İstismar edilen bilinen güvenlik açıklarının CISA kataloğu, federal hükümet için tasarlanmıştır ve herkes için yararlıdır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), güvenlik açıklarının yamalanmasına öncelik verme konusunda yardıma ihtiyacınız varsa yararlı olabilecek bir “bilinen istismar edilen güvenlik açıkları kataloğu” tutar. Özünde, suçlular tarafından zarar vermek için fiilen kullanılan ve bunları düzeltmek için son tarihleri olan uzun bir güvenlik açıkları listesidir.
Birçok kuruluş, çok sayıda yazılım ve İnternet’e bakan cihaz çalıştırıyor ve bunlardan yararlanmak için kullanılabilecek güvenlik açıkları her gün bulunuyor. Herkes yama yapılması gerektiğini bilir, ancak neyi ne zaman yamalayacağına karar vermek ve ardından bunu yapmak için zaman ve kaynak bulmak önemli bir zorluktur.
Bir güvenlik açığı ve yama yönetimi hizmeti kullansanız da kullanmasanız da bir sonraki yamada ne yapacağınıza karar vermekte zorlanıyorsanız, CISA kataloğu neye odaklanacağınıza karar vermenize yardımcı olacak yararlı rehberlik sunar.
BOİ 22-01
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Kasım 2021’de Bağlayıcı Operasyonel Direktif 22-01’i yayınladı. Direktif, kataloğu oluşturdu ve federal bilgi sistemlerini işleten herkesin buna uymasını zorunlu kıldı.
Direktifi öne çıkaran iki şey vardı. Birincisi, CVSS gibi soyut bir şiddet puanı yerine aktif olarak istismar edilen şeye dayanıyordu. İkincisi, güvenlik açıklarının ele alınması için belirli – ve çok sıkı – son tarihler koymasıydı. Ajanslara tarihi güvenlik açıklarını ele almaları için daha uzun bir ödemesiz süre verilmiş olsa da, yeni bir şeyi yamalamak için yalnızca iki haftaları vardı; yama açısından göz açıp kapayıncaya kadar.
İlk başta katalog, bir saldırganın veri hırsızlığı veya fidye yazılımı için uygun bir yer edinmek amacıyla bir ağı ihlal etmesine veya bir sistemin güvenliğini aşmasına olanak tanıyan güvenlik açıklarına odaklandı.
Daha sonra, Ukrayna’daki savaşın başlamasıyla birlikte CISA, tehdit aktörlerinin operasyonları ve ağları bozmak için kullanabileceği uzun bir güvenlik açıkları listesi ekledi. Maddi kazanç sağlamayan ancak bir çatışmada kullanılabilecek eylemler.
Suçluların gerçekte neleri istismar ettiğine dayalı olduğu için, kuruluşunuz buna mecbur olan bir federal kurum olmasa bile kataloğu yama yönetimi stratejisine dahil etmek isteyebilir.
Katalogda 9 sütun vardır:
- Güvenlik açığının CVE numarası.
- Satıcı/Proje
- Ürün
- Güvenlik Açığı Adı
- Kataloğa Eklenme Tarihi
- Kısa Açıklama (güvenlik açığının)
- Eylem: Güvenlik açığını azaltmak için yapılması gerekenler
- Bitiş Tarihi: Eylemin FCEB ajansları tarafından tamamlanması gerektiğinde.
- Notlar: güvenlik açığıyla ilgili Acil Durum Yönergelerine veya güvenlik açığını açıklayan satıcı sitelerine bakın.
Kuruluşunuzun sistemlerini güvende tutmaktan sorumluysanız, bir ağ envanterine sahip olmanın kritik öneme sahip olduğunu zaten bileceksiniz: Etkili olmak için neyi koruyacağınızı bilmelisiniz. Bu ağ envanteri elinizdeyken, kataloğun diğerlerinin yanı sıra Satıcı/Projeye, Ürüne ve Bitiş Tarihine göre sıralanabileceğini bilmek güzel.
Tavsiye
Liste düzenli olarak güncellendiğinden, bir kez yakalandığınızda değişikliklere dikkat etmek isteyeceksiniz. İşleri kolaylaştırmak için güncellemeler almak üzere abone olabilirsiniz. Ayrıca, Malwarebytes’in yama yönetimi çözümüne göz atmanızı ve son olarak, kullanım ömrünün sonuna (EOL) ulaşan ve güvenlik güncellemelerinin kapsamı dışında kalan tüm yazılımları sildiğinizden emin olmanızı öneririz.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.