Bu hafta Lock and Code’da, işletmelerin güvenlik yamaları hakkında bilgilendirmek için güvendikleri güvenlik tavsiyelerinin amaçlanan hedeflerinin altında kalmasını neden araştırıyoruz.
90’ların sonunda, Microsoft işletim sistemi (OS) Windows 98, kullanıcıların daha sonra bu yamaları indirip bilgisayarlarına dağıtabilmeleri için işletim sistemi için güvenlik yamaları bulan destekleyici bir yazılım parçasına sahipti. Bu yazılıma basitçe Windows Update adı verildi.
Ancak Windows Update’in iki büyük sorunu vardı. Birincisi, bir kullanıcı tarafından yüklenmesi gerekiyordu; eğer bir kullanıcı Windows Update’ten habersizse, muhtemelen Windows’a dağıtılması gereken yamalardan da habersizdi. İkincisi, Windows Update iyi ölçeklenemedi çünkü yüzlerce Windows örneği çalıştıran şirketler her güncellemeyi yüklemek zorundaydı. ve Microsoft tarafından yayınlanan ve mevcut işlevleri bozmuş olabilecek tüm yamaları kaldırmaları gerekiyordu.
Bu zaman kaybı, sistem yöneticileri için gerçek bir engel oldu çünkü 90’ların sonlarında yamalar planlanmamıştı. İhtiyaç duyulduğunda geldiler ve bu, Microsoft’un ele alınması gereken bir güvenlik açığı hakkında öğrendiği zaman olabilir. Bir program olmadan, şirketler yamalar için plan yapmak yerine bunlara tepki vermeye bırakıldı.
Böylece, 90’ların sonundan 2000’lerin başına kadar Microsoft, yama işlemini standartlaştırdı. Yamalar her ayın ikinci Salı günü yayınlanacaktı. 2003 yılında Microsoft bu süreci Yama Salı ile resmileştirdi.
Aynı sıralarda, Amerika Birleşik Devletleri Ulusal Altyapı Danışma Konseyi, keşfedilen yazılım güvenlik açıklarının ciddiyetini iletmenin bir yolunu araştırmaya başladı. 2005’te buldukları şey, Ortak Güvenlik Açığı Puanlama Sistemi veya CVSS idi. Bugün hala kullanılan CVSS, insanların bir güvenlik açığının ciddiyetini belirlemek için 1’den 10’a (10 en yüksek puan) bir puan atamak için güvendikleri bir formüldür.
Salı Yaması ve CVSS, insanlar bir araya gelerek yamayla ilgili bir sorunu çözmek için bir araya geldiklerinde ne olduğuna dair iyi örneklerdir.
Ancak, Lock and Code podcast’inin bugünkü bölümünde sunucu David Ruiz ile tartıştığımız gibi, hem etkinlik hem de eğitim açısından yamalar geri gidiyor. Şirketler, yamalarının ne işe yaradığı konusunda daha ağzı sıkı olmaya başlıyor ve işletmeleri bir yamanın neyi ele aldığı ve kendi sistemleri için gerçekten kritik olup olmadığı konusunda karanlıkta bırakıyor.
Trend Micro Zero Day Initiative (ZDI) tehdit farkındalığı başkanı konuğumuz Dustin Childs, böyle bir ekosistemin sonuçlarını açıklıyor.
“Bir güvenlik açığı veya bir grup güvenlik açığı hakkında doğru bilgiyi alamıyorsanız, kaynaklarınızı başka bir yere harcayabilirsiniz ve önemli olmadığını düşündüğünüz o güvenlik açığı sizin için çok önemli hale gelir veya tüm zamanınızı harcarsınız. zaman ve, ve enerji açık.”
Bugün dinlenin.
Bizi Apple Podcasts, Spotify ve Google Podcasts’in yanı sıra hangi podcast platformunu kullanırsanız kullanın.