Yama yönetimi çeşitli güncellemelerin dağıtılması ve uygulanmasını kapsar ve yazılım zafiyetlerini veya beklenmeyen sistem sorunlarını düzeltmede kritiktir.
Siber olayların %60’ı, eksik, yanlış yapılandırılmış veya tam olarak uygulanmamış yamalara bağlı olarak veri hırsızlığına yol açmakta.
Yapılan araştırmalar organizasyonların yarısından fazlasını 72 saat içinde kritik zafiyetleri yamamakta başarısız olduğunu ve yaklaşık %15’inin bir ay sonra bile yamaları yüklemediğini ortaya koyuyor.
Ponemon Enstitüsü tarafından yapılan bir araştırma, yama dağıtımının yaklaşık 12 gün gecikme yaşadığını vurgulamıştır.
Yama Yönetimi Kavramları
| Süreç Adı | Açıklama |
|---|---|
| Automated Patch Deployment | Birden çok cihaza güncelleme paketlerini otomatik olarak dağıtmak amacıyla tasarlanmış, karmaşık ancak insan müdahalesini en aza indiren bir süreç. |
| Generic Patch Testing | Yama dağıtımından önce veya sonra yapılan standartlaştırılmış testler; yamanın etkinliğini sağlamak için. |
| Post-Deployment Verification | Doğru yama dağıtımını onaylamak ve yazılımın bütünlüğünü ve kararlılığını değerlendirmek için yapılan testler. |
| Patch Information Retrieval | Bir yama için özel bağlamlarda veya yazılım durumlarında uygunluğunu ve kullanışlılığını değerlendirmek amacıyla veri toplama süreci. |
| Patch Process Governance | Yama tarama ve yama testi gibi yama ile ilgili görevler için rolleri ve sorumlulukları belirleme süreci. |
| Principle of Least Privilege (P.O.L.P) | Kimlik ve erişim yönetimi kavramı; kullanıcıların görevleri için gerekli olan minimum erişime sahip olmaları. |
| Security Patch | Bilgisayarlar üzerindeki uygulamaların bilinen veya yeni keşfedilen güvenlik açıklarını düzeltmek amacıyla tasarlanmış yazılım güncellemeleri. |
| Vulnerability | Tehdit aktörlerinin istismar edebileceği bir bilgi sistemindeki zayıflık veya kusur. |
| Vulnerability Management | İç protokol ve politikalar tarafından yönlendirilen zayıflıkları tanımlama, analiz etme ve düzeltme için sistemli bir yaklaşım. |
| Vulnerability Scanner | Cihazları ve ağları tarayan, zayıflıkları tespit eden araçlar. |
| Vulnerability Database | Bilinen veya yeni keşfedilen yazılım veya donanım zafiyetleri ile ilgili bilgileri içeren yerel veya bulut tabanlı veri kaynakları. |
Yama Yönetimi
Yama, siber güvenlikte yazılım ve işletim sistemi zafiyetlerinin %60’ını kapsıyor. Yamalanının zorlukları yamaların yönetilmesi, sistem uyumluluğu ve dağıtım sonrası sorunlar olmasına rağmen, yama yönetimi siber güvenliğinin merkezinde bulunuyor.
Farklı yama türlerini anlamak organizasyon güvenliğini sağlamakta altın kurallardan birisidir.
| Yama Türü | Açıklama |
|---|---|
| Critical Update | Güvenlikle ilgili olmayan kritik bir sorunu düzeltir. |
| Definition Update | Definition veritabanını periyodik olarak günceller. |
| Driver | Bir cihazı veya cihaz sınıfını kontrol eder. |
| Feature Pack | Ürünleri yayınlamadan sonraki geliştirmeleri içerir. |
| Security Update | Belirli güvenlik açıklarını hedef alır. |
| Service Pack | Test edilmiş çeşitli güncellemelerin bir koleksiyonudur, bunlar arasında güvenlik güncellemeleri de bulunabilir. |
| Tool | Ek beleşenler içerir. |
| Update | Kritik olmayan, güvenlikle ilgili olmayan güncellemeler yer alır. |
| Update Rollup | Hızlı dağıtım için birleştirilmiş güncellemeler paketi. |
| Security-only Update (SSU) | Hızlı dağıtım için güvenlik güncellemeleri paketi. |
| Monthly Rollup | Güvenlik ve güvenlikle ilgili olmayan güncellemelerin karışımı. |
| Preview of Monthly Rollup | Erken dağıtım için yeni güncellemeler. |
| Servicing Stack Updates (SSU) | İşletim sistemi servis güncellemelerini içerir. |
Yama Yönetimi Akışı
WSUS/SCCM veya Microsoft’a bağlı olmayan üçüncü taraf bir sistem kullanılsa da, herhangi bir yama yönetimi süreci, genel yama sürecini yönlendiren belirli kurallara uymak zorundadır.
| Süreç | Açıklama |
|---|---|
| Asset & Software Inventory | Belirlenmiş bir IT profesyoneli, şirketin cihazları hakkında bilgi toplamak için otomatik araçlar kullanır; bu envanter, basit cihaz numaralandırmasından gelişmiş donanım sorgulamalarına kadar çeşitli bilgileri içerir. |
| Risk Assessment and Patch Prioritization | IT profesyoneli, zafiyetlere standart kriterlere veya iç metriklere dayalı olarak risk puanları atar ve yamaları yüksek, orta veya düşük aciliyetle önceliklendirir. |
| Scenario Replication and Testing | Süreç, yama testi için bir ortam oluşturmayı içerir ve gerçek dünya senaryolarını dikkate alır; kritik olmayan sistemlerde test yapmak genellikle daha iyi sonuçlar verir. |
| Stability Assessment | Dağıtımdan önce, bir güvenlik ekibi yamanın kararlılığını bir test ortamında değerlendirir; uyumluluk ve kaynak tüketimi gibi faktörleri değerlendirir. |
| Monitoring | Güvenlik ekibi, yamaları kritik olmayan bir ortamda sürekli olarak izleyerek bunların uygulanabilirliğini değerlendirir. |
| Backup | Kritik alanlar yedeklenir ve yedekleme mekanizmaları veri bütünlüğü için test edilir. |
| Configuration Management | Konfigürasyon değişiklikleri belgelenir ve yama dağıtımı sırasında beklenmeyen sonuçlara karşı önlem almak için kullanılır. |
| Deployment | Son adım, belgelerin gözden geçirilmesini, yedek tutarlılığını sağlamayı ve yamanın tercihen iş saatleri dışında uygulanmasını içerir; operasyonel kesintilerden kaçınmak için. |
| Maintenance | Dağıtımdan sonraki süreç, yama ve uygulama sağlığının sürekli izlenmesi ve bakımı kritiktir. |
| Documentation | Tüm süreç, envanterden dağıtımdan sonraki aşamalara kadar detaylı bir şekilde belgelenir. |
Yama Yönetimi Kontrol Listesi
| No | İşlem Aşaması |
|---|---|
| 1 | Tüm işletme tarafından sahip olunan teknoloji için prosedür kapsamının sağlanması. |
| 2 | Rollerin atanması ve yama sürecinin belirli bir sistem sahibine veya ekibe devredilmesi. |
| 3 | Yama süreci ile ilişkilendirilen güvenlik etkilerinin değerlendirilmesi. |
| 4 | Güvenilir satıcılardan yamaların temin edilmesi. |
| 5 | Yamalar üzerinde güvenlik testlerinin yapılması. |
| 6 | Yamaları uygulamadan önce verilerin yedeklenmesi. |
| 7 | Denetim sürecinin başlatılması ve yama uygulaması öncesi ve sonrasının belgelenmesi. |
| 8 | Zaman çizelgelerinin belirlenmesi ve çeşitli cihazlar için risk etkisinin değerlendirilmesi. |
| 9 | Hata ve istisna yönetimi, yama uygulama ve ilgili politikaların belirlenmesi için ekiplerin oluşturulması. |
| 10 | Yama uygulama ekibinin politika ihlalleri ve alınan önlemler konusunda bilgilendirilmesi. |
| 11 | Çeşitli güvenlik düzenleyici standartlara uygunluğun sağlanması |
| 12 | Veri etkisi, sistem türleri, zayıflıklar ve saldırı vektörlerini içeren risk değerlendirmeleri. |
| 13 | Detaylı sistem bilgisi, rol tanımları ve yönetim politikalarını içeren Konfigürasyon Yönetimi Planı (CMP) |
| 14 | Kapsamlı bileşen envanterinin korunması. |
| 15 | Farklı sunucular ve ağ cihazları için yama önceliklendirmesi. |
| 16 | Kullanıcı tarafındaki yama etkileri, zaman çizelgeleri, geri bildirim mekanizmaları ve yama sürecinin sonlandırılma nedenleri hakkında bilgilendirmelerin yapılması. |
| 17 | Yamaların dağıtılmadan önce kapsamlı bir şekilde test edilmesi. |
| 18 | Uygulanan yamaların aktif olarak izlenmesi. |
| 19 | Yama uygulaması öncesinde ve sonrasında uygulama performansı metriklerinin ölçülmesi. |
Yama Yönetimi Framework – ITIL ve NIST
Bu bölüm de, yama yönetiminde iki temel framework olan ITIL (IT Altyapı Kütüphanesi) ve NIST (Ulusal Standartlar ve Teknoloji Enstitüsü)’i inceleyeceğiz.
ITIL Framework
ITIL, IT hizmet yönetimi için bir Framework’tür ve IT hizmetlerini planlama, uygulama, destekleme ve geliştirme süreçlerini içerir. Yama Yönetimi, ITIL Framework’ü içinde önemli bir süreç olarak değerlendirilir. İşte bu bağlamda bazı temel unsurlar:
Hizmet Geçişi Süreci:
ITIL içinde, Yama Yönetimi genellikle Hizmet Geçişi sürecine dahil edilir. Hizmet Geçişi, yeni veya değiştirilmiş hizmetlerin başarılı bir şekilde hizmete alınmasını sağlamak için gereken süreçleri içerir.
Yama Yönetimi Süreçleri:
ITIL’deki Yama Yönetimi genellikle bir dizi süreci içerir. Bu süreçler, değişiklik yönetimi, değişiklik değerlendirmesi, uygulama geliştirme, sürüm ve dağıtım yönetimi, hizmet doğrulama ve test, hizmet varlığı ve yapılandırma yönetimi, ve bilgi yönetimini içerir.
Değişiklik Yönetimi:
Yama Yönetimi, Değişiklik Yönetimi süreci ile yakından ilişkilidir. Bu süreç, değişiklikleri planlama, değerlendirme ve kontrol etme amacını taşır. Yeni bir yama veya güncelleme, değişiklik yönetimi süreci içinde yönetilir.
Sürüm ve Dağıtım Yönetimi:
Yama Yönetimi, sürüm ve dağıtım yönetimi sürecini içerir. Bu süreç, yamaların sistemlere nasıl uygulandığını ve yayıldığını denetler.
Hizmet Varlığı ve Yapılandırma Yönetimi:
Bu süreç, sistemdeki değişiklikleri ve yapılandırmayı yönetir. Yama Yönetimi, varlıkların ve yapılandırmanın güncellenmesi ile ilgili olarak bu süreçle bağlantılıdır.
Bilgi Yönetimi:
Yama Yönetimi, bilgi yönetimi sürecini içerir. Bu, hizmet geliştirme ve iyileştirmesi için bilgi tabanını oluşturmayı içerir.
ITIL, Yama Yönetimi süreçlerini, hizmetlerin etkili bir şekilde dağıtılmasını ve yönetilmesini sağlayarak organizasyonlara rehberlik eder. Yama Yönetimi, ITIL içindeki diğer süreçlerle entegre bir şekilde çalışarak, hizmet süreçlerinin iyileştirilmesine ve güvenli bir şekilde değişiklik yapılmasına yardımcı olur. Bu, organizasyonun iş sürekliliğini sağlamak ve güvenilir bir IT altyapısı oluşturmak için önemli bir unsurdur.
NIST Framework
NIST, güvenlik ve standartlar konusunda uzmanlaşmış bir kuruluş olan Ulusal Standartlar ve Teknoloji Enstitüsü’e bağlıdır. NIST, Yama Yönetimi konusunda özel bir framework sunmasa da, güvenlik açısından geniş bir perspektife sahiptir ve bu bağlamda Yama Yönetimi’ni etkileyen bazı temel ilkeleri içerir:
Zafiyet Yönetimi:
NIST, güvenlik açıkları ve zayıflıkların etkili bir şekilde yönetilmesine vurgu yapar. Yama Yönetimi, bu zafiyetlerin tanımlanması, sınıflandırılması ve uygun bir şekilde ele alınması ile ilgili stratejilere entegre edilmelidir.
Varlık ve Yazılım Envanteri:
NIST, güvenlik için varlık ve yazılım envanteri oluşturulması ve yönetilmesini önerir. Bu, Yama Yönetimi süreçlerinde hangi sistemlerin ve yazılımların etkilendiğini anlamak açısından önemlidir.
Zafiyet Yönetimi ve Yama Dağıtımı:
NIST, zayıflıkların etkili bir şekilde ele alınması ve uygun yamaların hızlı bir şekilde uygulanmasını vurgular. Bu, hızlı bir tepki ve güvenlik açıklarının azaltılmasına yönelik bir stratejiyi içerir.
Benchmark ve Standartlar:
NIST, güvenlik standartlarına ve benchmarklara uygunluğu teşvik eder. Yama Yönetimi süreçleri, bu standartlara uygunluğu sağlamak için uygulanmalıdır.
Güvenlik Bilgilendirmesi ve Eğitimi:
NIST, güvenlik bilincini artırmak ve güvenlikle ilgili bilgileri paylaşmak için güvenlik bilgilendirmesi ve eğitimine vurgu yapar. Bu, Yama Yönetimi süreçlerindeki paydaşların güvenlik konularında bilgili olmasını sağlamaya yardımcı olur.
NIST Yama Yönetimi ve Güvenlik İlkeleri
Zayıflıkları İdentifikasyon ve Sınıflandırma:
NIST, sistemlerdeki ve yazılımlardaki zayıflıkların etkili bir şekilde tanımlanmasını ve sınıflandırılmasını önerir.
Hızlı Yama Dağıtımı:
Güvenlik açıklarının hızlı bir şekilde ele alınması ve uygun yamaların hızla dağıtılması, NIST’in güvenlik ilkelerinden biridir.
Standart ve Benchmarklara Uygunluk:
NIST, Yama Yönetimi süreçlerinin güvenlik standartları ve benchmarklara uygun olmasını önerir.
Güvenlik Bilgilendirmesi ve Eğitimi:
Yama Yönetimi süreçlerinde yer alan paydaşların güvenlik konularında bilgili olmalarını sağlamak amacıyla güvenlik bilgilendirmesi ve eğitimine vurgu yapar.
NIST, genel olarak, organizasyonların güvenlik stratejilerine entegre edilecek bir dizi prensibi ve en iyi uygulamayı önerir, bu da Yama Yönetimi süreçlerini güçlendirir ve güvenlik açıklarının etkin bir şekilde ele alınmasına yardımcı olur.
Son sözler ve yama yönetimi için tavsiyeler
Incident Management (IM):
Ürün iyileştirmeye, kritik yamaların önceliklendirilmesine, IM akışının anlaşılmasına, veritabanı yönetimine ve şirket içi ve üçüncü taraf yama testi ve oluşturulmasının dengelenmesine odaklanır.
Configuration Management (CM):
Ayrıntılı planlama, paydaş iletişimi ve kapsamlı bir acil durum planı da dahil olmak üzere yama öncesi ve sonrası değişiklikler.
Service-level Management (SLM):
Hizmet Düzeyi Anlaşmalarını (SLA’lar) izler ve destekler, SLA kayıtlarını güncel tutmanın önemini vurgular.
Issue Management:
Ticari ve şirket içi uygulamalar arasındaki ayrımı, rollbackin önemini ve beklenmedik kesinti sürelerini yönetmeyi ele alır.
Service Continuity Management (SC):
İş Sürekliliği Planları (BCP’ler) ve İş Etki Analizi’ne (BIA’lar) vurgu yaparak kesintileri en aza indirmeye odaklanır.
Change Management:
Tüm konfigürasyon değişikliklerinin belgelenmesini ve özellikle güvenlik ekiplerine ve paydaşlara etkili bir şekilde iletilmesini sağlar.
Availability Management (AM):
Sistemler üzerindeki etkileri dikkate alınarak gerekli yamaların belirlenmesini ve edinilmesini içerir.
Release Management (RM):
Test, rollback stratejileri ve zaman çizelgesi yönetimi dahil olmak üzere yama sonrası dağıtımdaki sistem değişikliklerini yönetir.
Financial Management:
Şirket içi ve üçüncü taraf geliştirme maliyetleri de dahil olmak üzere yama geliştirmeyle ilgili finansal hususları belgelendirir.