Yama Yönetimi ve Siber Güvenlik Savunmanız Ne Durumda?
Siber Saldırılar Gelişiyor: BT Yama Yönetimi ve Siber Güvenliği Savunmanız Ne Durumda?
Etkin Savunma Nereden Başlamalı
Etkin kurumsal siber güvenlik için tutarlı, kapsamlı, zamanında yama yönetimi ne kadar kritiktir? Kredi raporlama devi Equifax’ta 143 milyon kadar insanın kişisel bilgilerini riske atan bir veri ihlali yaşandı. Veri ihlalinin kamuoyuna duyurulduğu 7 Eylül’den günler sonra, Equifax şirketi Mayıs ayında gerçekleşen ihlalin Temmuz ayında tespit edildiğini açıkladı. Veri ihlali ilk olarak Mart ayında tanımlanan ve bir hafta içinde bir yamayla giderilmeye çalışılan güvenlik açığından kaynaklanmıştı. Ancak Equifax veri ihlalinde giriş yeri olarak kullanılan sunucuda yamanın neden uygulanmadığını henüz açıklamadı.
Equifax veri ihlali, ne yazık ki çok sık rastlanan bir durumun en son ve sansasyonel örneğidir. Belki de sizinki de dahil olmak üzere birçok kurumda tutarlı, kapsamlı ve zamanında yama yönetimi yoktur. Verizon’un 2017 Veri İhlali Araştırma Raporu’na göre birçok endüstride siber güvenlik saldırıları ağları dakikalar, hatta saniyeler içinde etkisi altına alırken tehditlerin ve olayların keşfedilip çözüme kavuşturulması haftalar, aylar ve hatta yıllar alabilir.
Bazı örneklerde bu durum aşırı rahatlıktan kaynaklanır. Ağustos ayında Avustralya’dan muhasebe yazılımı tedarikçisi MYOB küçük ve orta ölçekli 394 kurumsal müşterisine sorular yöneltti. ZDNet’in aktardığına göre anketin katılımcılarının yüzde 87’si, asıl olarak antivirüs yazılımı kullandıkları için şirketlerinin siber saldırılardan korunduğuna inanmaktadır. Katılımcıların yüzde 32’si önemli bir çevrimiçi varlığa sahip olmadıkları gerekçesiyle kurumlarında siber güvenliği artırma ihtiyacı duymadıklarını beyan etmiştir.
Bununla birlikte, yama yönetimi bu ihtiyacı iyi anlayan kurumlarda bile her zaman yeterli seviyelerde gerçekleşmez. Burada kapsamlı yama yönetiminin neden kritik olduğu, ne tür engellerle karşılaşıldığı ve bunların üstesinden nasıl gelinebileceğini ele alacağız.
Yama Yönetimi Siber Güvenlik Açısından Ne Kadar Önemli?
Kurumsal siber güvenliği iyileştirmeye yönelik tavsiyeler sunan birçok saygın ve güvenilir kaynak vardır. Internet Güvenliği Merkezi (CIS), Avustralya Sinyalleri Direktörlüğü (ASD), Uluslararası Standartlar Organizasyonu (ISO) ve İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) bunların arasındadır. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Federal Soruşturma Bürosu (FBI) da siber güvenlik önlemlerini geliştirmeye yönelik spesifik tavsiyeler sunar.
Bütün bu organizasyonların yanı sıra Ivanti siber güvenlik uzmanlarının tavsiyeleri ortak bir tema paylaşır. Herkes şu konuda hemfikirdir: Uygulamalar, cihazlar ve yönetici haklarının etkin kontrolüyle birlikte kapsamlı ve zamanında yama yönetimi, kurumların güvenlik durumunu birçok örnekte hızlı ve çarpıcı biçimde iyileştirebilir.
CIS Controls dünyanın dört bir yanından kurumların siber güvenlik tavsiyeleri hakkında bilgilendirme yapar ve bunlara uyum sağlar. CIS’e göre aşağıda listelenen ilk beş kontrol siber güvenlik açıklarının büyük bir kısmını ortadan kaldırabilir. Güvenli donanım ve yazılım konfigürasyonlarını sürdürmek için yama yönetimi vazgeçilmezdir.
- Yetkili ve Yetkisiz Cihaz Envanteri
- Yetkili ve Yetkisiz Yazılım Envanteri
- Donanım ve Yazılımlar İçin Güvenli Konfigürasyonlar
- Sürekli Zafiyet Değerlendirme ve İyileştirme
- Yönetimsel Ayrıcalıkların Kontrollü Kullanımı
FBI fidye yazılımların bulaşmasını önlemek için dokuz spesifik adım önerir. Bunların ilki hangisidir? “Kritik işletim sistemleri ve uygulamalara yama uygulamak.” (“Fidye Yazılıma Karşı Koruma Sağlamak İçin 9 Adım” başlıklı Whitepaper’e bakın.)
Bunun daha birçok örneği vardır ama mesaj nettir: Etkin siber güvenlik, bütün kritik istemci, sunucu, uygulama ve işletim sistemleri için tutarlı, kapsamlı ve zamanında yama yönetimi gerektirir.
Yama Yönetimi Neden Aksatılır?
Kolay değildir. Kurumunuz için önem taşıyan ürünleri aldığınız yazılım tedarikçilerinin yayınladığı her yamayı takip etmenizi gerektirir. İstemci ve sunucu sistemleri, uygulamalar ve işletim sistemlerinin hangi yamalara ihtiyaç duyduğunu keşfetmek ve takip etmek gerekir. En kritik istemci, sunucu, uygulama ve işletim sistemlerinin hepsinin spesifik yama yönetimi ihtiyaçlarını anlamak gerekir. Bu bilgileri kullanarak yama edinme, test etme ve dağıtma süreçlerini önceliklendirmek ve yürütmek gerekir. Üstüne üslük neredeyse sürekli yeni güvenlik açıkları ve yamalar ortaya çıkarken, kurumunuzu en iyi şekilde korumak için bütün bunları yeterli sıklıkta tekrarlamanız gerekir.
Ucuz değildir. Kurumunuzun en kritik istemci, sunucu, uygulama ve işletim sistemlerinin yama yönetimi genellikle zahmetli ve manuel bir işlemdir. IT ekibinin buna zaman ayırmasını ve çaba göstermesini gerektirir. Yamaların kendisi ücretsiz olsa bile bu ekstra zaman ve çaba çok maliyetlidir. Bu süreci kolaylaştırıp hızlandırmayı vadeden birçok araç pahalıdır. Bunları dağıtmak, kullanmak ve yönetmek zordur. Ayrıca kullanım alanları da sınırlı olabilir.
Başka önceliklerle çelişir. Kendinizin ve ekibinizin daha birçok sorumluluğu olabilir. Bu sorumlulukların kurum açısından daha önemli ya da kullanıcı üretkenliği açısından daha kritik olduğu düşünülebilir. Bu da genellikle yama yönetimini iyileştirmek şöyle dursun, yama yönetimine çok az kaynak ayrılması ya da hiç kaynak ayrılmamasıyla sonuçlanır.
Bu ve bunun gibi güçlükler, yama yönetiminde işin kolayına ve ucuzuna kaçmayı cazip kılabilir. Ancak Ponemon Enstitüsü’nün 2017 yılının Haziran ayında yayınladığı 12. yıllık Veri İhlalleri Maliyeti Araştırmasına göre bir tek veri ihlalinin ortalama toplam maliyeti 3.62 milyon Amerikan dolarıdır. Aynı araştırmaya göre, veri ihlaliyle karşılaşma olasılığı dörtte bir kadar yüksek bir rakamdır. Sonuç olarak etkin yama yönetimi büyük olasılıkla bir kuruma maliyetinden çok daha fazlasını kazandırır.
Etkin Yama Yönetimini Sağlamak
Neyse ki yama yönetimini geliştirmek çok da zor veya pahalı olmak zorunda değildir. Çoğu örnekte temel araç ve işlemlerin odaklı ve sistemli biçimde uygulanmasıyla işe başlanabilir.
Keşfedin – CIS Controls’un tavsiye ettiği gibi, hem yetkili hem yetkisiz bütün donanım ve yazılımın ayrıntılı bir envanterini çıkararak işe başlayın. Ortamınızda nelerin olduğunu bilmeden koruma sağlayamazsınız ya da kendinizi bilmediğiniz şeylere karşı koruyamazsınız.
Aydınlatın – Topladığınız envanter bilgilerini ve yazılım satıcılarının sağladığı yama bilgilerini kullanarak yama yönetimi ihtiyaçlarınızı ve hedeflerinizi önceliklendirin. Büyük olasılıkla her zaman her şeye yama uygulama fırsatınız olmaz veya bunu yapmak istemeyebilirsiniz. Ancak en kritik veya saldırılara en açık kaynaklarınıza en kısa sürede yama uygulanmasını ve bunların güncel kalmasını sağlayabilirsiniz. Ayrıca keşif ve yama yönetimi çabalarınız sonucunda tespit edemeyebileceğiniz her türlü güvenlik açığı veya sahte yazılıma karşı koruma ağlamak için kapsamlı uygulama kontrolü de uygulamanız gerekir.
Harekete Geçin – Ortamınızda en kritik yamaları edinmek, test etmek ve dağıtmak için tutarlı süreçler geliştirin ve uygulayın. Çabalarınızı ve elde ettiğiniz sonuçları düzenli olarak takip edin ve raporlayın. Bu sonuçlardan yola çıkarak kurumunuz genelinde yama yönetimi süreçlerini ve çabalarını düzenleyin ve iyileştirin. Ayrıca bağlantılı bulunduğunuz iş ortaklarınızla mümkün olabildiğince uyumlu hareket edin.
Ivanti desteğiyle Gartner’ın “Yama Yönetim Araçlarına Teknoloji Analizi” adlı araştırma raporun değerlendirebilirsiniz. Yama yönetimi çözümlerimizin ücretsiz deneme sürümlerini nasıl edinebileceğinizi öğrenmek için web sitemizi ziyaret edebilir veya bizimle iletişime geçin: kurumunuzda yama yönetimi ve siber güvenliği geliştirmenize yardımcı olalım.