Apple’ın yakın zamanda piyasaya sürdüğü macOS Ventura 13.4, hassas bilgi sızıntılarına ve uzaktan kod yürütmeye yol açabilecek iki WebKit güvenlik açığı da dahil olmak üzere bir dizi güvenlik düzeltmesi içeriyordu. Apple’ın güvenlik notları, “bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında olduklarını” kabul etti;
Bunlar, BT ve güvenlik ekiplerinin güncellemeleri yüklemek için uğraşmasına neden olan türden kritik düzeltmelerdir, ancak bu WebKit sorunlarının Apple’ın 1 Mayıs’taki ilk Hızlı Güvenlik Müdahalesi (RSR) güncellemesinde zaten yamalandığı ortaya çıktı.
İlk RSR sürümü tam olarak sorunsuz bir şekilde yayınlanmadı ve kullanıcılar, işletim sistemi (OS) piyasaya sürülene kadar içeriğinin ne olduğunu bile bilmiyorlardı. Yine de, RSR’lerin tanıtılması olumlu bir gelişme çünkü acil güvenlik yamalarını daha seyrek yayınlanan ve yüklenmesi daha uzun süren hantal işletim sistemi güncellemelerinden ayırıyorlar.
Öte yandan, RSR’lerin varlığı, Apple’ın güvenlik ihtiyaçlarının giderek daha acil hale geldiğinin zımni bir kabulüdür – düzeltilmesi için haftalar veya aylar bekleyemeyen istismar türleri. Ve “yamaları yüklemek için haftalarca veya aylarca beklemek” tam olarak BT yöneticilerinin yapmaya alışık olduğu şey olduğundan, bu, Mac yama yönetimiyle ilgilenen herkesin dikkatini çekmelidir.
Apple Yama Yönetim Araçları Yetersiz Kaldı
Genel olarak, BT ekiplerinin Mac filoları genelinde güncellemeleri ve yükseltmeleri yüklemek için iki seçeneği vardır ve bunların hiçbiri sorunu tam olarak çözmez.
İlk seçenek, bir kullanıcının cihazının zorunlu olarak yeniden başlatılmasını gerektiren mobil cihaz yönetimi (MDM) aracılığıyla güncellemeleri uzaktan yüklemektir. Bu seçenek teoride etkilidir, ancak pratikte kullanıcılar için o kadar rahatsız edicidir ki, çoğu yönetici bunu kullanmakta isteksizdir. Kullanıcıları güncellemeler konusunda önceden uyarsanız ve onları gece yarısı planlasanız bile, herhangi bir zorunlu yeniden başlatma potansiyel bir veri kaybı olayıdır ve çoğu kullanıcı (genellikle büyük güvenlik riskleri taşıyan yöneticiler ve geliştiriciler dahil) muaf tutulacaktır. bu politikadan.
Buradaki ders şudur: Güncellemeleri ve yükseltmeleri yüklemek için son kullanıcıların katılımına ihtiyacınız var.
İkinci seçenek, adından da anlaşılacağı gibi, kullanıcıları otomatik hatırlatıcılar göndererek yamaları yüklemeye zorlayan Nudge gibi araçları kullanmaktır. Bu hatırlatıcıların sıklığı ve yoğunluğu, sonunda kullanıcının ekranını ele geçirene kadar artar. Bu yaklaşım yöneticilere biraz yardım sağlar, ancak kullanıcılar güncellemeleri mümkün olduğu kadar uzun süre erteleme eğilimindedir ve büyük çoğunluk 30 gün veya daha fazla ertelemeye izin verir.
Buradaki ders şudur: Son kullanıcılardan güncelleme yapmalarını isteyemezsiniz — uyumsuzluğun sonuçları olmalıdır.
Son olarak, hem MDM hem de Nudge seçenekleri yalnızca denetlenen cihazlarda çalışır. BYOD Mac’ten veya bir yüklenicinin cihazından bahsediyorsanız, kuruluşların yama uygulamasını zorunlu kılacak hiçbir yolu yoktur.
Yama Yönetimini Düzeltmek İçin Kullanıcı Alışkanlıklarını Değiştirin
BT ve güvenlik uzmanları arasında, son kullanıcıların sorumluluk yerine güvenlik müttefikleri olma potansiyellerini göz ardı etme konusunda talihsiz bir eğilim var. Ve kullanıcıları güncellemeleri ciddiye almaya ikna etmenin kolay olmadığı da doğru. Bu, özellikle (yakın zamana kadar) Windows topluluğunu rahatsız eden güvenlik tehditlerinden büyük ölçüde muaf olan Mac kullanıcıları için geçerli olabilir.
Ancak görünüşte inatçı davranışları başarılı bir şekilde değiştiren diğer hareketlerden alınan dersler var. Özellikle öğretici bir örnek, emniyet kemeri yasalarından gelir.
Unutulması kolay, ancak 1980’lerde Amerikalıların kemerlerini bağlamasını sağlamak, neredeyse bugün güncellemeleri yüklemelerini sağlamak kadar zordu. O zamanlar birçok kişi, emniyet kemeri yasalarının sosyalist hükümetin sınırlarını aşmasının bir örneği olduğunu düşünüyordu. Ancak bugün Amerikalılar emniyet kemerini otomatik olarak kabul ediyor (hâlâ yasanın olmadığı New Hampshire dışında).
Değişen emniyet kemeri alışkanlıkları, bir dizi çözüm gerektirdi. Teknik düzeyde, otomobil üreticilerinin tüm araçlara emniyet kemeri takması gerekiyordu. Bu arada Amerikalılar, kamu eğitimi (kamu hizmeti duyuruları ve reklam panoları) ve orantılı sonuçların (para cezaları) bir karışımı yoluyla bunları kullanmaya ikna oldular.
Aynı çözüm karışımı, yama yönetimiyle ilgili kullanıcı davranışını değiştirebilir. Teknik çözümler, güncellemeler arasındaki sürtüşmeyi azaltan ve yönetilmeyen cihazlarda bile görünürlük sağlayan otomatik araçları içerir. Ancak birçok kullanıcı güncellemeleri hemen yüklemenin alabilecekleri en etkili güvenlik önlemlerinden biri olduğunu anlamadığından, bunlara eğitim eşlik etmelidir. Son olarak, herhangi bir yaklaşım, güncellemeler yüklenene kadar şirket kaynaklarına erişememek gibi kullanıcılar için orantılı sonuçlar içermelidir.
BT ve güvenlik ekipleri bu yaklaşımı nasıl uygulamayı seçerse seçsin, değişimin gerekli olduğu açıktır. En azından Apple, yamaları BT yöneticilerinin dağıtabileceğinden daha hızlı yayınlamamalıdır.
İşte bunların nasıl yerleştirileceğini gösteren bir video yama yönetimi ilkeleri uygulamaya
yazar hakkında
Elaine Atwell, Kolide’nin içerik pazarlama kıdemli editörüdür. 2019’dan beri kurumsal güvenlik hakkında yazıyor ve sorumlu veri yönetimi ile çalışan mahremiyeti ve özerkliğini dengeleyen güvenlik yaklaşımlarıyla ilgileniyor.