Saldırganların, açıkları ifşa ettikten sonraki ilk on beş dakika içinde güvenlik açıklarından yararlanmaya çalışacakları gözlemlenmiştir. Yama yapma süresi kısaldıkça, kuruluşların güvenlik açıklarını düzeltme söz konusu olduğunda, özellikle de önceliklendirme söz konusu olduğunda, daha pragmatik olmaları gerekir.
Kuruluşların, yama uygulamadan önce yeterli durum tespiti yapma ve ardından ortaya çıkan tehditlere karşı kendilerini savunmak için mümkün olan en kısa sürede yama uygulama dengesini kurmaları gerekir. Bunu kolaylaştırmak için birkaç şey dikkate alınmalıdır:
Saldırı yüzeyinizi anlama
Yeni uygulamalar geliştirildikçe, eski sistemler kullanımdan kaldırıldıkça ve yeni varlıklar kaydedildikçe saldırı yüzeyleri sürekli gelişir ve değişir. Ayrıca, giderek daha fazla kuruluş, bu varlıkların güvenliğini sağlama riskini ve sorumluluğunu değiştiren bulutta barındırılan altyapıya doğru ilerliyor. Bu nedenle, saldırı yüzeyinin o anda nasıl göründüğünün anlık görüntüsünü almak yerine, hangi sistemlerin risk altında olduğunu anlamak için sürekli veya düzenli değerlendirmeler yapmak önemlidir.
İlk adım, “geleneksel” varlık türlerini (etki alanları ve IP adresleri gibi bir kuruluşla kolayca ilişkilendirilebilen ve izlenmesi kolay olanları) haritalamak olacaktır. Bu varlıkların mülkiyeti, mevcut bilgiler (örneğin, WHOIS verileri) aracılığıyla kolayca belirlenebilir.
Daha az geleneksel varlık türleri (GitHub depoları gibi) doğrudan kuruluşa ait değildir, ancak saldırganlar için yüksek değerli hedefler veya bilgiler de sağlayabilir. Ayrıca, evden çalışan ve uzaktan erişim çözümlerine ve ev ağı kurulumlarına güvenen çalışanlar nedeniyle ortaya çıkabilecek daha az belirgin saldırı senaryolarını dikkate almakta fayda var.
Kuruluşla ilgili güvenlik açıklarına dayalı olarak sağlam kararlar vermek için hangi teknolojilerin kullanıldığını anlamak da önemlidir. Örneğin, bir ay içinde ortaya çıkan yüz güvenlik açığından yalnızca %20’si kuruluşun teknolojilerini etkileyebilir.
Önceliklendirme ve bağlam
Kuruluşlar, hangi varlıkların risk altında olabileceğini iyi anladıktan sonra, bu varlıkları etkileyen güvenlik açıklarına bağlam ve önceliklendirme uygulanabilir. Tehdit istihbaratı, hangi güvenlik açıklarının halihazırda kötüye kullanıldığını belirlemek için kullanılabilir. Dolayısıyla, yukarıdaki örnekten yola çıkarak, bu yüz güvenlik açığının yalnızca %20’si kuruluşun teknolojilerini etkileyebilse de, bu %20’nin yalnızca %8’i vahşi ortamda aktif olarak sömürülüyor. Bu nedenle, ilgilenmeniz gereken güvenlik açıkları listesi azaltılır ve çok daha yönetilebilir.
Kuruluşunuza yönelik belirli tehditleri anlamak da çok önemlidir. Örneğin, web skimmer tabanlı saldırıların büyük olasılıkla perakende işletmeleri hedef alması muhtemeldir. Aynı şekilde, fidye yazılımı saldırıları kuruluşunuz için özel bir tehdit oluşturuyorsa olası erişim vektörlerini göz önünde bulundurun ve ilgili sorunların düzeltilmesine öncelik verin.
Sömürü olasılığına göre düzeltme yapın – bu yeni bir güvenlik açığı mı, yoksa halihazırda iyice yerleşmiş ve çevrimiçi olarak kapsamlı bir şekilde tartışılıyor mu? Örneğin, 2022’nin ilk yarısında en çok yararlanılan güvenlik açıklarının tümü 2021’in sonlarına doğru yayınlandı ve bu da en popüler güvenlik açıklarından yararlanma olasılığının daha yüksek olduğunu gösteriyor.
Ancak, diğer şekilde çalışabilir. Örneğin, Text4Shell adlı Apache Commons’ı etkileyen bir güvenlik açığı yayınlandığında, medya, kısmen ad ve Log4Shell geri dönüşleri nedeniyle güvenlik açığının göründüğünden çok daha ciddi olduğunu algıladı. Güvenlik araştırmacılarının araştırma yapması ve kuruluşların aslında çoğu medya kuruluşunun ortaya koyduğundan çok daha az ciddi olduğuna dair güvence vermesi biraz zaman aldı.
Ama bu yeterli mi?
Yukarıdaki istatistikleri görmek, kuruluşları asla zamanında yama yapamayacakları hissine kaptırabilir, bu yüzden belki de farklı bir yaklaşım düşünmeliyiz.
Örneğin, OpenSSL kısa bir süre önce müşterilere, 3.0.0 ve 3.0.6 sürümlerini etkileyen kritik önem derecesindeki bir güvenlik açığını gidermek için bir güvenlik düzeltme ekinin önümüzdeki Salı günü yayınlanacağını bildirdi.
Duyuru biraz paniğe neden olsa da, kuruluşlara yama sürümüne hazırlanmaları ve maruz kalma sürelerini en aza indirmeleri için zaman verdi. İdeal bir dünyada, kuruluşlar saldırı yüzeylerini zaten iyi anlamışlarsa, etkilenen sistemleri proaktif olarak yama için hazırlayabilirler. Ancak bu, yamaları üretim sistemlerine yaymadan önce test etmek için gereken süreyi dikkate almaz.
Peki bu muamma için doğru cevap nedir? Cevap, cevap olmadığıdır! Bunun yerine, kuruluşlar bir zihniyet değişikliğini düşünmeli ve derinlemesine bir savunma yaklaşımı benimserken sorunları önlemeye bakmalı; en önemli varlıklara öncelik vererek ve önemsiz olanları ele almak için harcanan zamanı azaltarak etki ve riski en aza indirmeye odaklanın. Bu, kuruluşunuzun saldırı yüzeyini anlayarak ve konulara bağlama ve alaka düzeyine göre öncelik vererek başarılabilir.