Geçmişe bakarsanız, yama yönetimi bir siber güvenlik sorunu değildi; daha ziyade, bir BT sorunuydu. Microsoft’un yazılımındaki güvenlik açıklarını kapatmak için yamalar yayınlamaya başladığı 2001’de Kırmızı Kod ortaya çıkana kadar değildi. Güvenlik olarak yama yönetimi, 2017’de WannaCry dahil olmak üzere 2009, 2011 ve 2012’deki tüm kurumsal ağları şok edecek devasa İnternet solucanlarıyla yeniden ön plana çıktı. Bu olaylar, işletmeler arasında düzenli yama yönetimi döngülerinin yaygın olarak benimsenmesi için zemin hazırlayacaktır. O zamana kadar, yalnızca ara sıra meydana gelen güvenlik olayları vardı, ancak virüslerin ve kötü amaçlı yazılımların coğrafyalara yayıldığını görebileceğiniz büyük ölçekli hiçbir şey yoktu.
Coğrafyalardaki tüm ağları etkileyen bu büyük ölçekli saldırılar daha yaygın hale geldikçe, endüstri bu güvenlik açıklarını kataloglamak ve izlemek için bir sistem geliştirmeye yöneldi. 1999’da oluşturulan ilki, ilk olarak 2002’de “Ortak Güvenlik Açıkları ve Maruz Kalmaların Kullanımı (CVE) Güvenlik Açığı Adlandırma Planı”nı yayınlayan Ulusal Standartlar ve Teknoloji Enstitüsü’nün tavsiyesi üzerine ABD federal kurumları tarafından kullanıldı ve daha sonra 2011’de güncellendi. Bununla birlikte, geniş çaplı kullanımı, ilkinin geliştirilmesiyle 2011’e kadar değildi. Ulusal Güvenlik Açığı Veritabanı (NVD).
ABD hükümetinin kamuya açık tüm güvenlik açığı kaynaklarını entegre eden kapsamlı bir siber güvenlik açığı veritabanı olarak hizmet veren NVD, endüstri kaynaklarına referanslar sağlar. Riskin ciddiyetini derecelendirmek için bir puanlama sistemi kullanan CVE Listesi ile senkronize edilir ve buna dayalıdır. NVD, güvenlik kuruluşlarının güvenlik açıklarını izlemesi ve risk puanlarına göre hangilerine öncelik vereceğini belirlemesi için etkili bir araç haline geldi.
2011’den itibaren yama yönetimi, endüstri genelinde en iyi güvenlik uygulamasına dönüşmeye başladı. Ancak, veritabanındaki güvenlik açıklarının hacmi artmaya devam ettikçe ve BT altyapısının karmaşıklığı arttıkça, yama yönetimi o kadar kolay bir iş olmayacaktı. Her zaman bir yazılım parçasını güncellemek kadar basit değildir. Bazı sistemler kritik öneme sahiptir ve kesintiye uğramayı göze alamaz. Bazı kuruluşlar, düzenli olarak bir test uygulamak, dağıtmak ve yamaları yüklemek için ne bütçe ne de yetenek olarak ayrılmış kaynaklara sahip değildir.
NVD’nin oluşturulması, endüstri için güvenlik açığı ve yama yönetiminde büyük bir ilk adımdı. Yine de ortaya çıkan iki sorun, endüstrinin bugün yama yönetimi ile yaşadığı komplikasyonlara yol açacaktır. İlk konu zaman. Her zaman gecikme olacaktır. Bir saldırgan, araştırmacı veya şirket bir güvenlik açığı tespit ettiğinde, saat işlemeye başlar. Bu, bir güvenlik açığının açıklandığı andan, bir yamanın yayınlandığı ve ardından uygulandığı ana kadar, güvenlik açığının kötü bir aktör tarafından istismar edilmemesini sağlamak için zamana karşı bir yarıştır. Gecikme, geçmişte 15 ila 60 gündü. Bugün, birkaç haftaya düştük.
Ancak her güvenlik açığının bir çözümü yoktur. Her güvenlik açığının bir yama ile düzeltilebileceğine dair yaygın bir yanılgı vardır, ancak durum böyle değildir. Veriler gösteriyor ki sadece %10 Bilinen güvenlik açıklarından bazıları yama yönetimi tarafından karşılanabilir. Bu, bilinen güvenlik açıklarının diğer %90’ının yamalanamayacağı anlamına gelir ve kuruluşlara iki seçenek sunar: telafi edici kontrol veya kodu düzeltin.
İkinci konu, NVD’nin esasen kötü aktörler tarafından silah haline getirilmesidir. Kuruluşların tehdit aktörlerine karşı savunmalarına yardımcı olmak için tasarlanmış olsa da, aynı araç kısa bir süre içinde saldırgan saldırılar başlatmak için kullanılacaktı. Sadece son beş yılda tehdit aktörleri, otomasyon ve makine öğrenimi kullanımıyla saldırı becerilerini geliştirdiler. Bugün, NVD’deki güvenlik açığı verilerine dayanarak yama uygulanmamış sistemleri hızlı ve kolay bir şekilde tarayabilirler. Otomasyon ve makine öğreniminin yükselişi, tehdit aktörlerinin bir kuruluş tarafından hangi yazılım sürümlerinin kullanıldığını hızlı bir şekilde belirlemesine ve NVD ile çapraz kontrol yaparak neyin henüz yamalanmamış olduğunu belirlemesine olanak sağladı.
Artık asimetrik bir savaşımız var: Her bir güvenlik açığının düzeltilmesini sağlamak için yama yönetiminin üstünde kalmaya çalışan kuruluşlar ve henüz yamalanmamış tek bir güvenlik açığı arayan kötü aktörler. Her şey eksik bir yamaya bağlı. Bir güvenlik olayı için gereken tek şey budur. Bu nedenle, yama yönetimi artık yalnızca BT departmanının bir sorumluluğu değil, bir kuruluştaki güvenlik katmanının zorunlu bir parçasıdır.
Günümüzde yama yönetimi, güvenlik yönetmeliklerine uygunluğu göstermek için zorunlu bir uygulamadır. Aynı zamanda siber sigorta için bir gerekliliktir. Hayat ya da ölüm anlamına gelebilecek kritik hastane sistemleri de dahil olmak üzere fidye yazılımlarının artmasıyla, yama yönetimi sıkı bir inceleme altında ve haklı olarak. Yine de BT ve güvenlik ekipleri zayıf ve göreve ayak uyduramıyor. İnsanca mümkün değil. Yama yönetimine ilişkin bu dizinin 2. Kısmında tartışılacak olan endüstrinin yeni bir yaklaşım – yama yönetimini otomatikleştirme – bulması gerekiyor.
Bu dizinin 2. bölümünün 12 Ocak Çarşamba günü yayınlanması planlanıyor.
