Güvenlik açıklarına tek bir mercekten bakmayın

 Kategori: Blog, Genel, Güvenlik, Türkçe

Cisco’nun Siber Güvenlik 2017 raporuna göre sistem uyarılarının neredeyse yarısı araştırılamıyor. Dolayısıyla birçok yazılım açığı, kurumların bilgi güvenliğini ve itibarını tehdit etmeyi sürdürüyor. Otomatik güvenlik açığı yönetimi ile desteklenen kapsamlı bir güvenlik politikası, uygulama zafiyetlerine dikkat çeker ve risk yaratan açıklar hakkında farkındalığı artırır.

Türkçe’de güzel bir deyim kullanıyoruz: Eskiye rağbet olsa bit pazarına nur yağarmış. Bu nedenle genelde güncellenmesi yapılmayan ve artık yaması üretilmeyen eski uygulamalar ciddi güvenlik sorunları için davetiye çıkarıyor.

Güvenlik bugün şirketlerin en çok yatırım yaptığı alanlardan biridir. Bu nedenle birçok kuruluş sayısız vendor ile çalışır ve en ileri teknolojilerle sistem ve uygulamaların güvenliğini sağlamaya çalışır. Ancak günümüzün BT envanteri son derece karmaşık ve uzmanlık talep eden teknolojilerden oluşuyor. Organizasyonların tam güvenlik hedeflerine erişebilmesi güvenlik teknolojilerinin optimize edilmesine bağlıdır.

Güvenlik yamaları çoğu kez sorunlara çözüm gibi algılanır ancak işler bazen çok karmaşık olabilir. Örneğin, Windows tabanlı sistemlerdeki zafiyetleri ve NSA’den ele geçirilen exploit bilgilerini kullanan WannaCry ve NotPetya fidye yazılımları, sistemlere erişmek için karmaşık bir yol izliyordu.

Sıfır hatalı yazılım hayali

Bugün hiçbir uygulama geliştiricinin sıfır hata ile saldırılara yüzde 100 dirençli bir yazılım yazması olası değildir. Yaşayan varlıklar gibi yazılımların da olgunluk ve gerileme dönemi vardır. Yazılımlar ne kadar uzun süre hizmet verirse içerdiği güvenlik açıkları da o kadar artar. Bu açıklar belli bir süre sonra ortaya çıkar. Açıklardan avantaj elde etmek ya da kendini denemek isteyen hackerlar sistem güvenliğini istismar eder.

Eski yazılımlar ciddi sorundur çünkü belli bir süre sonra bu yazılımlar için güvenlik yaması yayınlanmaz. Bu nedenle Microsoft, WannaCry tehdidin büyüklüğü nedeniyle desteklenmeyen eski işletim sistemleri için düzeltme ekleri yayınlamaya karar verdi. Ancak sürekli siberataklarla yaşadığımız bir dünyada savunmasız eski yazılımlar için yayınlanan güncellemelere güvenmek doğru değildir.

WannaCry saldırısı ile Windows işletim sistemleri gibi birçok yazılım güncellendi ve yama desteğiyle tahkim edildi. Ancak, buna rağmen, kuruluşlar bir ay sonra yine de NotPetya’nın kurbanı oldular. Olasılıkla yamalar sadece sınırlı bir sistem çevresinde etki yarattı ya da güvenlik takımları tüm yamaları zamanında yaygınlaştıramadı. Burada işin püf noktası yamaların mevcut olması değil zamanında, hızlı ve yaygın olarak uygulanması zorunluluğudur.

Her hastalık için aynı ilaç! Mümkün değil

Yamalar her durumda güvenlik sorununuz çözer mi? Hayır. Örneğin, yazılım yamaları, zero-day exploitler için koruma sağlamıyor. Eski sistemler çalıştırdığınız için yama yapamayabilirsiniz. Yama uygulamasının ortamınızda bir şeyleri bozacağını düşünebilirsiniz. Endişelerinizde haklı olabilirsiniz.

Sorun yaratabilecek yazılımları, ayrıcalık yönetimi (privilege management) ve uygulama whitelist ile engellemeniz gerekebilir. Günümüzde çalışanlar, kendi bilgisayarlarında verimliliklerini artıran bazı yazılımlar kullanmaya eğilimlidir. Ancak bu yazılımların bir kısmı sorunun kaynağı olabilir. Bu nedenle bu yazılımların, güvenli uygulamalar listesinde yer alması ve kurumun lisanslama politikasına uyumlu olması gerekir. Aksi taktirde sorunlu uygulamalar sadece güvenlik açığı yaratmakla kalmaz, masaüstü kesinti sürelerini de artırıp maliyetlere etki eder.

Güvenlik uyarılarının yarısı araştırılamıyor

Siber güvenlik saldırılarına karşı BT operasyon ile BT güvenlik takımlarının tam bir işbirliği yapsa dahi bazen sisteme yerleştirilen yamalar istenen sonucu vermeyebilir. Bütüncül bir koruma sağlanamıyor ve sistem altyapısında bir yerlerde yine sorun ortaya çıkabilir. Cisco’nun 2017 Siber Güvenlik Raporu’na göre, güvenlik uzmanlarının yüzde 55’i en az altı güvenlik teknolojisi sağlayıcısı marka ile çalışıyor. Birçok güvenlik markası, birbirinden farklı ihtiyaçları adreslerken, saldırganlar da boş durmuyor. Çeşitli uyumsuzluklardan ve güvenlik kalkanındaki boşluklardan faydalanabiliyor.

Güvenlik takımları, hangi uyarıların kritik olduğunu ve neden ortaya çıktığını araştırmaya çok fazla zaman ayıramıyor. Gerekli insan kaynağı ve araçlara yatırım yapan kuruluşlar her gün gerçekleşen sayısız atağa karşı biraz daha şanslı durumda. Ancak Cisco’nun raporuna göre sistem uyarılarının neredeyse yarısı araştırılamıyor. Dolayısıyla bu olgu, büyük bir risk olarak kurumların bilgi güvenliğini ve itibarını tehdit etmeyi sürdürecek. Otomatik güvenlik açığı yönetimi ile desteklenen bir güvenlik politikası, uygulamalardaki mevcut zaaflara dikkat çekerek kurumların bu yöndeki farkındalığını artıracaktır.

Recent Posts
İletişim

Mesajınızı yazın.

Aramak istediğinizi yazın ve Enter tuşuna basın