Microsoft, Temmuz ayında bu rakamın neredeyse 3 katına çıktıktan sonra geçen ay Windows 10 ve 11’de 33 CVE’yi ele aldı. Ancak CVE’lerdeki durgunluğa rağmen Microsoft Exchange Server, .NET Framework ve hatta SQL Server için yeni güvenlik güncellemeleri sağladılar, dolayısıyla dağıtılacak çok sayıda yama vardı.
İleriye baktığımızda, planlamanız gereken birçok yaşam sonu olayı var, ancak tahminler hakkında konuşmadan önce hükümetten ilgi çekici birkaç duyuru var.
NIST
8 Ağustos’ta NIST, Siber Güvenlik Çerçevesinin 2.0 sürümünün mevcut ve yorumlara açık olduğunu duyurdu. Bu, FIRST’ün CVSS 4.0 ön izlemesinin izinden hızla gidiyor. CVSS 4.0 1 Ekim civarında yayınlanacak olsa da NIST, 4 Kasım’a kadar yorumları topluyor ve belgelerinin son versiyonunu 2024’ün başlarında yayınlayacak.
İlk olarak 2014 yılında piyasaya sürülen CSF zamana karşı dayanıklıydı ancak yakın zamanda gelen bilgi talebine göre önemli bir güncellemenin zamanı gelmişti. Duyuru, kullanıcı yorumlarına dayalı olarak üç önemli güncellemeyi duyurdu. Başlangıçta piyasaya sürüldüğünde, CSF’nin yalnızca kritik altyapıyı kapsaması amaçlanmıştı ancak artık tüm ortam türlerine odaklanıyor.
İkinci olarak NIST, mevcut beş işleve yeni bir ‘yönetim’ işlevi ekledi: tanımlama, koruma, tespit etme, yanıt verme ve kurtarma. NIST’e göre bu, “bir kuruluşun siber güvenlik stratejisini desteklemek için kendi iç kararlarını nasıl alıp uygulayabileceğini kapsar.” Bu, kuruluşların işlerinin riskini değerlendirmesine ve eylemlerini önceliklendirmesine yardımcı olur.
Son olarak, CSF’nin uygulanmasına ilişkin daha fazla rehberlik talebine dayanarak NIST, çerçeveyi belirli kullanım durumlarına göre ayarlamak için profil kavramını ekledi. Çerçevenin etkili bir şekilde nasıl kullanılacağına dair örnekler içeriyordu. CSF ayrıca CIS Güvenlik Kontrolleri, ISO 27000 serisi ve diğerleri gibi diğer çerçevelere çapraz referans verme konusunda iyi bir iş çıkarmaya devam ediyor. CSF kullanıcısıysanız, yorumlarınızı belirtmenin ve ihtiyaçlarınızı karşılamaya devam etmesini sağlamanın zamanı geldi.
Ulusal Güvenlik Siber Güvenlik İnceleme Kurulu
Ulusal Güvenlik Siber Güvenlik İnceleme Kurulu (CSRB), bulut bilişim ortamlarının kötü niyetli olarak hedeflenmesiyle ilgili bu yıl üçüncü incelemesini planladıklarını duyurdu. Özellikle “hükümetin, sektörün ve Bulut Hizmet Sağlayıcılarının (CSP’ler) bulutta kimlik yönetimini ve kimlik doğrulamayı güçlendirmek için kullanması gereken yaklaşımlara odaklanacaklar.” Bu, bu yılın başlarında Microsoft Exchange Online’a yapılan izinsiz girişe yanıt olarak oluşturuldu. Bu, olayı gözden geçirmek, temel nedeni belirlemek ve öğrenilen derslere dayanarak öneriler sunmak için hükümet ve endüstri arasında ortak bir etkinliktir. CSRB’nin düzenleme veya yaptırım yetkisi yoktur, ancak ne tür tavsiyeler sunduklarını ve hükümet ile sanayi tarafından alınan alt tedbirleri görmek ilginç olacaktır.
Windows 11 23H2
Windows 11 23H2, Microsoft Beta Kanalına erişimi olan test kullanıcılarına sunulmaktadır. Bu sürümün yakında çıkmasıyla birlikte Windows 11 21H2’nin de sonu gelmek üzere. Son güvenlik güncellemeleri önümüzdeki ay Salı günü Ekim Yaması’nda yayınlanacak. Ayrıca Microsoft Server 2012/2012 R2’nin Ekim ayından sonra da Genişletilmiş Güvenlik Desteğine (ESU) gireceğini unutmayın; yalnızca bir ay kaldı!
Yükseltme için zaman sıkıntısı yaşamamak için planınızı buna göre yapın. Microsoft’un bir başka ilginç ama incelikli duyurusunda, Wordpad kullanımdan kaldırılıyor ve işletim sisteminin gelecekteki sürümlerinden kaldırılıyor. Microsoft, güçlü düzenleme ve yaratıcı yeteneklere ihtiyaç duyulduğunda Word’ü, düz metin ve basit belgeler için Not Defteri’ni önermektedir.
Eylül 2023 Yaması Salı tahmini
- Microsoft muhtemelen bu ay ele alınan CVE’lere yönelik çalışmalarını geliştirecek, ancak geçen ay gördüğümüz güncellemelerin kapsamını beklemeyin. Tüm işletim sistemi güncellemeleri daha fazla CVE içerecek ve olağan Microsoft Office güncellemelerini göreceğiz. Microsoft Server 2012 için Ekim ayındaki EOS’a yavaş yavaş yaklaşıyoruz, bu nedenle her ay adreslenen CVE’leri en üst düzeye çıkarmak için sürekli bir çaba bekliyoruz.
- Nihayet geçen ay Acrobat ve Reader için büyük bir güncelleme yaptık, dolayısıyla yakın zamanda bu uygulamalarla ilgili başka bir güncelleme yapacağımızdan şüpheliyim.
- Ağustos, Apple için sakin bir aydı. Ventura ve WatchOS için CVE bildirilmeyen iki küçük sürüm sağladılar. Genellikle ayın ikinci yarısında güvenlik güncellemeleri sağlarlar, bu nedenle Eylül ayı sonlarında bazı önemli güncellemeler için tetikte olun. MacOS Sonoma’nın bu yılın sonlarında geleceğini de unutmayın. Beta sürümü mevcut.
- Chrome 116’dan başlayarak, Chrome artık haftalık Stabil kanal güncellemeleri yayınlıyor ve önemli dönüm noktası derlemeleri hâlâ 4 haftada bir geliyor. Mac ve Linux için 116.0.5845.179 ve Windows için 116.0.5845.179/.180 kararlı kanal güncellemeleri bu Salı günü yayınlandı, bu nedenle bir sonrakinin gelecek hafta Salı Yaması ile gönderilmesini bekleyin.
- Mozilla, Firefox, Firefox ESR ve Thunderbird için son güncelleme turunu 29 Ağustos’ta yayınladı; bu nedenle önümüzdeki hafta yeni bir güncelleme turu bekliyoruz.
Gelecek hafta, Microsoft’un CVE yüklü bazı güncellemelerinin ve Google ile Mozilla’nın bazı popüler üçüncü taraf uygulama sürümlerinin yer aldığı yoğun bir Salı günü olacak. NIST’in en son CSF 2.0’ına göz atmayı da unutmayın. Onlar için herhangi bir yorumunuz olmasa bile, programınızın iyileştirmeleri hakkında fikir verebilir.