Blog

Kritik Veri Hırsızlıklarının Önüne Geçin: Yama Yönetimi ve Siber Güvenlik Stratejisi

Yama yönetimi çeşitli güncellemelerin dağıtılması ve uygulanmasını kapsar ve yazılım zafiyetlerini veya beklenmeyen sistem sorunlarını düzeltmede kritiktir.

Siber olayların %60’ı, eksik, yanlış yapılandırılmış veya tam olarak uygulanmamış yamalara bağlı olarak veri hırsızlığına yol açmakta.

Yapılan araştırmalar organizasyonların yarısından fazlasını 72 saat içinde kritik zafiyetleri yamamakta başarısız olduğunu ve yaklaşık %15’inin bir ay sonra bile yamaları yüklemediğini ortaya koyuyor.

Ponemon Enstitüsü tarafından yapılan bir araştırma, yama dağıtımının yaklaşık 12 gün gecikme yaşadığını vurgulamıştır.

Yama Yönetimi Kavramları

Süreç AdıAçıklama
Automated Patch DeploymentBirden çok cihaza güncelleme paketlerini otomatik olarak dağıtmak amacıyla tasarlanmış, karmaşık ancak insan müdahalesini en aza indiren bir süreç.
Generic Patch TestingYama dağıtımından önce veya sonra yapılan standartlaştırılmış testler; yamanın etkinliğini sağlamak için.
Post-Deployment VerificationDoğru yama dağıtımını onaylamak ve yazılımın bütünlüğünü ve kararlılığını değerlendirmek için yapılan testler.
Patch Information RetrievalBir yama için özel bağlamlarda veya yazılım durumlarında uygunluğunu ve kullanışlılığını değerlendirmek amacıyla veri toplama süreci.
Patch Process GovernanceYama tarama ve yama testi gibi yama ile ilgili görevler için rolleri ve sorumlulukları belirleme süreci.
Principle of Least Privilege (P.O.L.P)Kimlik ve erişim yönetimi kavramı; kullanıcıların görevleri için gerekli olan minimum erişime sahip olmaları.
Security PatchBilgisayarlar üzerindeki uygulamaların bilinen veya yeni keşfedilen güvenlik açıklarını düzeltmek amacıyla tasarlanmış yazılım güncellemeleri.
VulnerabilityTehdit aktörlerinin istismar edebileceği bir bilgi sistemindeki zayıflık veya kusur.
Vulnerability Managementİç protokol ve politikalar tarafından yönlendirilen zayıflıkları tanımlama, analiz etme ve düzeltme için sistemli bir yaklaşım.
Vulnerability ScannerCihazları ve ağları tarayan, zayıflıkları tespit eden araçlar.
Vulnerability DatabaseBilinen veya yeni keşfedilen yazılım veya donanım zafiyetleri ile ilgili bilgileri içeren yerel veya bulut tabanlı veri kaynakları.

Yama Yönetimi

Yama, siber güvenlikte yazılım ve işletim sistemi zafiyetlerinin %60’ını kapsıyor. Yamalanının zorlukları yamaların yönetilmesi, sistem uyumluluğu ve dağıtım sonrası sorunlar olmasına rağmen, yama yönetimi siber güvenliğinin merkezinde bulunuyor.

Farklı yama türlerini anlamak organizasyon güvenliğini sağlamakta altın kurallardan birisidir.

Yama TürüAçıklama
Critical UpdateGüvenlikle ilgili olmayan kritik bir sorunu düzeltir.
Definition UpdateDefinition veritabanını periyodik olarak günceller.
DriverBir cihazı veya cihaz sınıfını kontrol eder.
Feature PackÜrünleri yayınlamadan sonraki geliştirmeleri içerir.
Security UpdateBelirli güvenlik açıklarını hedef alır.
Service PackTest edilmiş çeşitli güncellemelerin bir koleksiyonudur, bunlar arasında güvenlik güncellemeleri de bulunabilir.
ToolEk beleşenler içerir.
UpdateKritik olmayan, güvenlikle ilgili olmayan güncellemeler yer alır.
Update RollupHızlı dağıtım için birleştirilmiş güncellemeler paketi.
Security-only Update (SSU)Hızlı dağıtım için güvenlik güncellemeleri paketi.
Monthly RollupGüvenlik ve güvenlikle ilgili olmayan güncellemelerin karışımı.
Preview of Monthly RollupErken dağıtım için yeni güncellemeler.
Servicing Stack Updates (SSU)İşletim sistemi servis güncellemelerini içerir.

Yama Yönetimi Akışı

WSUS/SCCM veya Microsoft’a bağlı olmayan üçüncü taraf bir sistem kullanılsa da, herhangi bir yama yönetimi süreci, genel yama sürecini yönlendiren belirli kurallara uymak zorundadır.

SüreçAçıklama
Asset & Software InventoryBelirlenmiş bir IT profesyoneli, şirketin cihazları hakkında bilgi toplamak için otomatik araçlar kullanır; bu envanter, basit cihaz numaralandırmasından gelişmiş donanım sorgulamalarına kadar çeşitli bilgileri içerir.
Risk Assessment and Patch PrioritizationIT profesyoneli, zafiyetlere standart kriterlere veya iç metriklere dayalı olarak risk puanları atar ve yamaları yüksek, orta veya düşük aciliyetle önceliklendirir.
Scenario Replication and TestingSüreç, yama testi için bir ortam oluşturmayı içerir ve gerçek dünya senaryolarını dikkate alır; kritik olmayan sistemlerde test yapmak genellikle daha iyi sonuçlar verir.
Stability AssessmentDağıtımdan önce, bir güvenlik ekibi yamanın kararlılığını bir test ortamında değerlendirir; uyumluluk ve kaynak tüketimi gibi faktörleri değerlendirir.
MonitoringGüvenlik ekibi, yamaları kritik olmayan bir ortamda sürekli olarak izleyerek bunların uygulanabilirliğini değerlendirir.
BackupKritik alanlar yedeklenir ve yedekleme mekanizmaları veri bütünlüğü için test edilir.
Configuration ManagementKonfigürasyon değişiklikleri belgelenir ve yama dağıtımı sırasında beklenmeyen sonuçlara karşı önlem almak için kullanılır.
DeploymentSon adım, belgelerin gözden geçirilmesini, yedek tutarlılığını sağlamayı ve yamanın tercihen iş saatleri dışında uygulanmasını içerir; operasyonel kesintilerden kaçınmak için.
MaintenanceDağıtımdan sonraki süreç, yama ve uygulama sağlığının sürekli izlenmesi ve bakımı kritiktir.
DocumentationTüm süreç, envanterden dağıtımdan sonraki aşamalara kadar detaylı bir şekilde belgelenir.

Yama Yönetimi Kontrol Listesi

Noİşlem Aşaması
1Tüm işletme tarafından sahip olunan teknoloji için prosedür kapsamının sağlanması.
2Rollerin atanması ve yama sürecinin belirli bir sistem sahibine veya ekibe devredilmesi.
3Yama süreci ile ilişkilendirilen güvenlik etkilerinin değerlendirilmesi.
4Güvenilir satıcılardan yamaların temin edilmesi.
5Yamalar üzerinde güvenlik testlerinin yapılması.
6Yamaları uygulamadan önce verilerin yedeklenmesi.
7Denetim sürecinin başlatılması ve yama uygulaması öncesi ve sonrasının belgelenmesi.
8Zaman çizelgelerinin belirlenmesi ve çeşitli cihazlar için risk etkisinin değerlendirilmesi.
9Hata ve istisna yönetimi, yama uygulama ve ilgili politikaların belirlenmesi için ekiplerin oluşturulması.
10Yama uygulama ekibinin politika ihlalleri ve alınan önlemler konusunda bilgilendirilmesi.
11Çeşitli güvenlik düzenleyici standartlara uygunluğun sağlanması
12Veri etkisi, sistem türleri, zayıflıklar ve saldırı vektörlerini içeren risk değerlendirmeleri.
13Detaylı sistem bilgisi, rol tanımları ve yönetim politikalarını içeren Konfigürasyon Yönetimi Planı (CMP)
14Kapsamlı bileşen envanterinin korunması.
15Farklı sunucular ve ağ cihazları için yama önceliklendirmesi.
16Kullanıcı tarafındaki yama etkileri, zaman çizelgeleri, geri bildirim mekanizmaları ve yama sürecinin sonlandırılma nedenleri hakkında bilgilendirmelerin yapılması.
17Yamaların dağıtılmadan önce kapsamlı bir şekilde test edilmesi.
18Uygulanan yamaların aktif olarak izlenmesi.
19Yama uygulaması öncesinde ve sonrasında uygulama performansı metriklerinin ölçülmesi.

Yama Yönetimi Framework – ITIL ve NIST

Bu bölüm de, yama yönetiminde iki temel framework olan ITIL (IT Altyapı Kütüphanesi) ve NIST (Ulusal Standartlar ve Teknoloji Enstitüsü)’i inceleyeceğiz.

ITIL Framework

ITIL, IT hizmet yönetimi için bir Framework’tür ve IT hizmetlerini planlama, uygulama, destekleme ve geliştirme süreçlerini içerir. Yama Yönetimi, ITIL Framework’ü içinde önemli bir süreç olarak değerlendirilir. İşte bu bağlamda bazı temel unsurlar:

Hizmet Geçişi Süreci:

ITIL içinde, Yama Yönetimi genellikle Hizmet Geçişi sürecine dahil edilir. Hizmet Geçişi, yeni veya değiştirilmiş hizmetlerin başarılı bir şekilde hizmete alınmasını sağlamak için gereken süreçleri içerir.

Yama Yönetimi Süreçleri:

ITIL’deki Yama Yönetimi genellikle bir dizi süreci içerir. Bu süreçler, değişiklik yönetimi, değişiklik değerlendirmesi, uygulama geliştirme, sürüm ve dağıtım yönetimi, hizmet doğrulama ve test, hizmet varlığı ve yapılandırma yönetimi, ve bilgi yönetimini içerir.

Değişiklik Yönetimi:

Yama Yönetimi, Değişiklik Yönetimi süreci ile yakından ilişkilidir. Bu süreç, değişiklikleri planlama, değerlendirme ve kontrol etme amacını taşır. Yeni bir yama veya güncelleme, değişiklik yönetimi süreci içinde yönetilir.

Sürüm ve Dağıtım Yönetimi:

Yama Yönetimi, sürüm ve dağıtım yönetimi sürecini içerir. Bu süreç, yamaların sistemlere nasıl uygulandığını ve yayıldığını denetler.

Hizmet Varlığı ve Yapılandırma Yönetimi:

Bu süreç, sistemdeki değişiklikleri ve yapılandırmayı yönetir. Yama Yönetimi, varlıkların ve yapılandırmanın güncellenmesi ile ilgili olarak bu süreçle bağlantılıdır.

Bilgi Yönetimi:

Yama Yönetimi, bilgi yönetimi sürecini içerir. Bu, hizmet geliştirme ve iyileştirmesi için bilgi tabanını oluşturmayı içerir.

ITIL, Yama Yönetimi süreçlerini, hizmetlerin etkili bir şekilde dağıtılmasını ve yönetilmesini sağlayarak organizasyonlara rehberlik eder. Yama Yönetimi, ITIL içindeki diğer süreçlerle entegre bir şekilde çalışarak, hizmet süreçlerinin iyileştirilmesine ve güvenli bir şekilde değişiklik yapılmasına yardımcı olur. Bu, organizasyonun iş sürekliliğini sağlamak ve güvenilir bir IT altyapısı oluşturmak için önemli bir unsurdur.

NIST Framework

NIST, güvenlik ve standartlar konusunda uzmanlaşmış bir kuruluş olan Ulusal Standartlar ve Teknoloji Enstitüsü’e bağlıdır. NIST, Yama Yönetimi konusunda özel bir framework sunmasa da, güvenlik açısından geniş bir perspektife sahiptir ve bu bağlamda Yama Yönetimi’ni etkileyen bazı temel ilkeleri içerir:

Zafiyet Yönetimi:

NIST, güvenlik açıkları ve zayıflıkların etkili bir şekilde yönetilmesine vurgu yapar. Yama Yönetimi, bu zafiyetlerin tanımlanması, sınıflandırılması ve uygun bir şekilde ele alınması ile ilgili stratejilere entegre edilmelidir.

Varlık ve Yazılım Envanteri:

NIST, güvenlik için varlık ve yazılım envanteri oluşturulması ve yönetilmesini önerir. Bu, Yama Yönetimi süreçlerinde hangi sistemlerin ve yazılımların etkilendiğini anlamak açısından önemlidir.

Zafiyet Yönetimi ve Yama Dağıtımı:

NIST, zayıflıkların etkili bir şekilde ele alınması ve uygun yamaların hızlı bir şekilde uygulanmasını vurgular. Bu, hızlı bir tepki ve güvenlik açıklarının azaltılmasına yönelik bir stratejiyi içerir.

Benchmark ve Standartlar:

NIST, güvenlik standartlarına ve benchmarklara uygunluğu teşvik eder. Yama Yönetimi süreçleri, bu standartlara uygunluğu sağlamak için uygulanmalıdır.

Güvenlik Bilgilendirmesi ve Eğitimi:

NIST, güvenlik bilincini artırmak ve güvenlikle ilgili bilgileri paylaşmak için güvenlik bilgilendirmesi ve eğitimine vurgu yapar. Bu, Yama Yönetimi süreçlerindeki paydaşların güvenlik konularında bilgili olmasını sağlamaya yardımcı olur.

NIST Yama Yönetimi ve Güvenlik İlkeleri

Zayıflıkları İdentifikasyon ve Sınıflandırma:

NIST, sistemlerdeki ve yazılımlardaki zayıflıkların etkili bir şekilde tanımlanmasını ve sınıflandırılmasını önerir.

Hızlı Yama Dağıtımı:

Güvenlik açıklarının hızlı bir şekilde ele alınması ve uygun yamaların hızla dağıtılması, NIST’in güvenlik ilkelerinden biridir.

Standart ve Benchmarklara Uygunluk:

NIST, Yama Yönetimi süreçlerinin güvenlik standartları ve benchmarklara uygun olmasını önerir.

Güvenlik Bilgilendirmesi ve Eğitimi:

Yama Yönetimi süreçlerinde yer alan paydaşların güvenlik konularında bilgili olmalarını sağlamak amacıyla güvenlik bilgilendirmesi ve eğitimine vurgu yapar.

NIST, genel olarak, organizasyonların güvenlik stratejilerine entegre edilecek bir dizi prensibi ve en iyi uygulamayı önerir, bu da Yama Yönetimi süreçlerini güçlendirir ve güvenlik açıklarının etkin bir şekilde ele alınmasına yardımcı olur.

Son sözler ve yama yönetimi için tavsiyeler

Incident Management (IM):

Ürün iyileştirmeye, kritik yamaların önceliklendirilmesine, IM akışının anlaşılmasına, veritabanı yönetimine ve şirket içi ve üçüncü taraf yama testi ve oluşturulmasının dengelenmesine odaklanır.

Configuration Management (CM):

Ayrıntılı planlama, paydaş iletişimi ve kapsamlı bir acil durum planı da dahil olmak üzere yama öncesi ve sonrası değişiklikler.

Service-level Management (SLM):

Hizmet Düzeyi Anlaşmalarını (SLA’lar) izler ve destekler, SLA kayıtlarını güncel tutmanın önemini vurgular.

Issue Management:

Ticari ve şirket içi uygulamalar arasındaki ayrımı, rollbackin önemini ve beklenmedik kesinti sürelerini yönetmeyi ele alır.

Service Continuity Management (SC):

İş Sürekliliği Planları (BCP’ler) ve İş Etki Analizi’ne (BIA’lar) vurgu yaparak kesintileri en aza indirmeye odaklanır.

Change Management:

Tüm konfigürasyon değişikliklerinin belgelenmesini ve özellikle güvenlik ekiplerine ve paydaşlara etkili bir şekilde iletilmesini sağlar.

Availability Management (AM):

Sistemler üzerindeki etkileri dikkate alınarak gerekli yamaların belirlenmesini ve edinilmesini içerir.

Release Management (RM):

Test, rollback stratejileri ve zaman çizelgesi yönetimi dahil olmak üzere yama sonrası dağıtımdaki sistem değişikliklerini yönetir.

Financial Management:

Şirket içi ve üçüncü taraf geliştirme maliyetleri de dahil olmak üzere yama geliştirmeyle ilgili finansal hususları belgelendirir.

İlgili Makaleler

3 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu