Güvenlik söz konusu olduğunda sorunları istismar edilmeden önce düzeltmek, olaylara müdahale etmekten daha kolay ve daha ucuzdur. Hızlı düzeltme ekinin saldırganların içeri girmesini engellediği ve bulut örnekleri veya uygulama dağıtımları etrafındaki en iyi uygulamaları kullanarak, saldırganların bunları kullanmadan önce tüm sorunları ortadan kaldırdığı açıktır. Bu çalışmayı takip etmek ve değerini göstermek neden bu kadar zor? Peki yama yönetimi süreçlerini kalıcı kılmak neden bu kadar zor?
Sağladıkları değeri kanıtlamak isteyen bilgi güvenliği yöneticileri (CISO’lar) için bireysel yama gibi bir şey, şirket liderlerinin önemsemeyeceği kadar küçük ve tekniktir. Ancak zaman içinde yama uygulama ve düzeltmelere bakmak, kesinlikle liderlerin dikkatini çekmeye değer belirli iş ve güvenlik sorunlarını gösterebilir. Doğru ölçümleri takip etmek ekibinizin daha etkili çalışmasına yardımcı olabilir, ancak aynı zamanda bu verileri işletmenize verdiğiniz değeri göstermek için de kullanabilmelisiniz.
MTTR: Neyi Ölçüyor (ve Ölçmüyor)
Ortalama düzeltme süresi (MTTR), CISO’ların yama uygulamayla ilgili incelemesine ilişkin tipik istatistiktir. MTTR, bir yamanın duyurulduktan sonra üretime geçmesi için geçen ortalama süreyi kapsar. Değişiklikleri ne kadar hızlı uygulayabileceğinize dair genel bir ölçüm sağlar. Ancak tek başına çok fazla ayrıntı sunmaz veya çabanızın nereye gittiğini göstermez. Ayrıca yama ve düzeltme sırasında ortaya çıkan herhangi bir sorunu da göstermez.
MTTR’nin bir sorunu, kritik güvenlik açıklarına ve küçük sorunlara eşit şekilde yaklaşmasıdır. Sonuç olarak, bazı CISO’lar ciddi sorunları nasıl önceliklendirdiklerini ve bunları ne kadar hızlı ele aldıklarını göstermek için MTTR’yi kritik sorunlar için ayrı ayrı izliyor. Diğer zorluk ise çoğu zaman bir yamanın tek bir sorunu çözmemesidir; Bir sorunu “düzeltildi” olarak adlandırmak için birkaç düzeltme eki dağıtmanız, yapılandırma değişiklikleri yapmanız ve bir kayıt defteri anahtarını değiştirmeniz gerekebilir.
Tanıdığım bir CISO, MTTR’yi “ortalama yeniden başlatma süresi” olarak değiştirdi çünkü değişiklikler, sistem yeniden başlatılıncaya kadar tam olarak dağıtılamayabilir (ve güvenlik açığı giderilemez). Bazı kritik sistemlerin belirli bir kesinti süresi dışında kapatılması zordur ve bu durum genel güvenliği etkiler. Metriğin adının “yeniden başlatma” olarak değiştirilmesi, ekibin yama sürecini ne zaman tamamladığını netleştirir ve şirket liderliğinin etkiyi anlamasını sağlar.
MTTD, MTTP, MTTC: Dikkate Alınması Gereken Diğer Metrikler
Birçok CISO, yama uygulama ve düzeltme süreciyle ilgili daha fazla ayrıntı istiyor. Süreçlerinizin ne kadar iyi çalıştığını gösteren üç yaygın ölçüm, ortalama tespit süresi (MTTD), ortalama önceliklendirme süresi (MTTP) ve ortalama iletişim süresidir (MTTC).
MTTD, özellikle yeni sorunlar yayınlandığında ekibinizin mevcut yama uygulama durumunuzu ne kadar hızlı bulup rapor edebileceğini kapsar. Operasyonel açıdan bakıldığında bu, ekibinizin Salı Yaması sırasında yayımlanan yeni sorunları dahili sorunlar hakkındaki raporlara ne kadar hızlı dönüştürdüğünü göstermelidir. Tespit sonrasında MTTP, ekibinizin sorunları ne kadar hızlı önceliklendirebileceğini, hangilerinin kritik risk olarak ele alınması gerektiğine ve hangilerinin zamanında düzeltilebileceğine karar vermesini kapsar.
Çok sayıda yama ve güncelleme güvenlik ekipleri için göz korkutucu olabilir. Ancak her güncellemenin bir riskle ilişkili olduğu söylenemez. Qualys’in “2023 TruRisk Araştırması” raporunda, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) girişi olarak atanan 25.228 yazılım güvenlik açığı sorununu inceledik. Bunlardan 7.786 güvenlik açığının potansiyel istismarları vardı, ancak yalnızca 159’unda silah haline getirilmiş yararlanma kodu vardı ve yalnızca 93’ü kötü amaçlı yazılımlar tarafından istismar edildi. Binlerce potansiyel soruna bakmak yerine en büyük risklere odaklanmak önemlidir.
MTTP, BT varlıklarınızdaki (dağıtılan uygulamalar, hizmetler ve altyapı) varlıkları anlama yeteneğinizi izler ve bunları yeni sorunlara ve bunların önem derecelerine göre haritalandırır. Ayrıca dağıtım yaklaşımınıza, azaltma planlarınıza ve iş operasyonlarınıza göre hangi düzeltmelerin ilk önce uygulanacağına öncelik vermek için kuruluşunuzun risk yönetimi stratejisini kullanır. Hızlı bir şekilde önceliklendirebilmek, operasyonel ekibinizin stratejinizi gerçek dünyadaki durumlara dönüştürmede etkili olduğunu gösterir.
MTTC yeni bir metriktir. Güvenlik organizasyonunun, BT operasyonlarını yürütmeye veya güncellemeleri uygulamaya dahil olan diğer departmanlar veya ekiplerle ne kadar hızlı işbirliği yapabileceğine bakar. BT güvenlik ekipleri, düzeltme için riskleri ve güvenlik açıklarını işaretleyebilir ancak yamaları kendileri dağıtmaktan sorumlu olmayabilir. Belirli teknoloji alanlarından sorumlu birden fazla ekibin bulunduğu büyük kuruluşlar için etkili iletişim, verimli ve yavaş dağıtımlar arasındaki farkı yaratabilir. MTTC’nin izlenmesi, BT güvenliğinin operasyonel performansı işaretlemesine yardımcı olabilir, ancak aynı zamanda ekipler arasındaki işbirliğinin nerede iyi çalıştığını ve nerede geliştirilebileceğini de gösterebilir.
MTTC ayrıca, farklı önceliklere sahip ekipler veya belirli sorunlardan sorumlu olmayan ekipler dahil olmak üzere, riskle ilgili iş dünyasındaki potansiyel sorunları da gösterebilir. MTTC, bu sorunların nerede mevcut olduğunu gösterebilir ve tüm şirketin gelişmesine yardımcı olabilir; bu, yalnızca MTTR’ye bakıldığında açıkça görülmez. Bu aynı zamanda birden fazla ekibi teşvikler etrafında bir araya getirerek güvenlik ve risk yönetiminin herkesin hedeflerine dahil edilmesi için bir fırsat olabilir.
İşletmenize Güvenliğin Değerini Gösterin
Zamanla yama uygulama ve iyileştirme konusundaki başarınızı takip etmek, risk yönetimi ve BT güvenliği süreçlerinizin ne kadar etkili olduğunu gösterebilir. Ayrıca güvenliğin yazılım tedarik zincirine ve geliştirme yaşam döngüsüne daha erken dahil edilmesi ve süreçlerin ve iş akışlarının “varsayılan olarak güvenli” hale getirilmesi için nasıl daha etkili bir şekilde işbirliği yapılacağı gibi güvenlikle ilgili daha geniş tutumlar hakkındaki konuşmaların başlangıç noktası olabilir.
Ancak tüm bu ölçümlerin işletme genelinde benimsenmesi gerekiyor. CISO ve CIO’nun, işi bu şekilde yönetecekleri ve bunu tüm ekiplere uygulayacakları konusunda anlaşmaları gerekiyor. Ayrıca yamaların BT/ops ekiplerinin ideal olarak isteyebileceğinden daha hızlı dağıtılmasının neden olduğu sorunlarla da yüzleşmeleri gerekiyor. Son olarak, herkesin risk azaltmaya odaklanabilmesi için yamaları otomatikleştirmeye odaklanmaları gerekiyor. Bu sadece CISO için değil, şirket çapında bir zorluktur. Doğru ölçümleri uygulayarak güvenliğin değerini zaman içinde gösterebilirsiniz.