Siber saldırılar artmaya devam ettikçe, kuruluşlar varlıklarını korumak ve yazılım açıklarını kapatmak için artan bir baskıyla karşı karşıya kalıyor. Ne yazık ki, birçok kuruluş hala yama yönetimini doğru yapmakta zorlanıyor. Aslında, bir Ponemon Enstitüsü çalışması veri ihlaline maruz kalan kuruluşların %42’sinin yamaların mevcut olduğunu bildiğini ancak bunları uygulamakta zorlandığını tespit etti. Doğru yama yönetimi başucu kitabına (veya stratejisine) sahip olmak, verileri, çalışanları, iş ortaklarını ve genel olarak işletmeyi korumak için şimdi her zamankinden daha önemli.
Gerçek şu ki, güçlü bir yama yönetimi çalışma kitabı oluşturmak, bir kuruluşun boyutu, bir BT ortamının karmaşıklığı, sistemlerinin kritikliği ve hepsini yönetmek için tahsis edilen kaynakların sayısı gibi önemli faktörlere bağlıdır. Başarı, uygun hazırlık ve titiz uygulamaya bağlıdır.
BT ve güvenlik ekipleri bir yama yönetimi başucu kitabı oluşturmak (veya güncellemek) için çalışırken, bu altı temel soruyu soruyor ve yanıtlıyor olmalıdır.
Soru 1: Önce hangi güncellemeleri yüklemeliyim?
Güncellemeleri sıralamak önemlidir. Kuruluşlar, değiştirilmemiş güvenlik açıklarının en yüksek önem derecesine ve her ortamdaki en yüksek maruziyete sahip güncellemelere öncelik vermelidir. Örneğin, 5.000 cihazdan birini etkileyen bir güncellemenin önceliğini kaldırabilir ve bunun yerine 1.000 cihazı etkileyen bir güvenlik açığını yamalamaya öncelik verebilirsiniz. Kilit sistemlerin güvenliğini, gizliliğini ve güvenilirliğini sıklıkla etkiledikleri için önce kritik güncellemelerle ilgilenin.
Ardından, kritik olmayan sorunları ele alan veya bilgi işlem deneyimini geliştirmeye yardımcı olan önemli güncellemelere geçin. Son olarak, isteğe bağlı güncellemeler az çok bayinin tercihidir. Bunlar, bilgi işlem deneyimini geliştirmek için sürücülere veya yeni yazılımlara yönelik güncellemeleri içerebilir. Bu güncellemelerin uygulanması tavsiye edilirken, ilk 24 saat içinde olması gerekmeyebilir. Yine de, her kuruluş tüm güvenlik açığı yamalarını uygulamayı düşünmelidir.
Risk düzeylerini değerlendirmekte zorlanıyorsanız, güncellemelere öncelik verilmesine yardımcı olması için Ortak Güvenlik Açığı Puanlama Sisteminden (CVSS) yararlanmayı düşünün. Bir güvenlik açığının önem düzeyini 0 ile 10 arasında gösterir. Taban puanı 7,0–10,0 olan güvenlik açıkları yüksek (kritik), 4,0–6,9 aralığındakiler orta (önemli) ve 0,0–0,3,9 arasındaki güvenlik açıkları düşüktür (isteğe bağlı).
Soru 2: Bu güncellemeleri üretime geçirmeden önce nasıl test edebilirim?
Kimse sistemlerini bozmak istemez. Bu nedenle birçok kuruluş yeni yamaları uygulamadan önce test yapar. Bu, kanıtlanmış başarı kriterlerine göre test edilecek her eksik güncellemeyi en az beş cihaza yükleyerek yapılabilir. Genel onay için bir test uzmanı dışında biri tarafından bağımsız olarak incelenmesi gereken kanıtları her zaman kaydedin. BT ve güvenlik ekipleri cazip gelse de, güncellemeleri test etmek için asla şirket içi (veya ağdaki) bir makine kullanmayın. Güncellemenin bir kaldırıcı olup olmadığını öğrenin ve eski programların tamamen ve güvenli bir şekilde kaldırılmasını sağlamak için onu kullanın. Bu süreci aşamalı olarak ele alın. İlk olarak, her güncellemenin potansiyel ölçütlerini araştırın, ardından hangi bileşenlerin test edilmesi gerektiğini belirleyin, ardından bunları önceden belirlenmiş başarı ölçütlerinizle karşılaştırın.
Soru 3: Aynı anda kaç güncelleme yüklemeliyim?
Herhangi bir zamanda ne kadar çok güncelleme kurulursa, son kullanıcı kesintisi riski o kadar artar. Örneğin, bir sistemde ne kadar çok güncelleme gerekiyorsa, cihaza indirilmesi gereken veri hacmi o kadar büyük olur ve bunun sonucunda kurulum süresi o kadar uzun olur. Ayrıca, bazen güncellemeler yeniden başlatmayı gerektirir ve bir yamanın parçası olarak birçok güncelleme birlikte dağıtıldığında, birden çok bağımsız yeniden başlatmayı tetikleyerek son kullanıcı kesintisini artırabilir. Güncellemeler için bir sistemin bant genişliğini değerlendirmek için, cihaz türüne göre toplam cihaz sayısına karşı eksik güncellemelerin toplam sayısını ve boyutunu hesaplayın. Bu, sistemin aşırı yüklenmesini ve istenmeyen kesintileri önleyecektir. Temel kural, beş güncellemeyle başlamak ve ardından bant genişliğini yeniden değerlendirmektir.
Soru 4: Değişim yönetimi nasıl daha kolay olabilir?
Prince2’yi, ServiceNow en iyi uygulamalarını veya ITIL en iyi uygulamalarını takip edin, değişiklik yönetimi normalde hangi güncellemelerin gerekli olduğuna, kullanıcı üzerindeki etkisine, test kanıtlarına ve canlıya geçiş programlarına ilişkin belgeler gerektirir. Bu veriler olmadan resmi bir onay süreci izlenemez. Büyük kuruluşlarda değişiklik yönetimi, onaylanmış değişiklikler için tek doğru kaynaktır, bu nedenle bu değişiklikler hakkında uygun raporların tutulması süreci daha kolay ve denetlenebilir hale getirir.
Soru 5: Güncellemelerimi güvenli bir şekilde nasıl dağıtırım?
Bir yama yönetimi takvimi oluşturmak, bir oyun kitabı oluşturmak için çok önemli bir adımdır. Değişiklik istekleri yapılırken ve yeni yama güncellemeleri planlanırken veya gözden geçirilirken kullanılmalıdır. Ardından, tek seferde dağıtılacak güncelleme sayısı için temelleri tanımlamaya çalışın (ve değişiklik yönetimi sürecini doğrulayın). Bu, önem ve bant genişliği ile ilgili önceki soruların yanıtlarına dayanmalı ve aylık olarak eklenmelidir. Bu temel ayarlandıktan sonra dağıtımı planlayın ve gerektiğinde otomatikleştirin.
Soru 6: Başucu kitabımın başarısını nasıl ölçebilirim?
Başarı çeşitli şekillerde ölçülebilir. Örneğin, dağıtımın ardından yardım masasına iletilen olayların sayısı, sürecin takip edilme veya tekrarlanma kolaylığı veya kullanıyor olabileceğiniz araç seti aracılığıyla oluşturulan olumlu raporların sayısı. Sonuç olarak, başarının ana kriteri, yamaların ortam genelinde hızlı bir şekilde dağıtılması ve güncellenmesi ve ardından bir kuruluşu güvende tutmak için manuel gereksinimleri azaltan kolaylaştırılmış bir süreçtir.
Yama yönetimi, hem büyük hem de küçük kuruluşlar için bir zorluk olmaya devam ediyor. Ancak güvenlik açığı devam ederken, BT ve güvenlik ekipleri, harika yama yönetimi oyun kitaplarını uygulayarak saldırı yüzeylerini azaltmada önemli bir rol oynayabilir. Bu altı soruyu cevaplayabilmek, bu sürecin önemli bir parçasıdır.