Yazan Dan Richings – Kıdemli Başkan Yardımcısı, Küresel Ön Satış, Çözüm Mühendisliği ve Destek – Adaptiva
Günümüz pazarında üçüncü taraf yazılımların kullanılması kaçınılmazdır. BT ekiplerinden teslim etmeleri istenen rekabet ve baş döndürücü hız, kuruluşları doğru seçim yerine kolay seçimi yapmaya yönlendirerek onları güvenlik açıklarına maruz bırakır.
Bir yazılım güvenlik açığı, sudaki kandır. Ve siz fark ettiğinizde, köpekbalıkları çoktan yaklaşıyor.
İşletim sistemleri her zamankinden daha güvenli. Bununla birlikte, siber suçlular yama uygulanmamış üçüncü taraf Windows uygulamaları aracılığıyla bir yol buluyor ve şirketleri köpekbalığı istilasına uğramış sularda iğne ve iplikle yaralarını sarmaya çalışıyormuş gibi hissettiriyor.
Tehlikeleri bilmelerine rağmen, kuruluşlar hala ayak uyduramıyor. Onlara sadece paraya ve müşterilere mal olmuyor; itibarlarını da olumsuz etkiler.
Çok küçük çok geç
Belki de bürokrasi, daha hızlı, gevşek bir şekilde tanımlanmış yönetişim süreçlerini serbest bırakma baskısı, bir iletişim arızası veya her şeyden biraz. Her ne ise, genellikle kaçınılabilir. Veri ihlallerinin yüzde altmışı, kuruluş tarafından bilinen ve yama uygulanmamış bir güvenlik açığı nedeniyle gerçekleşti. Peki neyi farklı yapabiliriz? Daha hızlı, daha etkili yama yanıtlarını nasıl sağlayabiliriz?
Artan personel sayısı cazip görünüyor, ancak sorunu çözmeyeceğini biliyoruz ve zaten buna ayıracak bütçemiz yok. Kesin olan bir şey var ki, güvenli olmayan bir sistemin sonuçları hayati tehlike oluşturabilir.
Scripps Health, 2021’de ciddi bir fidye yazılımı saldırısı yaşayan ve BT altyapısının temel parçalarını çevrimdışı bırakan hastaları geri çevirdi. Aynı yıl, Yeni Zelanda’daki Waikato Hastanesi ve İrlanda sağlık servisi, kendi güvenlik açıkları nedeniyle hayat kurtaran ameliyatları yeniden planlamak zorunda kaldı.
Durum o kadar kötüye gitti ki, hükümetler kuruluşları savunmasız yazılımlara yama uygulamaya öncelik vermeye teşvik eden yasalar çıkarıyor. ABD İç Güvenlik Bakanlığı artık federal kurumların ve yüklenicilerin yüksek güvenlik açıklarını 30 gün içinde ve kritik güvenlik açıklarını yalnızca 15 gün içinde düzeltmelerini şart koşuyor.
İyi niyetli olmasına rağmen, geliştiricilerin de onaylayabileceği gibi, bir şeyin yapılmasını zorunlu kılmak, onu fiilen yapmaktan çok daha kolaydır.
Ne yapılabilir?
Üçüncü taraf uygulamaları yamalamak neden bu kadar zor? Ne oluyor? Adaptiva’da geçirdiğim süre boyunca, kuruluşlardan güvenlik açığı bulunan üçüncü kişi yazılımlara yama uygularken karşılaştıkları zorluklar hakkında çok şey duydum. İşte bana söylenen en yaygın nedenler.
Uzaktan çalışma ve kopuk ekipler
Sadece birkaç yıl önce, iş farklı görünüyordu. Özellikle BT için uzaktan çalışan olmak nadirdi. Şirket içinde ve çağrı sırasında herkes işin yapıldığı yerdeydi. Aksiyonun olduğu yer. Şimdi farklı. Uzaktan çalışmaya karşı hisleriniz ne olursa olsun, kimsenin bu kadar büyük ve hızlı bir değişime hazır olduğunu düşünmüyorum.
Kuruluş genelinde sıkı protokoller olmadığında, ekipler kopuk iş akışlarıyla baş başa kalır. Güvenlik açığı yönetimi tipik olarak bir BT güvenlik görevidir, ancak masaüstü bilgisayarlara yama uygulamak masaüstü ekibinin, BT operasyonlarının veya BT hizmet yönetiminin işi olabilir.
Bu kopukluklar iş akışını kesintiye uğratabilir, etkili iletişimi engelleyebilir ve yama sürecinde daha da fazla sürtüşmeye ve gecikmeye neden olabilir.
Çalışanlar kurumsal uygulamalara erişmek için kendi ev cihazlarını kullanmayı tercih ettiğinden, uzaktan çalışma yeni güvenlik tehditlerini de beraberinde getirir. Elbette, dizüstü bilgisayarları tedarik etmeyi, şifrelemeyi ve göndermeyi veya erişimi VPN’lerin arkasına gizlemeyi deneyebiliriz. Bir çalışan kendi cihazını kullanmakta ısrar ederse onu kim durduracak?
Zayıf veya zorlu değişiklik yönetimi
Açık konuşalım – değişiklik yönetimi herhangi bir kuruluş için kritik öneme sahiptir. Zayıf değişiklik yönetimi, tüm yazılım geliştirme yaşam döngüsünü mahvedebilir. Denetçilerle de başınızı büyük belaya sokabilir. Ancak zahmetli değişim yönetimi, sırf bürokrasi için bürokrasi, bir o kadar kötü olabilir.
Müşteri verilerine yönelik ani bir tehdit olduğunda, aciliyet gerekir. Bir sonraki çıkış tarihini ve komite onaylarını bekleyecek zaman yok. Bir keresinde imalat sektöründe, bir değişikliğin üretime geçmeye hazır olması için 42 (evet, 42) onaydan geçmesi gereken birini tanıyordum.
Değişiklik yönetimi, farklı konular için nüanslara ve farklı yollara ihtiyaç duyar. Gelişen tehdit ortamına uyum sağlamak için eski politikaların güncellenmesi gerekir.
Bunalmış çalışanlar
Birikmişlik asla bitmez. Bir uygulamanın yama uygulanmış bir sürümü geliştirildiğinde, test edildiğinde ve dağıtıldığında, bu sürüm zaten eskimiş olur ve daha fazla yama içeren daha yeni bir sürümle değiştirilir. Bilgisayar korsanları, kuruluşların işe nasıl öncelik verdiğini bilirler ve bunu düşük öncelikli, az kullanılan uygulamalardan kasıtlı olarak yararlanarak – radarın altından uçarak – kendi avantajlarına kullanırlar.
Siber tehditler her zaman aşırı tetikte olmayı gerektirir. Son işten çıkarmalar, enflasyon ve sıkılaştırılan bütçelerle daha da kötüleşen kuruluşlar, kendilerini yetersiz hissediyor. Çalışanları da öyle.
Yamalar mükemmel değil.
Keşke bir düğmeye basmak kadar kolay olsaydı ama çoğu işletme için durum böyle değil. Yama uygulama ile ilgili güvenlik endişeleri ve uyumluluk testlerinin tamamlanması günler hatta haftalar alabilir.
Yamaların sık sık yayınlanması, ekiplerin uygulamaya çalıştıkları yama için hangi meta verilerin geçerli olduğunu belirlemesini zorlaştırarak dağıtım sürecini daha da uzatabilir. Yama nihayet konuşlandırılırsa ve ne zaman dağıtılırsa, muhtemelen yeniden çalışılması ve yeniden dağıtılması gerekir.
Yamanın hiç olmaması şaşırtıcı. Siber suçlular günün her saatinde çalışırken ve yazılımlar giderek daha karmaşık hale geldikçe, bu sorunlar muhtemelen daha da büyüyecektir.
Üçüncü taraf yamayı yayınlasa bile, bunun güvenli olduğuna ya da daha fazla sorun çıkarmayacağına dair bir taahhüt yoktur. SolarWinds hack’ini hatırla? Siber suçlular, binlerce tedarikçi firmaya giden bir yama aracılığıyla kod aktardı.
Düzeltme: Otonom Yama
Üçüncü taraf uygulama düzeltme eki, BT ekipleri için birçok zorluk sunar. Yapmak zorunda değiller.
Yama yönetimi için gereken manuel süreçler, önemli ölçüde zaman ve kaynak tüketerek BT ekiplerinin sürekli gelişen tehdit ortamına ayak uydurmasını zorlaştırır.
Yapay zeka ve makine öğrenimi sayesinde otomasyon daha hızlı, daha sorunsuz ve daha verimli ve otonom yönetim çağını mümkün kılıyor. Ponemon Enstitüsü tarafından yakın zamanda yapılan bir ankete göre, güvenlik açıklarını araştırmak ve düzeltmek için otomasyon kullanmak, bir ihlalin ortalama maliyetini yılda 450.000 ABD Doları veya yüzde 20 oranında azaltır.
Örneğin, Adaptiva’da, çok büyük bir üçüncü taraf uygulama kitaplığı genelinde yama stratejisini basitçe tanımlamanıza izin veren kullanıcı odaklı bir platform oluşturduk ve Adaptiva, sistemlerinize gerçek zamanlı olarak özerk bir şekilde yama uygulayacaktır. Envanterden tanımlamaya, önceliklendirmeye, dağıtım dalgalarına ve teste kadar her şey otonom olarak çalışacak. Bir cihaza tekrar yama uygulamanız gerekmeyecek.
Ancak, seçtiğiniz belirli otonom yama yönetimi çözümünden bağımsız olarak, sonuç olarak, yama yönetimi adımlarını çok az veya hiç insan müdahalesi olmadan, hatta aynı anda birden fazla yama dağıtarak iletebilirsiniz. Tüm bunlar daha kısa sürede yapılır, bu da ekiplerin stratejik, katma değerli görevlere daha fazla zaman ayırması anlamına gelir. Ve geleceğe baktığımızda, bu tür araçlar genel BT güvenlik stratejinizde giderek daha önemli bir rol oynayacaktır.
yazar hakkında
Dan Richings – Kıdemli Başkan Yardımcısı, Küresel Ön Satış, Çözüm Mühendisliği ve Destek – Adaptiva.
Birleşik Krallık’ta bulunan ve 2015’ten beri Adaptiva’da bulunan Dan, Adaptiva’nın ürün ve çözümlerinin yönetimini denetler ve şirket için ürün yol haritasının belirlenmesinde ve müşteri ihtiyaçlarının karşılanmasında önemli bir rol oynar. Dan, inşaat, tasarım ve danışmanlık, yazılım geliştirme ve BT profesyonel hizmetleri dahil olmak üzere çok sayıda endüstri sektörünü kapsayan bir kariyer boyunca BT Sistemleri Yönetiminde güçlü bir teknik geçmişe sahiptir.
Dan’e çevrimiçi olarak şu adresten ulaşılabilir: https://twitter.com/dan_richings
ve şirketimizin web sitesinde https://adaptiva.com/