Uç nokta kötü amaçlı yazılımlara karşı koruma ve diğer güvenlik kontrolleri artık işletim sistemi düzeyinde standart olsa da, tüm uç nokta yazılımlarını güncel ve güvenli tutmak birçok kuruluş için açık bir sorun olmaya devam ediyor. Yama yönetimi henüz bir meta değil ve doğru çözümle önemli iyileştirmeler yapılabilir.
Etkili yama, uç noktaları yavaşlatmadan veya iş operasyonlarına müdahale etmeden tüm süreci otomatikleştirmeyi içerir. Bu, ister tek kişilik bir BT yöneticisi olun, ister birden fazla müşteri kuruluşuna hizmet veren bir yönetilen güvenlik hizmeti sağlayıcısı (MSSP) olun, geçerlidir.
Etkili yama yönetimi – büyüyen bir öncelik
Bunu yazdığım sırada, Microsoft’un Haziran 2024 Salı Yaması dağıtımında tipik olarak toplam 50+ güvenlik açığı bulunuyor, bunların çoğu önemli kabul ediliyor ve en az bir tanesi kritik olarak derecelendiriliyor ve “solucanlaştırılabilir” olma potansiyeline sahip. Aynı anda, uygulamaları birçok kurumsal dizüstü bilgisayarda bulunan Adobe, çoğu kritik olarak derecelendirilen hatalar olmak üzere 165 güvenlik açığını ele alan yamalar yayınladı.
Aynı ayda, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), fidye yazılımı operatörleri ve diğer tehdit aktörleri tarafından kullanılan sıfır günleri listeleyen Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna 9 güvenlik açığı ekledi. Bunlar aktif olarak ağ ekipmanlarında (örneğin VPN ağ geçitleri), sunucularda ve tabii ki uç noktalarda güvenlik açıkları ararlar, Windows anlaşılabilir bir şekilde en popüler hedeftir.
Hem satıcı hem de saldırgan tarafındaki bu yoğun faaliyet göz önüne alındığında, 2023 yılında 30.000 yeni güvenlik açığının yayınlanması (bir rekor) şaşırtıcı değil; güvenlik açığının ifşa edilmesinden istismara kadar geçen süre giderek azalıyor; artık 19 gün veya daha az.
Bu bağlamda, kuruluşların yama uygulaması ve güvenlik açığı ifşası açısından dağıtılmış bir uç nokta ekosisteminde neler olup bittiğine dair etkili bir operasyonel farkındalığa ihtiyacı vardır. Güvenlik açıklarını otomatik bir şekilde sürekli olarak keşfetmeleri, önceliklendirmeleri ve düzeltmeleri ve ayrıca belirli görevler için komut dosyaları ve hatta uzak masaüstü ile kolayca müdahale etmeleri gerekir.
Action1 – SaaS ile sağlanan basitlik ve güvenlik
Yama yönetimi pazarında nispeten yeni bir isim olan (şirket 2018 yılında kuruldu) Action1, kurucularının sektörde deneyimli kişiler olması ve daha önce ABD merkezli bir veri güvenliği sağlayıcısı olan Netwrix şirketini kurup yönetmiş olmalarının getirdiği ağırlığı ve ürün geliştirme deneyimini beraberinde getiriyor.
Action1, SaaS tarafından sunulan bulut tabanlı bir platformdur. Bu, çözümü dağıtmak ve sürdürmek için hiçbir altyapı, donanım veya yazılım kaynağına ihtiyaç duyulmadığı ve en önemlisi, uç noktaları ve yönetim konsolunu bağlayan VPN’lerin olmadığı anlamına gelir; bu, aşırı çalışan herhangi bir BT ekibi için hoş bir yaklaşımdır. Ayrıca, bir kullanıcı olarak kaydolabileceğiniz, sisteme dahil olabileceğiniz ve beş dakikadan kısa bir sürede başlayabileceğiniz anlamına gelir.
Action1’in, özellikle uç noktalarınızın her birine yazılım yüklenmesini içeriyorsa, herhangi bir SaaS teklifinde güven ve emniyetin öneminin farkında olduğunu hemen fark edersiniz.
Action1, müşterilerinin yönetim konsoluna giriş yapması için zorunlu çok faktörlü kimlik doğrulama (MFA) ile başlayarak en iyi güvenlik uygulamalarını takip eder. Varsayılan e-posta tabanlı MFA (veya 2 adımlı doğrulama) olsa da, müşteriler uygulama tabanlı MFA’yı (örneğin, Google Authenticator) yapılandırabilir. Ayrıca, kuruluşlar Microsoft Entra ID, Google, Okta veya Duo gibi harici kimlik sağlayıcılarına entegre olabilir – hepsi birden fazla MFA biçimini destekler. Bu, tehdit aktörlerinin artık özellikle bir tür MFA uygulamayan SaaS uygulamalarında (örnek olarak, son Snowflake olayına bakın) parola korumalı hesapları rutin olarak ihlal etmesi nedeniyle çok önemlidir.
Şekil 1: Tasarım gereği güvenli, varsayılan olarak MFA
Uç noktalara dağıtılan herhangi bir yazılımın tedarik zinciri güvenliği açısından önemli etkileri vardır. SolarWinds Orion saldırısını veya Anydesk ve LastPass gibi daha yakın tarihli örnekleri düşünün.
Bunu akılda tutarak, Action1 güvenlik operasyonlarına ve uyumluluğa büyük yatırımlar yapıyor: platform ISO 27001 ve SOC 2 Tip II ile sertifikalandırılmışken, operasyon ekibi çeşitli siber güvenlik kontrolleri uyguluyor ve NIST SP 800-171 ve CMMC ile uyumlu güvenlik uygulamalarını takip ediyor. GDPR gibi AB gizlilik düzenlemelerinin bilincinde olan şirket, yakın zamanda Avrupa Birliği’nde özel bir veri merkeziyle operasyonlarını genişletti. Avustralya için de ayrı bir tesis planlanıyor.
Siber güvenlik kontrollerini uygulamak, bir SaaS sağlayıcısının güven oluşturması için çok önemlidir ve şirket bunun farkında gibi görünüyor. Platformun kötü niyetli kötüye kullanımını önlemek için, özel betikler dağıtmak isteyen müşterilerin ek bir hesap doğrulama sürecinden geçmesi gerekir. Aynı zamanda, sağlam bir denetim izi, yönetim konsolu ve API çağrıları içindeki tüm eylemleri izler.
Şekil 2: Sağlam bir yerleşik denetim izi
100 uç noktayı ücretsiz edinin ve dakikalar içinde çalışır duruma gelin
Birçok kurumsal güvenlik yazılımıyla çalışmış biri olarak, yerleşik piyasa oyuncularının önemli miktarda teknik borç biriktirme eğiliminde olduğunu fark ettim. Bu da, yeni işlevler eklendikçe birbirine bağlanan birçok işlem ve hizmetin ortaya çıktığı şişkin uç noktalara dönüşüyor ve sonuçta uç nokta performansını önemli ölçüde düşürüp çalışan üretkenliğini engelliyor.
Action1’de durum böyle değil: uç nokta yükleme deneyimi o kadar hızlı ki yanlışlıkla MSI yükleyicisinin çalışmadığını düşünebilirsiniz. Birkaç saniye sonra, Windows’un görev yöneticisiyle hızlı bir kontrol, yaklaşık 10 MB RAM belleği kullanan tek bir hafif işlemi ortaya çıkarır – günümüzde nadir görülen bir durum.
Elbette, Active Directory ortamlarındaki büyük dağıtımlar için bu süreç Grup İlkesi aracılığıyla veya daha tercihen, Active Directory etki alanında veya bir kuruluş biriminde (OU) bulunan iş istasyonlarını ve sunucuları sürekli olarak keşfeden bir hizmet olan Action1 Deployer aracılığıyla düzenlenebilir.
Kurulumdan hemen sonra uç nokta yönetilebilir hale gelir ve yönetim konsoluna rapor verir: Bu, ölçeklenebilirlik için tasarlanmış bulut tabanlı bir SaaS platformudur ve bir hesap açmak uç noktayı kurmak kadar hızlıdır.
Şekil 3: Operasyonel farkındalık
Action1, 100 uç noktaya kadar tamamen ücretsizdir. Daha fazla uç noktanız varsa, yine de ilk 100’ü ücretsiz alırsınız. Basitlik ticari katmana kadar uzanır: paketler veya premium özellikler yoktur ve tüm işlevler uç nokta başına bir ücrete dahildir.
Action1, yazılım güvenlik açıklarının kurumsal çapta tek seferlik değerlendirmelerini sunan ücretsiz güvenlik açığı değerlendirmeleri sağlar. Bu hizmeti kullanmak için bir Action1 hesabı oluşturun ve aracıları uç noktalarınıza yükleyin. Güvenlik açığı analizi, her uç noktanın bir kez değerlendirilmesiyle kurulumdan hemen sonra başlar. Sonuçlar, Action1 konsolunda toplu bir görünümde süresiz olarak kullanılabilir.
Kurumsal özellikler
Basitliğinin ardında Action1, risk tabanlı bir yama ve güvenlik açığı yönetim sürecini hızla işler hale getirmek için tasarlanmış, kurumsal düzeyde bir dizi özellik sunar.
Şekil 4: Komut dosyalarını hızla çalıştırma, yazılım veya yamaları dağıtma ve gözetimsiz uzak masaüstüne bağlanma becerisine sahip etkili uç nokta genel görünümü.
Odak noktası otomatik dağıtımlar ve ayrıntılı politikalardır. Her otomasyon, manuel olarak seçilen veya çeşitli uç nokta ölçütlerine (örneğin, üretici, OU üyesi, IP adresi vb.) göre öğeleri dinamik olarak içerebilen veya hariç tutabilen bir uç nokta kümesine uygulanır.
Otomasyon, yama veya uygulama dağıtımı, yazılım kaldırma veya uç noktalarda belirli eylemleri gerçekleştirmek üzere tasarlanmış betikleri çalıştırma anlamına gelebilir: örneğin, USB’yi uzaktan devre dışı bırakma, Windows Güvenlik Duvarını açma veya kapatma, geri yükleme noktaları oluşturma vb. Action1 tarafından sağlanan betiklerin düzenlenmiş bir kütüphanesi mevcuttur, ancak müşteriler belirli iş süreçlerine bağlı olarak özel olanları da tanımlayabilir.
Otomasyonlar, uç noktaların çeşitli alt kümelerini etkileyecek şekilde birleştirilebilir. Örneğin, bir test grubu için, yayımlandıktan hemen sonra yamaları dağıtan bir otomasyon tanımlayabilir ve geri kalanı için, diyelim ki, yedi gün boyunca yeni yama kurulumunu geciktiren ayrı bir politikaya sahip olabilirsiniz. Bu şekilde, süreci kontrol edebilir ve yama hala test uç noktalarındayken, küresel dağıtımdan önce olası sorunları çözebilirsiniz.
Şekil 5: Ayrıntılı ölçütlere bağlı olarak yamaların dağıtımı: satıcı adlarından ve uygulama adlarından (joker karakterler dahil), önem derecelerine ve güncelleme kaynaklarına (Microsoft ve Action1 tarafından düzenlenen depolar) kadar.
Yazılım dağıtımlarının LAN ortamlarının ve bant genişliği kısıtlamalarının farkında olduğunu belirtmekte fayda var. Aynı LAN’da birden fazla aracı bulunuyorsa, dosyaları indirmek için özel bir P2P dosya paylaşım mekanizması kullanacaklardır.
Uygulama ve yama depolarına gelince, Action1 üçüncü taraf uygulama yamaları için özel olarak oluşturulmuştur ve tipik kurumsal ortamlar (Adobe, Zoom, Chrome, vb.) için %99 kapsama sahip, özel olarak tutulan güvenli bir yazılım deposuna dayanır; WinGet veya Chocolatey gibi genel depoları önler.
Yönetilen bir hizmet sağlayıcısı (MSP) veya birden fazla varlığa sahip bir kuruluşsanız, Action1, verilerini birbirinden ayırmak için birden fazla kuruluş oluşturmanıza olanak tanır. Daha sonra farklı rol ve kapsamlara sahip kullanıcılar bu kuruluşlara atanabilir.
Şekil 6: Ayrı kiracılar arasında ayrıntılı kullanıcı rolleri.
Otomasyon ekipleri ve MSSP’ler, platform içindeki eylemlerin düzenlenmesine ve harici hizmetlerle entegrasyona olanak tanıyan yerleşik REST API’yi ve basitleştirilmiş PowerShell modülünü (PSAction1) takdir edeceklerdir. Örneğin, uç nokta grupları veya otomasyonları programatik olarak oluşturabilir, uç nokta bilgilerini ve raporlarını okuyabilir, bunları otomatik olarak bir iş analitiği çözümüne veya Excel’e aktarabilirsiniz, vb.
Platform ayrıca PowerShell veri toplama parçacıkları aracılığıyla uç nokta popülasyonundan çeşitli bilgileri dinamik olarak sorgulamak için de kullanılabilir. Veriler daha sonra raporlarda veya başka yerlerde tüketilebilir. Örneğin, Windows Defender durumunu, disk istatistiklerini, Windows olay günlüklerini, çalışan işlemleri veya bir PowerShell betiği aracılığıyla elde edilebilen diğer verileri sorgulayabilir ve bunları raporlara entegre edebilir ve belki de REST API aracılığıyla almayı otomatikleştirebilirsiniz. BT yardım masası ve operasyon üretkenliği için fikirler burada sınırsızdır.
Önemli çıkarımlar
Action1, uç nokta mülkünüzde yama ve güvenlik açığı yönetimini işlevsel hale getirmek için çok basit ama güçlü bir öneridir. Müşterilerin sorunsuz bir katılım ve kolay kurulum sayesinde kısa sürede çalışmaya başlayabileceği, güvenliğin en önemli endişe olduğu modern bir SaaS platformudur.
Action1, kullanım kolaylığına rağmen oldukça güçlüdür ve kurumsal ortamlardaki dağıtık BT altyapılarına uygun granüler yapılandırma olanağı sunar.
MSSP’ler operasyonları için uzaktan izleme ve yönetim (RMM) çözümlerini kullanmayı sevseler de ve Action1’in RMM pazarında rekabet etme iddiası olmasa da, Action1’in uzak masaüstü kontrolü, güvenlik açığı yönetimi, yazılım dağıtımı, uzaktan komut dosyası oluşturma ve veri toplama gibi özellikleriyle oldukça uyumlu olduğunu düşünüyorum.
Action1 şu anda Windows merkezlidir ve macOS veya Linux desteği yoktur. Ancak şirket bir sonraki büyük sürümde bir macOS istemcisinin kullanılabilirliğini duyuruyor ve Linux desteği de planlanıyor.
Action1 orta ölçekli ve büyük müşterileri hedefliyor ve bu, 100 uç noktaya kadar tamamen ücretsiz olması gerçeğinde yansıtılıyor. Bu, sonunda ödeme yapanlara dönüşebilecek hızlı büyüyen müşterileri yakalamak için mükemmel bir hamle.
Reklamlar çok basittir, ekstra maliyetle paketler veya premium özellikler içermez. Bu incelemede açıklanan tüm işlevler (ve daha fazlası) varsayılan olarak dahildir, diğer satıcılar ise genellikle güvenlik açığı yönetimi, SSO veya API erişimi gibi ekstra özellikler için ücret talep eder.