Güvenlik açığı yönetimi, bütünsel bir bilgi güvenliği programının kritik bir bileşenidir, ancak o kadar yaygın hale gelmiştir ki çoğu kuruluş artık buna dikkat etmemektedir. Bununla birlikte, henüz düzeltilmemiş güvenlik açıkları, organizasyonları olumsuz yönde etkilemeye devam etmektedir. Her yıl, siber güvenlik haberlerini incelediğimizde yamalı sistemlerden kaynaklanan ihlal örnekleriyle doludur. 2019 yılında kuruluşlar hala daha 2005’in en son teknolojisini siber güvenlik programlarına uygulamaya çalışıyor. Saldırıların durumu gün geçtikçe değişiyor ve güvenlik açığı yönetimininde bununla birlikte değişmesi gerekiyor. Birçok kuruluş yıllık taramaların yeterli olmadığını anlasa da, güvenlik açıklarını gidermek için kaynakların önceliklendirilmesinde hala karmaşa içerisinde. Bugünkü yazımda, güvenlik açığı yönetimi çözümlerinin beklentileri karşılamadığını ve BT güvenlik ekiplerinin nasıl daha iyi bu süreci yönetebileceğini sizlerle paylaşmaya çalışacağım.
Birkaç yıl önceye kadar sadece her makineye dokunan ve bin sayfalık bir rapor üreten bir güvenlik açığı tarayıcısının çalıştırılması son teknoloji olarak kabul ediliyordu. Güvenlik açığı tarama raporu, BT güvenlik ekiplerinin eksik düzeltme eklerini ve güvenli olmayan yapılandırmaları tanımlamasına olanak sağlarken, aynı ekipler veriler içerisinde boğulduklarını fark ettiler. Çoğu zaman uzun raporlar eyleme geçirilemeyecek kadar büyüktü. Ekipler, nereden başlayacaklarını bilmiyorlardı ve kendilerini en sınırlı güvenlik açıkları yerine sınırlı kaynaklarını daha az önemli güvenlik açıklarına odaklanarak buluyorlardı.
Bugün, güvenlik açığı tarama raporlarının tek başına yeterli olmadığı açıktır. Güvenlik ekipleri bu verilere uygun şekilde davranmak için daha fazla içeriğe ihtiyaç duyarlar. “60 gün içinde yayılan kritik güvenlik açıklarının yüzdesi” gibi önemli performans göstergeleri (KPI’lar), nicelendirilmesi nispeten kolayken, kuruluşun güvenliği hakkında çok az şey söylemektedir. Üst yönetim de bu uygunsuz ölçümlerle hareket edilemeyeceğinin farkındadır. Bu, “ölçülenler yönetilir” şeklinde klasik bir bakış açısıdır, ancak yanlış şeyleri ölçüyorsanız, güvenlik açığı yönetiminin çözmesi amaçlanan temel sorunu çözmeden nasıl uyumlu olabilirsiniz ? Kuruluşların gerçekte kurumsal riske uygun KPI’lar bulması gerekmektedir.
Günümüzün organizasyonları geçmişte olduğundan daha fazla cihaz, işletim sistemi ve yazılım kullanıyor. Aynı zamanda, yönetim daha fazla otomasyona neden oluyor, bu da birçok kuruluşta personel alımını azaltıyor ve bütçe mevcut olsa bile, birçok pazarda güvenlik personeli son derece az tedarik ediyor. Herhangi bir sistem yöneticisinin kabul edebileceği gibi, bugünün birbirine bağlı yazılım sistemlerinin karmaşıklığı ve sayısız konfigürasyonları göz önüne alındığında “sadece yamayı uygulayın ve her şey yoluna girecek” tutumu komik bir hal almaktadır.
Bu faktörlerin kombinasyonu, birçok kuruluşun herhangi bir taramada bulunan tüm güvenlik açıklarını düzeltememesini sağlar. Aslında, kaynak kısıtlı ortamlarda, güvenlik açıklarının yüzde 100’ünü yama yapmak bir hedef olmamalıdır. Bunun yerine, kuruluşlar, yama uygulamalarının en kritik güvenlik açıklarına uygulanmasına öncelik vermek için çalışmalıdır. Ancak yamalar nasıl önceliklendirilmelidir? Kurumlar, yama önceliğinin basitçe her şeyi yamalamaktan daha az kaynak gerektirmesini sağlayacak kriterler belirlemelidir.
Tehdit modellemesi, kapsamlı bir güvenlik açığı yönetim programı oluşturmak için oldukça etkili bir araç olabilir. Örneğin, hedef merkezli tehdit modellemesi aşağıda belirttiğim gibi bileşenlerine ayrılmıştır, saldırganın olası hedeflerini belirleyerek ve ardından bir saldırganın bu hedeflere erişebileceği vektörleri listeleyerek çalışır. Sonunda, telafi edici kontroller eklenecektir, ancak bu adım daha sonraki bir aşamada gerçekleştirilir.

  1. Muhtemel saldırı hedef noktalarınızı belirleyin.
  2. Hedeflenen verileri sistemler ve yazılıma adresleyin.
  3. Saldırganların nasıl erişebileceğini ayrıntılandıran izinsiz giriş haritaları oluşturun.
  4. Kontrolleri tehdit modelinizle adresleyin.

Güvenlik açığı yönetimi programına sahip çoğu kuruluşta ayrıca bir risk yönetimi programları vardır. Genellikle, risk yönetimi programları, telafi edici kontrollerin envanterini içermektedir. Sıklıkla, risk yönetimi programı bir yönetişim, risk ve uyumluluk ekibi tarafından yönetilir ve güvenlik açığı yönetim sürecinin bir parçası olarak kabul edilmez. Bu şekilde bir ayrım yapmak, içerisine düşülen büyük bir hatadır.
Yama, olgun bir güvenlik açığı yönetim programının tek bileşeni değildir. Uygun dengeleme kontrolleri yapıldıktan sonra, hassas sistemler bir yama uygulanmadan güvenle çalıştırılabilir. Bu, güvenlik açıklarının yamalı bırakılmasının önerilen bir uygulama olduğunu söyleyemez. Bu yaklaşımı, karda araba ile sürüş yapmak ile eşleştirebiliriz. Lastiklere takılan zincirleri (dengeleme kontrolleri) kullanarak aracı düşük hızda kullanıyorsanız, nispeten güvenli bir şekilde sürüş yapabilirsiniz. Ancak, şiddetli hava şartları geçene kadar yolculuğu erteleyebiliyorsanız hiç kimse karda yolculuk yapmayı (lastiklere takılan zincirlerle bile) önermez. Siber güvenlik programlarında güvenlik açığı yönetimine risk bazlı bir bakış açısı getiren olgun kuruluşlar, yamaların önceliklendirilmesini zorlayan kontrollerin telafi edilmesinde tutarlı kısıtlamaları belirleyebileceklerdir.
Bu yazımda, bir güvenlik açığı tarayıcısının nasıl çalıştırılacağını ve BT’ye “her şeyi yama yapmasını” söyleyerek güvenlik açığı yönetimi için başarılı bir strateji olmadığını sizlerle paylaşmaya çalıştım. Sınırlı BT kaynaklarının etkinliğini en üst düzeye çıkarmak için yamaların önceliklendirilmesi gereklidir. Ancak yamayı önceliklendirmek, çoğu kurumun düşündüğünden de daha zordur.
Kuruluşların siber güvenlik programlarında risk temelli bir yaklaşım kullanmaları gerekir, bu nedenle güvenlik açığının kritik derecesini belirlemekten daha fazlasını yapıyorlar. Varlığın önem derecesini, güvenlik açığı için istismarların kamuya açık olup olmadığını, istismarın kolaylaştırılması için tek bir sunucuda güvenlik açıklarının nasıl zincirlenebileceğini ve telafi edici kontrollerinin güvenlik açığı bulunan varlıklarla nasıl eşleştiğini göz önünde bulundurmaları gerekir. Ne yazık ki, bu yaklaşım aynı zamanda kaynakların harcanmasını gerektirmektedir. Kuruluşlara, programlarını olgunlaştırmalarına yardımcı olabilecek ve bu kişilerin sahip olamadıkları yetenekleri (siber tehdit istihbaratı gibi) artırmalarında yardımcı olacak teknolojiyi bulmalarını tavsiye ediyorum.