Zero Day Initiative, açıklama siyasetlerini değiştirerek üreticileri daha düzgününü yapmaya zorluyor
Dünyanın önde gelen siber güvenlik şirketlerinden Trend Micro, sayıları her geçen gün artan eksik ya da yanlışlı yamaların kuruluşlara güncelleme başına 400.000 ABD dolarından fazlaya mal olabileceği konusunda ihtarda bulundu.
Dünyanın en değerli siber güvenlik etkinliklerinden biri olan Black Çizgi USA 2022’de konuşan Trend Micro Zero Day Initiative (ZDI) yöneticileri hem yamaların kalitesinde hem de üreticilerin müşteri ile olan bağlantısında yaşanan düşüşü ele almak için özel olarak tasarlanan siyaset değişiklikleri hakkında bilgiler verdi.
Güvenlik Açığı Araştırmasından Sorumlu Kıdemli Direktör ve ZDI Başkanı Brian Gorenc, etkinlikte görüşlerini paylaştı: “ZDI, 2005 yılından bu yana üreticilere 10 binin üzerinde güvenlik açığı ifşa etti. Lakin, bölüm genelinde güvenlik yamalarının durumu hakkında hiç bu kadar kaygılı olmamıştık. Baş karıştırıcı tekliflerin olduğu yetersiz yamalar yayınlayan üreticiler, müşterilerinin kıymetli ölçüde vakit ve para kaybetmesine neden oluyor ve gereksiz riske yol açıyor.”
ZDI, üreticilerin kusurlu yahut eksik yama yayınlamasından kaynaklanan üç ana sorun belirledi:
- İşletmeler artık kusurlu üretici uygulamaları nedeniyle ağlarına yönelik gerçek risklerle ilgili net bir görüşe sahip değil.
- İşletmeler, eksik ve kusurlu güncellemeler nedeniyle daha evvel uygulanan yamalara ek çalışmalar yaparak vakit ve para harcamak zorunda kalıyor.
- Başarısız bir yama, düzeltme olmamasına karşın düzeltme yapıldığına inanılması nedeniyle hiç yama yapılmamasından daha fazla riske yol açıyor.
Bu senaryolar, tek bir güvenlik açığını gidermek için ek, düzeltici güncellemeler gerektireceğinden yama maliyetlerini büyük oranda artırıyor ve iş kaynaklarının boşa harcanmasına ve yeni risklere neden oluyor.
Tüm bunların yanı sıra, üreticiler ortasında yamalar hakkında net ve sağlam bilgi sağlama konusunda artan isteksizlik, ağları savunmaya çalışan şahısların nasıl bir risk altında olduklarını gerçek bir formda ölçememelerine neden oluyor.
Bu nedenle ZDI, kesim genelinde iyileştirmeler sağlamak emeliyle etkisiz yamalara yönelik açıklama siyasetlerini değiştiriyor. İleriye dönük olarak, standart 120 günlük vakit çizelgesi, atlanmış bir güvenlik yamasının sonucu olduğuna inanılan kusurlar için aşağıda belirtilen biçimde azaltılacak:
- İstismarın beklendiği ehemmiyet derecesi en kritik olan durumlar için 30 gün
- Yamanın birtakım muhafazalar sunduğu kritik ve yüksek değer derecesine sahip kusurlar için 60 gün
- Yakın bir vakitte istismar olması beklenmeyen başka ehemmiyet dereceleri için 90 gün
Yamalar, uygun biçimde tasarlansa bile tehdit aktörlerini altta yatan güvenlik açığına karşı uyararak riskleri istemeden de olsa artırabiliyor. Yamaları istismarlar başlamadan evvel hazırlayan ve yayınlayan kuruluşların sayısı hayli az. Yamalar, eksik yahut kusurlu bir halde hazırlandığında ihlal riski büyük ölçüde artıyor.
Yamaların maliyeti kuruluşlar ortasında farklılık gösterse de Trend Micro, yanılgılı yamaların maliyetinin belirlenmesini sağlayan bir formül geliştirdi: Toplam maliyet = f(T,HR,S,PF). T, yama idaresi için harcanan vakit; HR, yama için gereken insan kaynağı maliyeti; S, yama uygulanacak uygulamaların sayısı ve PF ise birtakım uygulamalar için 2-3 haftada bir yapılan yama sıklığı manasına geliyor.
Orta ve büyük ölçekli işletmelerde yama maliyetinin her ay altı sayısı aşması alışılmadık bir durum değil. Yama harcamalarını hesaplamak için kullanılan formül ne olursa olsun, tıpkı güvenlik açığı için birden fazla güncelleme uygulamak, işletmelerin gereksiz vakit harcamalarının yanı sıra üzerlerindeki malî yükü de artırıyor ve çeşitli risklerle karşı karşıya bırakıyor.
Trend Micro, işletmelere bu riskleri daha âlâ anlamaları ve azaltmaları için şunları öneriyor:
- Özenli varlık tespiti ve idaresi programları geliştirin
- Mümkün olan her yerde, finansal olarak en uygun ve emniyetli üreticileri tercih edin
- Yama revizyonlarını izleyerek ve tehdit ortamındaki değişiklikleri yakından gözlemleyerek gelişmiş risk değerlendirmeleri yapın
*ZDI, 2021 yılında açıklanan tüm güvenlik açıklarının yaklaşık yüzde 64’ünü tespit eden, dünyanın en büyük üretici bağımsız yanılgı ödül programıdır.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
