Hatalı güncellemeler nedeniyle oluşan çökmeler yeni bir şey değil; aslında, BT ekiplerinin güncellemeleri sıklıkla ertelemesinin bir nedeni, bunların güvenilmez olması ve kuruluşun günlük operasyonlarını aksatma eğilimidir. Sıfır günler de eski bir olgudur. Geçmişte, en büyük satıcılar ve kullanıcıları arasında bile siber güvenlik farkındalığının olmaması nedeniyle, sıfır günler yalnızca daha yaygın olmakla kalmıyor, aynı zamanda genellikle herkese açıktı ve script kiddie’lerin bunları istismar etmesine olanak sağlıyordu.
Geçmişte olağan olan bir diğer şey de teknoloji yığınlarındaki çeşitlilikti. Örneğin, bir Sun Solaris sunucusunu etkileyen bir hata bir OpenBSD sistemini etkilemezdi. Bugün, yaygın olarak kullanılan çok daha az sayıda işletim sistemi görüyoruz ve hatta “farklı” Linux dağıtımları bile genellikle ortak kod tabanlarını paylaşıyor, bu da örneğin Ubuntu’yu etkileyen bir hatanın veya güvenlik açığının muhtemelen Linux Mint’i de etkileyeceği anlamına geliyor.
Teknoloji yığını çeşitliliği, tek bir hatalı güncellemenin veya istismarın etkisini sınırlamak için kullanılırdı, ancak artık kritik sistemlerde (belirli endüstrilerde bu uzun süredir devam eden bir sorun olmasına rağmen) azalan satıcı ve ürün çeşitliliğinin yaşandığı bir dönem yaşıyoruz. Artan bağlantıyla birleştiğinde (kritik altyapının büyük bölümleri de dahil olmak üzere çoğu bilgisayar sisteminin düzenli olarak diğer bilgisayar sistemlerine ve çevrimiçi hizmetlere bağlı olduğu) bu, makro ölçekte “tek bir kritik arıza noktası” yaratır.
Başka bir deyişle, tanık olduğumuz devasa başarısızlıklar, daha iyi kodlama uygulamalarıyla çözülebilecek basit teknik sorunlar değil; biyoloji veya sosyolojide görülenlere benzer klasik bir popülasyon ekolojisi sorununun tezahürleridir.
Mahvolduk mu?
Muzun tarımsal geçmişini düşünün: 20. yüzyılın ortalarına kadar, Gros Michel dünyanın en popüler muz türüydü ve üstün tadı nedeniyle tercih ediliyordu. Ancak, 1950’lerde, Fusarium oxysporum mantarının neden olduğu Panama hastalığı, Gros Michel türünü dünya çapında yok etti. İnsanlığın tepkisi, daha az lezzetli ama daha dayanıklı Cavendish türünü her yere ekmek oldu. Ancak, en dayanıklı sistemlerin bile zayıf noktaları vardır. Her yere aynı türü ekmeye devam ettiğimiz sürece, sonunda tüm popülasyonu bir kez daha öldürebilecek bir mikrop çıkması muhtemeldir. Foc Tropical Race 4 (Foc-TR4) adı verilen yakın tarihli Panama hastalığı türü bu rol için oldukça iyi bir adaydır.
Yakında bir muz neslinin tükenmesiyle karşı karşıya kalabiliriz ancak elmalar için aynı şey pek olası değil. Neden? Çünkü birçok popüler elma türü (satıcı ve ürün çeşitliliği) vardır ve tek bir mikrop tarafından istismar edilen bir zafiyet küresel elma popülasyonunu yok edemez.
BT sektörü de benzer bir ikilemle karşı karşıya. Her alanda giderek daha az sayıda teknoloji yığınına bağımlı hale geliyoruz. Birçok durumda, sistemler standart yığından biraz sapsa bile (örneğin, aynı yazılımı Windows yerine Linux veya Mac kullanarak) genellikle belirli güvenlik açıklarından etkilenmezler. Ancak buradaki ders, Linux veya Mac’i her derde deva olarak kullanmak değildir; tek bir sistem bile tekdüzelik sorununa karşı bağışık değildir. Bunun yerine, gerçek sorun, teknolojideki yaygın tekdüzeliğin tüm ekosistemi savunmasız hale getirmesidir.
Tarımsal hastalıkların rastgele ortaya çıkmasının aksine, günümüzün milyarlarca dolarlık sıfırıncı gün istismar pazarı, güvenlik açıklarını kasıtlı olarak hedeflemek için en iyi siber güvenlik araştırmacılarının uzmanlığından yararlanır. Yeterli zaman verildiğinde, güvenlik açıkları her zaman bulunacaktır ve sistem bir avuç satıcı tarafından çok az sayıda ürün üzerine inşa edildiği sürece, satıcı tarafından tanıtılan bu tür güvenlik açıkları ve hatalar tüm altyapıları çökertebilme yeteneklerini koruyacaktır.
Bunun ışığında, son kesintilerin (örneğin CrowdStrike) ve küresel saldırıların (örneğin XZ hatası) neredeyse gerçekleşmelerinin yalnızca izole olaylar olmadığını, aynı zamanda karşı karşıya olduğumuz sistemsel güvenlik açığının açık uyarıları olduğunu kabul etmeliyiz. Bu olaylar gelecekteki saldırıların yıkıcı potansiyelini vurgular.
Milyonlarca bilgisayarın koordineli bir siber saldırıda hedef alındığı bir senaryoyu düşünün. Bu sistemlerin her biri, tüm verileri şifreleyen, kritik bilgileri sızdıran ve hatta sabit diskler biçimlendirilse bile kaldırılamayan aygıt yazılımı tabanlı kötü amaçlı yazılım yükleyen bir fidye yazılımıyla enfekte olsaydı, sonuçlar felaket olurdu. Böyle bir saldırı ekonomileri felç edebilir, ulusal ve uluslararası güvenliği tehlikeye atabilir ve sağlık, finans ve enerji gibi kritik altyapı sektörlerinde tahribata yol açabilir. Tüm ekonomiler uzun süreler boyunca sakat kalabilir.
Riski fark edin ve bu konuda bir şeyler yapın
Tüm kritik BT altyapısı sonunda ve periyodik olarak parçalanacak mı?
Kesinlikle değil. Buradaki önemli nokta, çeşitlilik eksikliğinin bir güvenlik riski olduğunu fark etmektir. Bu sorunu kabul etmek (ISO kontrol listeleri ve olay müdahale planları gibi güvenlik değerlendirme protokollerimize yerleştirerek) bizi daha iyi çözümler bulmaya zorlayacaktır.
Bu çözümler, kuruluşların belirli ihtiyaçlarına, kaynaklarına ve yeteneklerine bağlı olarak değişebilir. Örneğin, şirketler bu riski, yedek sunucular gibi ikincil sistemlerin yalnızca acil durumlarda etkinleştirildiği ve farklı bir teknoloji yığını üzerine inşa edildiği heterojen yedeklilik uygulayarak azaltabilir. Bu alternatif yığın, farklı teknolojik temellere dayandıkları sürece daha küçük tedarikçilerden gelen ürünleri veya hatta birincil tedarikçiden farklı ürün hatlarını içerebilir.
Bir diğer etkili strateji, sistemin izole segmentlere bölündüğü ve bunların bazılarının farklı teknolojiler üzerine inşa edildiği mikro segmentasyondur. Ayrıca, kuruluşlar şirketin kendi ağı ile bulut arasında yedekliliğin sağlandığı hibrit sistemleri benimseyebilir veya farklı bulut sağlayıcılarının aynı anda kullanıldığı çoklu bulut sistemlerinden faydalanabilir.
Sonuç olarak, en önemli adım, kuruluşların tek bir standart teknoloji yığınına güvenmenin bir risk olduğunu kabul etmeleridir. Bu riski güvenlik değerlendirme protokollerine ve olay müdahale planlarına yansıtarak, şirketler özel çözümler geliştirmek için daha iyi donanımlı olacaktır.
Tedarikçi ve ürün çeşitliliğine sürekli öncelik vererek ve bunu güvenlik stratejilerimizin temel bir bileşeni haline getirerek, küresel teknoloji manzarasının uzun vadeli dayanıklılığını artırabiliriz. Başka bir deyişle, çeşitlilik -doğadaki en iyi savunma mekanizmalarından biri- yalnızca küresel BT altyapısını değil, aynı zamanda kendi kuruluşlarımızı da korumak için ihtiyacımız olan şeydir.
Katkıda bulunan yazar: Fulya Açıkgöz, Pazarlama alanında Öğretim Görevlisi (Yardımcı Doçent), Sussex Üniversitesi