2003’ten bu yana her ayın ikinci Salı günü dünya genelindeki IT ve güvenlik profesyonelleri yama ritüeline hazırlanıyor. Microsof Patch Tuesday, bu Ekim ayında 20 yaşına giren düzenli bir programdı. Ancak bu sıklık devam etse de Dünya’da çok şey değişti.
Patch Tuesday, 2003 yılında yama işlemini düzenleme vaadiyle başladı ve sonsuz yama akışını sınırlı bir güne topladı. Faydası karmaşıklığa bir düzen getirmek ve IT ve güvenlik topluluğunun stresini azaltmak. Amaç, güvenlik güncellemelerinin büyük bir bölümünü planlanmış bir sürüm döngüsüne konsolide etmek ve ad hoc yamalamanın kaosunu ortadan kaldırmaktır.
Ancak IT ve güvenlik ekiplerinin risk ve stresi azaltma hedefi yalnızca bir hayaldir. İşletmelerin başa çıkması gereken çok sayıda güvenlik açığı vardır. 2003 yılından bu yana CVE verilerine göre 10.900’den fazla benzersiz zafiyet açıkladığı ve düzelttiği belirtilmektedir. Bunların 1.200’den fazlası ciddi düzeyde değerlendirildi ve 5.300’den fazlası önemli olarak değerlendirildi.
Microsoft’un farklı üzerindeki geniş pazar payı ve ürün yelpazesi üzerindeki güvenlik açıklıklarının sayısı, her boyutta işletmeler için en büyük saldırı yüzeyini ve risk çarpanını temsil etmekte. Microsoft bir güvenlik şirketi değildir. Denetimler ve dengelemeler, ekosistemi dışına çıkma, Microsoft ürünlerini güvence altına almanın yoludur. Kuruluşlar sıklıkla Microsoft’un güvenlik açıklıklarına karşı başlıca koruma olarak Patch Tuesday’e bağımlı olsalar da bunları Patch Tuesday’den sonra öğrenmeleri saldırıları tanımlamak ve tespit etmek için görünürlüğe sahip olmaları da önemlidir.
Her Açık, Risk Getirir
Günümüzün saldırganları daha zeki ve sofistike hale geliyor. Başarılı ihlal şanslarını artırmak isteyenler Microsoft hizmetlerindeki yeni güvenlik açıklıklarını kullanmak istiyor. Tek ihtiyaçları olan bir zararlı yazılım ve bir kurban.
Yamalam öncemlidir ancak zaman alır. IT uzmanları yamayı dağıtmadan önce yamayı test etmelidir ve her ay uygulanacak onlarca yama olduğunda süreç daha da uzar. Özellikle bir yama başarısız olursa veya test ve dağıtım sürecinde sorunlar olursa bu süre dahada fazla uzar. Bazı işletmeler için daha fazla karmaşıklıklar vardır. Daha az personeli ve kaynağı olanlar yamaları uygulamak daha uzun sürebilir. Karmaşık ortamlara veya kritik sistemlere sahip olanlar kesintileri önlemek için adımlar atmaları gerekebilir.
Yama dağıtımları arasındaki boşluk bu gecikmeye katkıda bulunur. Sürümler arasında bulunan hatalı yamalar bir sonraki aylık dağıtım sırasına kadar çıkarılmaz bu da organizasyonların açıkta bıraktığı bir arka kapı olur.
Düşmanın önüne geçmek
Microsoft, 20 yıl boyunca aynı aylık yama dağıtımı programında kaldı. Ancak Microsoft’un düzeltmesi gereken güvenlik açıklıklarının yüksek sayısı ve Microsoft araçları ve hizmetlerine olan artan küresel bağımlılık düşmanların sömürmeleri için yeni riskler yaratıyor.
Organizasyonlar, mevcut sistemlerini korumak için daha net ve kapsamlı görünürlüğe ihtiyaç duyuyor. Zafiyetleri değerlendiren teknolojiler organizasyonların hızla sorunları çözmeleri için gerekli bilgileri sunuyor. Görünürlük ve proaktif sistemler organizasyonların düşmanlardan bir adım önde olmalarını sağlıyor. Daha genel anlamda organizasyonlar aynı zamanda savunma derinliğine öncelik veren güçlü ve etkili siber güvenlik programları kullanmalıdır. Tüm organizasyon güvenliği Microsoft’un Patch Tuesday’ine yüklemek doğru bir yaklaşım değil. Patch Tuesday çok önemlidir ancak bu stratejinin öne arkasına sağına soluna koyacağız ek önemler ve planlamalar hayat kurtarıcı olacaktır.