Yama, riskleri izole etmek ve yazılımların desteklenebilir sürümlerin dışına çıkmasına izin vererek iş akışlarının kesintiye uğramamasını sağlamak için kritik bir yöntemdir.
Yama uygulanmamış güvenlik açıklarından kaynaklanan güvenlik riski büyüktür — Verizon’un 2022 Veri İhlali Araştırmaları bildiri başarılı siber saldırıların yaklaşık %70’inin mevcut yamalarla bilinen güvenlik açıklarından yararlandığını tespit etti.
Bununla birlikte, BT ekipleri sıklıkla hangi acil öğelerin dikkatini çekeceğini seçmek zorunda kalır ve bu da acil görevlerin önemli görevlerin önüne geçtiği bir senaryo oluşturur. Kuruluşlar, bir hizmet olarak yama uygulaması olarak da bilinen yama yönetimini dış kaynak kullanarak, yama sürecinin tutarlı bir şekilde tamamlanmasını sağlama yükünü üçüncü bir tarafa aktarabilir.
Kontrol, Şeffaflık Korunmalı
Dış kaynak kullanımı yama uygulaması, bir kuruluşun zamandan ve paradan tasarruf etmesini sağlayabilir. Ayrıca, gelişmiş güvenlik sağlayabilir. Dış kaynak modeli, yatırımın kuruluşu koruduğunu garanti etmek için güvenlik liderlerine doğrulanabilir bir hizmet düzeyi anlaşması (SLA) sağlar.
Bir bilgi güvenliği firması olan Lares Consulting’in vCISO’su Darryl MacLeod, “Dış kaynak yama uygulamasının getirdiği bazı zorluklar var” diye uyarıyor. “Örneğin, bir kuruluş yama yönetimi üzerindeki kontrolünü biraz kaybedebilir ve yama yönetimi süreci, yama yönetimi şirket içinde yapıldığında olacağı kadar şeffaf olmayabilir.”
Bir hizmet olarak yama uygulamasının, kurum içinde yama yapacak kaynaklara sahip olmayan küçük ve orta ölçekli kuruluşlar için muhtemelen en etkili olduğunu, ancak karmaşık yama yönetimi ihtiyaçları olan kuruluşlar için de faydalı olabileceğini ekliyor.
Veri yönetimi ve analitik şirketi Aunalytics, yakın zamanda güvenlik çözüm paketine birlikte yönetilen bir hizmet olarak yama platformu ekledi. Şirketin başkan yardımcısı Steven Burdick, her kuruluş için güvenlik sorunlarının her gün geliştiğine dikkat çekiyor.
“Kötü oyuncular, Acrobat Reader gibi bir iş istasyonunu veya önemli üçüncü taraf uygulamalarını düzeltmediğinizi umarak bulabilecekleri her kapıyı çalıyorlar” diyor. “Yine de, kapakları kapatarak ortamınızı güvence altına alma çabalarınıza rağmen, yeni, henüz keşfedilmemiş açıklar ortaya çıkmaya devam ediyor.”
Dış kaynak kullanımı güvenlik düzeltme eki ve antivirüs/kötü amaçlı yazılımdan koruma platformlarının, kuruluşların ekip üyelerinin zamanını, işletmenin en iyi değeri elde edebileceği alanlara yatırmasına olanak tanıdığını savunuyor.
“Yama ve güvenlik platformlarını yönetmesi için birine FTE veya FTE’nin bir bölümünü atamak, BT personelinizi başka bir şirketteki bir sonraki rolüne hazırlamaktan biraz daha fazlasını yapan zaman, seyahat ve eğitim açısından ek yatırımlar gerektirir” diyor.
Sorumluluk Alması İçin Üçüncü Bir Tarafa Ödeme Yapmak
Kurumsal siber risk iyileştirmesi için SaaS sağlayıcısı olan Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, bir hizmet olarak yama uygulaması satıcısına yama uygulamasının dış kaynak kullanımının BT operasyonlarının bir alt kümesi olduğunu ve bir organizasyonun sorumluluğu başkasına kaydırdığını açıklıyor. üçüncü parti.
“Kuruluşların bu görevleri dış kaynak kullanmasının birçok nedeni var, ancak maliyet tasarrufu ve dahili bir BT departmanını yönetmek zorunda olmamanın iki yaygın nedeni var” diyor.
MacLeod gibi, zorlukların da olduğuna dikkat çekiyor. Birincisi, kuruluş, kurum içi varlıklarla birlikte gelen gözetim olmadan görev açısından kritik sorunları üstlenmek için satıcının verimliliğine ve bütünlüğüne güvenmelidir.
Parkin, başarılı bir programın doğru ve sağlam varlık yönetimi araçları gerektireceğini ve böylece satıcının müşterinin ortamında ne olduğunu bilmesi gerektiğini söylüyor.
“Dahil edilmiş veya uyumlu bir yama yönetimi işlevine ihtiyaçları olacak” diye ekliyor. “İdeal olarak, güvenlik açığı tarayıcılarından gelen girdilere ve en önemli yamaları önceliklendirmelerine yardımcı olacak bir risk yönetim platformuna sahip olacaklardır.”
Yama Hizmetleri Otomasyona Güvenir
MacLeod, yama yönetimi daha karmaşık hale geldikçe, hizmet olarak yama uygulama sağlayıcılarının yama yönetimi yazılımı, yama depoları, yama dağıtım araçları ve diğer hizmetleri içeren daha kapsamlı çözümler sunacağını tahmin ediyor.
Yama yönetimi yazılımı, yama sürecini otomatikleştirir; bir yama deposu yamaları depolar ve yönetir; ve yama dağıtım araçları, yamaları sistemlere dağıtmak için kullanılır.
“Servis sağlayıcılar, daha fazla kuruluş türüne yama hizmetleri sunarak müşteri tabanlarını genişletmeye devam edecekler” diye ekliyor.
Daha fazla kuruluş yama yönetimini dış kaynak olarak kullandıkça, hizmet olarak yama pazarının son yıllarda büyüdüğüne dikkat çekiyor.
MacLeod, “Yamanın giderek daha karmaşık ve zaman alıcı bir görev haline gelmesiyle bu büyümenin devam etmesi bekleniyor” diyor.
Dış Kaynak Kullanımı Kıt İnsan Kaynaklarını Kapatıyor
Burdick, Aunalytics’in sağlık sektöründe, profesyonel hizmet şirketlerinde ve BT yeteneklerini çekmenin ve elde tutmanın zor olduğu hükümette çok fazla ilgi gördüğünü söylüyor.
Üreticilerin genellikle bu tür bir çözümü erken benimsediğini çünkü rekabet edebilmek için sürekli olarak gelişmek zorunda olduklarının farkında olduklarını ekliyor.
Burdick, “hizmet olarak” bir modelde bu hizmetler için ödeme yapmanın, kuruluşların BT güvenlik ekibi üyelerinin eğitim ve seyahat masraflarının yanı sıra, şirketin iç kaynakları gerektiğinde personeli değiştirme ve yeniden eğitme maliyetini ödemesini engellediğini söylüyor. ayrılmak.
Burdick, “Günümüzde işletmeler teknoloji satın almakta zorlanmıyorlar; bu ekonomide kaynak bulmak çok zor olan, teknolojiyi kullanacak ve verimli bir şekilde çalışmasını sağlayacak insanlar” diyor.
