Neredeyse Salı günü üçüncü yamamıza geldik ve 2024'ün ilk çeyreğini tamamlıyoruz. Zaman akıp gidiyor! Microsoft, aktif sürümleri desteğin sonuna yaklaşırken kullanıcıları işletim sistemlerini güncellemeye zorlamaya başlıyor.
Şubat 2024 Salı Yaması, standart Microsoft Windows, Office ve Exchange Server güncellemeleriyle oldukça tipikti. İki sıfır gün güvenlik açığı belirlendi ve Windows 11 ve 10'da sırasıyla toplam 41 ve 44 güvenlik açığı giderildi. Ancak Mart 2024 Yaması Salı tahminine geçmeden önce güncellenen NIST çerçevesi hakkında bilgi vermek istiyorum.
NIST CSF 2.0
Uzun zamandır beklenen NIST Siber Güvenlik Çerçevesi 2.0 yakın zamanda 26 Şubat'ta yayınlandı. 2014 yılında yayımlanan orijinal çerçeve, kritik altyapı sistemlerinin korunmasına odaklanıyordu ve aslında Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi başlığını taşıyordu. En son sürüm herkes için bir belgedir ve NIST web sitesine göre “sanayiye, devlet kurumlarına ve diğer kuruluşlara siber güvenlik risklerini yönetme konusunda rehberlik sağlar”.
Belge, organizasyonel kapsamın genişliğine ek olarak çok sayıda yeni en iyi uygulama sunuyor ve aynı zamanda 'yönetişim' gerekliliğini de ortaya koyuyor. Bu kategori altındaki konular arasında sektör düzenlemelerine dayalı uyumluluk ihtiyacı, risk yönetimi uygulamaları ve yönetim kurulu odasından yöneticilere ve kullanıcılara kadar şirketin her düzeyinde anlaşılması ve yönetilmesi gereken güvenlik ihtiyacı yer alıyor. Bu belgeye bakmalı ve mevcut güvenlik programınızda veya çerçevenizde dikkate almadığınız bazı yönlerin olup olmadığını görmelisiniz.
2023'ün öne çıkanları
2023'teki bazı önemli olaylara ve istatistiklere genel bir bakış sunmadım, bu yüzden hafızanızı harekete geçirecek birkaç tanesini burada bulabilirsiniz.
Microsoft, 2023'te hatırlanması kolay olan 23 sıfır gün güvenlik açığını yamaladı. Bunların %50'sinden biraz fazlası ayrıcalık yükselmesini sağladı ve sonraki %25'i güvenlik özelliği atlamasına izin verdi. Geriye kalanlar hizmet reddi, bilgilerin ifşa edilmesi ve uzaktan kod yürütme arasında bölündü. Şaşırtıcı bir şekilde, uzaktan kod yürütme en az sıfır gün güvenlik açığına neden oldu. Apple, yıl boyunca rapor edilen 20 sıfır gün güvenlik açığından payına düşeni aldı.
Apple, otomatik olarak indirilebilen küçük, kurulumu hızlı güvenlik yamalarından oluşan ilk Hızlı Yanıt Güvenlik Güncellemesini Mayıs ayında yayınladı. Ve son olarak Google, 2023'te Chrome'daki 8 sıfır gün güvenlik açığını giderdi. Düzenli güncellemeler planlayabilmemiz için mümkün olduğunda haftada bir kez güncelleme yapılması güzel bir hamleydi.
Windows 11 An 5
Microsoft Windows 11 Moment 5 geçen hafta ön izleme için yayınlandı. 'En son güncellemeleri mümkün olan en kısa sürede al' seçeneğini işaretlediyseniz, 23H2 ve 22H2'de görünecektir. Microsoft'un kurumsal aboneler için Windows Autopatch'i Windows Update for Business ile birleştirmesi ilgi çekici bir noktadır.
Bu Moment 5 güncellemesinin Nisan Yaması Salı sürümüyle birlikte tüm kullanıcılara sunulması planlanıyor. Microsoft, Windows 11'in eski sürümlerini 23H2'ye 'zorla güncellemeye' başladıklarını duyurdu. Eski sürümlerde EOL'ye yaklaşan sistemler otomatik olarak güncellenecektir. İlgili bir durumda Microsoft, Windows 10 Pro ve Pro Workstation çalıştıran yönetilmeyen kurumsal cihazlarda Windows 11'e güncelleme yapmak için bir uyarı ekranı oluşturuyor. Uyarı ekranı kullanıcıya Windows 11 için bir güncelleme sunacak. Bu Nisan ayında tanıtılacak Yama Salı sürümü.
Mart 2024 Yaması Salı tahmini
- Bu, desteklenen tüm işletim sistemi, Office, SharePoint ve Exchange sunucusu güncellemelerinden oluşan Microsoft'un tipik bir aylık sürümü olmalıdır.
- Adobe Acrobat ve Reader, geçen Salı Yaması'nda bir güvenlik güncellemesi aldı, dolayısıyla küçük bir güncelleme görebiliriz.
- Apple bugün tüm PC işletim sistemleri ve Safari için güvenlik güncellemelerini yayınladı; bu nedenle bunları mevcut yama dağıtımınıza dahil ettiğinizden emin olun.
- Google bugün Windows, Mac ve Linux için Masaüstü için Chrome Beta 123.0.6312.28'i yayınladı; bu nedenle resmi güncellemenin Salı Yaması'nda yayınlanmasını bekleyin. Güncellemelerini Microsoft'tan ziyade öğleden sonra yayınlayacaklar ancak buna dikkat edin.
- Mozilla bu hafta Thunderbird 115.8.1'i piyasaya sürdü, dolayısıyla önümüzdeki hafta Firefox ve Firefox ESR güncellemelerini görebiliriz.
Gelecek hafta Microsoft'tan standart güncellemelerin yanı sıra normal satıcıların tarayıcı güncellemelerini de yayınlamasını bekliyorum. Microsoft'un uygulamaya başladığı işletim sistemi güncellemelerini yönetmek için önceden plan yapın; çoğu önümüzdeki ayın Salı Yaması sürümüyle bizi etkileyecek gibi görünüyor. Son olarak NIST Siber Güvenlik Çerçevesi 2.0'a bir göz atın. Güvenlik programınızı geliştirmenize yardımcı olacak zengin bilgi ve kaynaklar içerir.