YORUM
Hepimiz yaşlanıyoruz. BT’de, eskiyen yazılımlar ve yamalar ve güncellemelerle ilgili sorunlarla karşı karşıya kalıyoruz. Ancak tüm yazılım varlıklarımız için eşit şekilde takip etmemiz gereken başka bir tarih kümesi daha var: kullanım ömrü sonu ve destek sonu. Kullanım ömrü sonu, ekiplerimize bir uygulamanın artık işlevsellik güncellemeleri almayacağını bildirir, ancak bu ürünler yine de kritik güvenlik yamaları alabilir. Destek sonu, ne tür sorunlar ortaya çıkarsa çıksın, hiçbir güncelleme olmayacağı anlamına gelir. Tehdit aktörleri için bu uygulamalar önümüzdeki yıllarda önemli hedefler olabilir.
Bunun istisnaları da var; örneğin, Microsoft bir güncelleme yayınladı 2019’da Uzak Masaüstü Hizmetleri etrafında Windows XP’ye, tam beş yıl sonra destek resmen Nisan 2014’te sona erdiBu, 2017’de ortaya çıkan WannaCry fidye yazılımına benzer saldırıların önlenmesini sağladı. Ancak bu güncellemelerin geleceğine güvenemeyiz.
Riski etkili bir şekilde yönetmek için, kullanım ömrü sona eren yazılımlar için önceden planlama yapmalıyız. Önümüzdeki yıl, 35.000’den fazla uygulama kullanım ömrü sonu durumuna geçecektir. Dahili olarak geliştirilen uygulamalar belirli yazılım bileşenlerine güveniyorlarsa aynı sorunla karşılaşabilirler. Apache Log4j bunun iyi bir örneğidir — bu yazılım bileşeni birçok uygulamada günlük kaydı işlevi için kullanılıyordu, ancak eski sürümlerde ciddi bir güvenlik açığı vardı. Kurulumlar güncellenmeliydi, ancak geliştiriciler diğer projelere geçtikçe Apache Log4j’e bir güncelleme dağıtmak gözden kaçıyordu veya atlanıyordu. Veritabanı sunucuları ve Web sunucuları gibi alanlar özellikle zordur, çünkü bu sistemler genellikle gelir üreten uygulamaları destekler ve bu nedenle göç için destek almakta zorluk çekerler.
Baş bilgi güvenliği görevlileri (CISO’lar) bu uygulamaları bilirler, ancak yalnızca güvenlik nedenleriyle ilgili değişiklikler için destek almakta zorlanırlar. Başka zorluklar da olabilir. Bazı uygulamalar artık resmi satıcı desteğine sahip olmayacaktır, çünkü sahip oldukları şirket yıllar önce iflas etmiş olabilir. Diğer uygulamalar, milyonlarca dolara mal olacak komple bir değiştirme için büyük miktarda harcama yapmadan değiştirilemeyen belirli işletim sistemlerine veya donanımlara bağlı olabilir. Bunu “bozuk değilse, düzeltmeye çalışma” eski atasözüyle birleştirin ve güvenlik ekiplerinin bu yazılım varlıklarında düzeltmeler yaptırmada neden sorunlarla karşılaşabileceğini görebilirsiniz.
Sorunun Önüne Geçmek
Çoğu zaman, göç etme ihtiyacı, hizmetten gelen herhangi bir gelir akışıyla karşılaştırıldığında çok küçük görülüyor; konuştuğum bir CISO, işletmelerinin göç etmesi gerektiğini bildiğini, ancak hizmetleri iyileştirmeyeceği veya bu harcamayla gelir sağlamayacağı için taşınmanın maliyetini haklı çıkaramayacağını söyledi. Bunu telafi etmek için, kullanım ömrü sona eren yazılımlar için planlamaya erken başlamak önemlidir. Tüm varlıklarınızı takip etmek ve yok olmaya bir yıl kala olanları tespit etmek, herhangi bir göç görüşmesine hazırlanmak için daha fazla zaman sağlayabileceğinden bu konuda yardımcı olabilir. Risk konusunda erken bir argüman oluşturmak, hizmetten sorumlu uygulama sahibi veya geliştiricisiyle göç veya güncellemeler için iş durumunu tartışmakla el ele gidebilir.
Daha fazla uygulama taşındıkça bulutbu geçiş aşaması artık desteklenmeyen eski yazılım bileşenlerinden kurtulmak için mükemmel bir fırsat olabilir. Doğrudan kaldırıp taşımak yerine, belirli bir özelliği yeniden düzenlemek veya yeniden mühendislik yapmak için zaman ayırmak riski azaltabilir. Ayrıca performansı iyileştirmek ve maliyetleri düşürmek için bir fırsat olmalı ve bir işletme avantajı sağlamalıdır.
Diğer uygulamalar için, bu göçün neden gerçekleşemeyeceğine dair nedenlere bakmak, iç politikayı ve paydaşları anlamada bir alıştırma olabilir. Bunu aşmak için, risk bilgilerini herkesin anlayabileceği basit bir biçimde paylaşın. Şu anda bir göçü veya güncellemeyi haklı çıkaramasanız bile, en azından söz konusu riski işaretleyebilir ve zaman içinde bu risk seviyesini takip edebilirsiniz. Şirket liderleri daha sonra, sorunu ertelemeye devam edemeyecekleri konusunda uyarılırlar; bu, özellikle Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) CEO’ları, CFO’ları ve CISO’ları kişisel olarak sorumlu tutma yönündeki hamleleri riskle ilgili kararlar için. Bu, herkesin neyin tehlikede olduğunu bildiği ve onları kişisel olarak içerdiği zaman daha hızlı göç etmenin maliyetlerini haklı çıkarabilir.
Toptan bir hamleyi haklı çıkarmak için çok fazla sermaye yoğunluğuna sahip olan varlıklar için, örneğin, sağlık hizmeti güvenlik lideri, bir Windows XP makinesinin değiştirilmesinin mümkün olmadığını, çünkü hastanenin tıbbi görüntüleme makinesiyle konuşabilen tek sistemin bu olduğunu belirtti — riski azaltmak bir sonraki en iyi şeydir ve doğrudan erişimi engellemek için çok özel ağ segmentasyonu ve tasarımı gerektirebilir. Hiçbir şey sonsuza kadar sürmez — varlıklar değiştirildikçe, değiştirmeler herhangi bir kararda uzun vadeli güvenlik ve risk azaltmayı içerebilir.
İleriye bakıldığında, kullanım ömrü sona eren yazılım veya varlıklar etrafındaki uzun vadeli riskin yönetilmesi, geçişlerin planlanmasıyla el ele gitmelidir. Sonuçlar, iş değerini göstermelidir, böylece değişiklikleri yapmak için bir iş vakası olur. Daha erken başlamak ve iş uygulaması sahipleriyle iş birliği yapmak her iki açıdan da sonuç verebilir.