Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kamu sektörünü hedef alan siber saldırılara karşı önlemleri artırmak için yeni bir Bağlayıcı Operasyonel Direktif (BOD) duyurmuştur. Bu direktif, kritik güvenlik açıklarının hızla kapatılmasını sağlayarak, saldırıların etkisini azaltmayı hedeflemektedir.
Saldırı Nasıl Çalışıyor?
Yeni BOD 26-04, Federal Sivil İcra Dairesi (FCEB) ajanslarının yüksek riskli güvenlik açıklarını belirli süre zarfında düzeltmelerini zorunlu kılmaktadır. CISA’ya göre bu direktif, daha önceki BOD 19-02 ve BOD 22-01’in yerini almaktadır. Direktifin uygulanması gereken dört ana kriter bulunmaktadır:
- Varlığın çevrimiçi olarak kamuya açık olup olmadığı
- Açığın CISA’nın Bilinen Sömürülen Açıklar (KEV) kataloğunda yer alıp almadığı
- Sömürülerin otomatikleştirilip büyük ölçekli saldırılara dönüşüp dönüşmeyeceği
- Sömürünün saldırganlara sistem üzerinde kısmi veya tam kontrol verip vermediği
Bu faktörlere bağlı olarak ajansların güvenlik açıklarını düzeltme süreleri belirlenmektedir. En kısa süre, yalnızca üç gün olarak belirlenmiştir.
Etkilenen Sistemler
Bu direktif, ABD Federal Sivil İcra Dairesi (FCEB) ajanslarına ve onların işletmekte olduğu bilgi sistemlerine özgüdür. Hükümet ajansları ve departmanları bu kapsamda yer alırken, ABD Savunma Bakanlığı tarafından işletilen bazı askeri sistemler, özel şirketler, İstihbarat Topluluğu sistemleri ve yükleniciler bu direktifin dışındadır.
Direktif, hem yerel sistemleri hem de üçüncü parti barındırma hizmetleri veya FedRAMP/nFedRAMP bulut ortamlarını kapsamaktadır. BOD 26-04 direktifine tabi olan ajansların güvenlik açıklıklarını yönetme politikalarını güncellemeleri, varlık envanterlerini yenilemeleri ve KEV durumu raporlamalarını otomatikleştirmeleri gerekmektedir.
Çözüm ve Korunma
Güvenlik açığı yönetim süreçlerinin 60 gün içinde güncellenmesi, CVE ve KEV verilerini düzeltme kararlarının temeli olarak kullanılmasını sağlamalıdır. 180 gün içinde tüm ajansların yeni düzeltme takvimlerine uyması ve varlık meta verilerini sürekli olarak izleyip raporlaması gerekecektir.
Sonuç
Kamuya açık sistemlerin güvenliğini artırmak için gereken güncellemeleri en kısa sürede gerçekleştirin. Güncellemeleri yapmak, güvenlik açıklarını kapatmak ve gerektiğinde yüksek riskli portları kapatmak kritik öneme sahiptir. Ajansların bu güncellemeleri hızlı bir şekilde uygulaması siber saldırılardan korunmanın temel taşını oluşturmaktadır.
