Help Net Security röportajında, Qualys’te Ürün Yönetimi ve Uç Nokta Çözümleme Kıdemli Direktörü Eran Livne ve Cintas Corporation’da Güvenlik Operasyonları Müdürü Thomas Scheffler, otomatik yama yönetimiyle ilgili deneyimlerini paylaşıyor.
Scheffler, Cintas’ın manuel süreçlerden Qualys’in çözümüne nasıl geçiş yaptığını ve yama verimliliğini önemli ölçüde nasıl artırdığını ayrıntılarıyla anlatıyor. Livne, etkili yama yönetiminin iş riskini en aza indirme ve güçlü siber güvenliği sürdürmedeki rolünü açıklıyor.
İş riskini azaltmada iyi bir yama yönetimi stratejisinin öneminden bahsedebilir misiniz?
Eran Livne: Neredeyse her işletme bir şekilde internete bağlı olduğundan, siber risk bir iş riskidir. İşletmenin riskini azaltmak için siber riskinizi etkili ve verimli bir şekilde ölçebilmeli, iletebilmeli ve ortadan kaldırabilmelisiniz. İyi bir yama yönetimi stratejisi kritik ortamlara yanlamasına yayılmak için kötü niyetli aktörlerin kullanabileceği yolları kapatarak iş riskini azalttığı için hayati önem taşır.
2023’te, bir önceki yıla göre %13’lük önemli bir artışı yansıtan 28.834 adet şaşırtıcı güvenlik açığı kaydedildi. Bu güvenlik açıklarının muazzam hacmi, kuruluşların hepsini ele almasını neredeyse imkansız hale getiriyor. Bu nedenle, en kritik güvenlik açıklarına öncelik vermek esastır. Etkili bir yama yönetimi stratejisi, bir kuruluşun güvenliğini artırabilir, güvenlik ekibinin çabalarını kolaylaştırabilir, siber güvenlik sigorta primlerini düşürebilir ve güvenlik liderlerinin siber riski yönetim kuruluna ve üst düzey yöneticilere etkili bir şekilde ölçmesini ve iletmesini sağlayabilir.
Cintas’ta otomatik yama yönetimi çözümüne olan ihtiyacı nasıl belirlediniz?
Thomas Scheffler: Cintas’ta, 13 dağıtım merkezini ve 47.000’den fazla çalışanı kapsayan dağıtılmış bir ağı güvence altına almada ölçekleme zorluğuyla karşı karşıyaydık. Qualys’ten önce, çok sayıda bağlantısız güvenlik ve BT varlık yönetimi aracından gelen risk uyarıları ve günlük yama görevleriyle sık sık bunalmıştık. Dahası, kuruluş için riske göre yama önceliklendirmenin güvenilir bir yolundan yoksunduk.
Qualys, yama yönetimi çözümünün ortaya çıkan tehditlere karşı etkili kalmasını nasıl sağlıyor?
Eran Livne: Qualys’in koruması, güvenlik açıklarını proaktif olarak tespit edip azaltan, güvenlik açığı ve düzeltme veritabanını sürekli güncelleyen 100’den fazla “beyaz şapkalı” uzmandan oluşan bir ekiple başlar. Yama yönetimi çözümümüzün ortaya çıkan tehditlere karşı etkili kalmasını sağlamak için bu kapsamlı veritabanından yararlanır, yeni riskleri keşfedildikleri anda ele almak için akıllı otomasyon tekniklerini uygular ve yama dağıtımı sırasında operasyonel riskleri en aza indirmek için veri odaklı yaklaşımlar kullanırız.
Manuel yama süreçlerinde başlangıçta karşılaştığınız zorlukları anlatabilir misiniz?
Thomas Scheffler: Bahsedildiği gibi, en büyük kör noktamız etkili bir önceliklendirme yöntemiydi. Qualys ile yalnızca en önemli güvenlik açıklarını daha iyi tespit etmekle kalmıyoruz, aynı zamanda bunları daha hızlı düzeltebiliyoruz.
Qualys’in Yama Yönetimi çözümünü pazardaki diğer ürünlerden farklılaştıran temel özellikler nelerdir?
Eran Livne: Qualys Patch Management için önemli bir fark, temel çözümünün 25’ten fazla kaynaktan hem güvenlik açığı verilerini hem de tehdit istihbaratı verilerini kullanmasıdır. Ek olarak, çözüm risk tabanlı yama, Mac ve Linux dahil olmak üzere birden fazla işletim sistemi desteği ve uzak sistemler için yamaları kolayca dağıtma yeteneği gibi özelliklerle öne çıkıyor. Bu, günümüzün uzak ve karma çalışma ortamında çok önemlidir. Çözüm ayrıca güvenlik açığı yönetimine birleşik bir yaklaşım için Qualys’in Güvenlik Açığı Yönetimi, Algılama ve Yanıt (VMDR) ile entegre olur. Yama yönetimi için Qualys kullanan müşteriler genellikle düzeltme sürelerinin %43, yama oranlarının %93 arttığını ve biletlerin %60 daha hızlı kapandığını görürler.
Qualys’in yama yönetimi çözümünün, en kritik güvenlik açıklarını 24 saat içinde yamalama hedefinize ulaşmanıza nasıl yardımcı olduğunu anlatabilir misiniz?
Thomas Scheffler: Qualys platformuna doğal olarak yerleştirilmiş yama yönetimiyle, ortalama düzeltme süresini (MTTR) iki aydan sekiz güne kadar düşürebildik. Ayrıca Qualys’in CyberSecurity Asset Management’ını Vulnerability Management Detection and Response’a (VMDR) ekleyerek, artık harici saldırı yüzeyimizin %100 kapsamına sahibiz ve internete bakan varlıkların görünürlüğünde %300 artış gördük.
Farklı BT ortamları ve sistemleri genelinde yama dağıtımını nasıl yönetiyorsunuz?
Eran Livne: Qualys varlıkları akıllıca hedefler ve düşük operasyonel riske sahip uygulamalar için yamalamayı otomatikleştirir. Bu, güvenlik ekiplerinin daha karmaşık düzeltme senaryolarına odaklanmasını sağlar. Ayrıca, müşterilerin ortamlarında görünürlük elde edebilmeleri için Windows, Linux ve Mac işletim sistemleri ile üçüncü taraf uygulamalarına yama uygulamak için merkezi bir pano da sağlıyoruz.
Qualys’in yama yönetimi çözümünün uygulanmasının işletme üzerindeki etkisi ne oldu?
Thomas Scheffler: Qualys, kısmen birleşmeler ve satın almalar nedeniyle ortaya çıkan dağınık ve özel güvenlik uyumluluk çabalarımızı anlamamıza yardımcı oldu ve siber saldırılardan kaynaklanan riskimizi azalttı. Şimdi güvende, farkında ve verimliyiz.
Yama yönetimi stratejinizin başarısını ölçmek için hangi ölçümleri kullanıyorsunuz?
Thomas Scheffler:
- Dış saldırı yüzeyimizin %100 kapsamı (birleşmeler, satın almalar ve iştirakler dahil)
- İnternete bakan varlıkların görünürlüğünde %300 artış
- Kritik güvenlik açıkları için MTTR iki aydan sekiz güne düşürüldü
Qualys’in TruRisk ve CyberSecurity Varlık Yönetimi çözümlerinin yama yönetimi sürecini nasıl tamamladığını açıklayabilir misiniz?
Eran Livne: Qualys’in TruRisk ve CyberSecurity Varlık Yönetimi çözümleri, harici saldırı yüzeyi risklerinin gerçek zamanlı ve doğru bir değerlendirmesini, IoT ve sahte cihazlar için yerleşik pasif algılamayı ve Qualys sensörlerini tamamlayan üçüncü taraf API tabanlı bağlayıcıları sağlayarak yama yönetimi sürecini tamamlar. Bu birleşik yaklaşım, varlık keşfini birleştirir ve kritik güvenlik açıklarını keşfedildikten hemen sonra belirlemek için hafif bir güvenlik açığı tarayıcısı sunar, böylece ihtiyaç duyulan yerde, hızlı ve etkili bir şekilde yama yapmak daha kolay hale gelir.
Yama yönetiminin kritik yönleri hakkında daha fazla bilgi edinmek isteyenler, yama konusunda 31 Temmuz’daki sanal düşünce liderliği Siber Risk Serisine buradan kayıt yaptırabilirler.