. Örneklemek için, bir güncel araştırma Yanıt verenlerin %62’si, yama uygulamasının genellikle diğer görevlerinin geri planda kaldığını ve %60’ının yama uygulamasının kullanıcılar için iş akışı kesintisine neden olduğunu söylediğini belirterek, güvenlik açığı düzeltme ekinin kaynak zorlukları ve iş güvenilirliği endişeleriyle mücadele etmeye devam ettiğini buldu.
Açıkçası, bu uzun vadede işe yaramayacak. Artık saldırı yüzeyinin ve maruz kalma yarıçapının önemli ölçüde genişlediği, çevresi olmayan bir dünyada yaşıyoruz. Bu, güvenlik açığı silahlandırma hızının önemli ölçüde artması gerçeğiyle daha da karmaşıklaşıyor. Günümüz dünyasında kuruluşlar, API’lerden kapsayıcılara, buluta ve ağa farklı konumlardan erişen tüm cihazlara kadar tüm potansiyel maruz kalma alanlarını dikkate almalıdır. Tahmin edebileceğiniz gibi, yama uygulanmamış bir güvenlik açığından yararlanılmadan önce bir yamayı dağıtmak için gereken sürede bu tür verileri manuel olarak toplamanın, keşfetmenin ve analiz etmenin bir yolu yoktur. Bu sadece insani olarak mümkün değil.
Yine de ilerleme kaydettik, önceki yazımda belirttiğim gibi [link back to the present-day risk-based patch management article]. Yama yönetimi, riske dayalı bir yerde olacak şekilde gelişti. Bu iyi, ancak güvenlik açıkları geliştikçe ve BT altyapısı ve cihazları ağlar arasında yayılmaya devam ettikçe yeterli olmayacak. Bu nedenle, yama yönetiminin geleceği otomasyona veya daha kesin olarak hiperotomasyona bağlı olacaktır. Tehdit aktörlerinin karmaşıklığına ayak uydurabilmek için, kuruluşların makine hızında kalıpları tanımlayabilmeleri, anlayabilmeleri ve bunlara yanıt verebilmeleri için proaktif ve gerçek zamanlı olarak tahminde bulunmaları gerekir. Bilinen bir güvenlik açığı, bilinen bir istismar ve bilinen bir çözüm varsa, güvenlik ekiplerinin çok az insan müdahalesiyle proaktif ve tahmine dayalı bir şekilde bir çözümü uygulama becerisine sahip olması gerekir.
Bugün herkes MLOps (makine öğrenimi işlemleri), AIOps (yapay zeka işlemleri) ve DataOps (veri işlemleri) hakkında konuşuyor. Hiperotomasyon yoluyla operasyonel verimliliğe doğru ilerlerken, bu uygulamalar daha az önem kazanmaya başlayacak. Kuruluşların, çok az insan müdahalesi ile makine hızında tehdit istihbaratını incelemek için yapay zeka ve makine öğrenimi gibi araçları kullanarak riskleri daha otomatik bir şekilde yönetebilecekleri, maruziyet yönetimi ve tehdit analizinin bir yakınlaşmasını görmeyi beklemeliyiz. İşin ve analizin çoğunu otomasyonun yapacağı ve insanın, sağlanan analize dayalı olarak uygun eylemi gerçekleştiren nihai hakem olacağı bir döngüde insan bileşeni olacaktır.
Önümüzdeki beş yıl içinde, yama yönetiminde hiperotomasyonun yaygın olarak kullanıldığını göreceğiz. Önümüzdeki yıl, otomasyondaki yenilikleri izlemek için özellikle iyi bir yıl olacak, ancak 2023 ila 2025, endüstrinin risk tabanlı yama yönetiminden hiperotomasyona geçeceği dönem olacak. Risk tabanlı yama yönetimine yakın zamanda geçiş, benzer şekilde 2018 ile 2020 arasındaki iki ila üç yıllık bir dönemde gerçekleşti. Sıra otomasyon olacak ve çok da uzakta değiliz. 2025 yılına kadar, kod olarak politika, kod olarak güvenlik ve kod olarak geliştirme gibi, kod olarak yazılan ve yazılıma gömülü olan daha fazla güvenlik denetimi görmeliyiz. Benzer şekilde, bir kod olarak yamayı, bir kod olarak açığa çıkarmayı ve bir kod olarak güvenlik açığı sıralamasını göreceğiz. “Bir kod olarak” ifadesi, önümüzdeki on yılın moda sözcüğü olacak. Ve bu, ilerleyen bir vızıltı haline geldikçe, endüstri, otomasyonu yazılımın kendisine yerleştirmede büyük ilerleme görecek.
Yama yönetiminin geleceği otomasyona, özellikle de güvenlik açığı tarama sürecini otomatikleştirmeye odaklanacak. Yama yönetimini koruyucu sağlık bakımı yaptığımız gibi ele almalıyız. Kurumsal BT ortamlarımızın sağlığını izlemek, tıpkı bir pandemi sırasında tüm insan nüfusunun sağlığını izlemek gibi, yalnızca karmaşıklık içinde büyümeye devam edecek, bu nedenle otomasyon gibi araçlar hakkında düşünmeye başlamanın zamanı geldi.
Bu serinin 1. bölümü burada; Bölüm 2 burada.