ABD federal kurumlarına, Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) yeni rehberliği altında, güvenlik açığı yönetimi uygulamalarını elden geçirmeleri, katı, son tarih odaklı yama uygulamadan en aktif şekilde yararlanılan tehditlere öncelik veren risk bazlı bir yaklaşıma geçmeleri talimatı verildi.
10 Haziran'da yayınlanan Bağlayıcı Operasyonel Direktif 26-04, her son teslim tarihini riske bağlar: üç gün artı en tehlikeli kusurlar için izinsiz giriş işaretleri için adli tıp kontrolü, daha az ciddi kombinasyonlar için daha uzun pencereler ve gerçekten düşük riskli hatalar için erteleme, bazı durumlarda sistemin bir sonraki büyük yükseltmesine kadar. Önceki iki yönetmeliği, BOD 19-02 ve KEV odaklı BOD 22-01'i birleştiriyor.
CISA bunu, yapay zekanın saldırganların hataları daha hızlı bulmasına ve silahlandırmasına yardımcı olduğu, açıklanan kusurların hacmi genel yamalamayı geride bıraktığı için savunmacıların penceresini daralttığı bir tehdit resmine yanıt olarak ortaya koydu.
Direktif ayrıca en sıkı son teslim tarihlerini adli bir adımla eşleştiriyor. Bir kurum en ciddi kusurları düzelttiğinde, saldırganların bunları zaten kullanıp kullanmadığını kontrol etmelidir, çünkü düzeltme nadiren davetsiz misafirin tahliye edilmesini sağlar.
CISA direktifleri hakkında daha fazlasını okuyun: CISA, İstismar Edilen Cisco SD-WAN Kusurları Üzerine Acil Durum Direktifi Yayınladı
Risk Önem Puanının Yerini Alır
Yıllar boyunca CVSS ciddiyet puanları önceliklendirmeyi yönlendirdi, BOD 26-04 bunu düşürüyor. Eski direktifin iptal edilmesi, kurumların artık önceliklendirmek için CVSS kullanmalarına gerek olmadığı anlamına geliyor; çünkü CISA'nın da belirttiği gibi, ciddiyet etiketi tek başına neyin ilk önce düzeltileceğini belirlemez.
Gelecekte Ne Bekleniyor?
Direktif bunun yerine dört faktöre ağırlık veriyor:
Varlık riski: sistemin kamuya açık olup olmadığı
KEV durumu: kusurun CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda olup olmadığı
Detaylar ve Etkileri
Otomasyondan yararlanma: bir saldırganın bundan yararlanmak için gereken her adımı otomatikleştirip gerçekleştiremeyeceği
Önemli Gelişmeler
Teknik etki: Başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı
CISA direktör vekili Nick Andersen, direktifin kurumların "çabalarını en yüksek riskli alanlara odaklamasına" ve gerisini ertelemesine izin verdiğini söyledi. Özel sektör ve altyapı işletmecilerini de aynı yolu izlemeye çağırdı.
Nasıl Önlem Alınmalı?
İnfaz Hakkında Şüpheler
Ajansların her durumda direktifin iyileştirme zaman çizelgelerine uymaları için 7 Aralık civarına kadar 180 günü var. Uygulayıcılar amacı genel olarak memnuniyetle karşılarken, işin zor kısmının uygulama olduğu konusunda uyardılar.
Ajan iyileştirme platformu sağlayıcısı Averlon'un CEO'su Sunil Gottumukkala, KEV kataloğunun zaten işaretlediği bir hatanın istismar edildiğini bilmenin işin yalnızca yarısı olduğunu söyledi. "Diğer yarısı bunun sizin ortamınızda önemli olup olmadığıdır" dedi.
Yapay zeka güvenlik firması Suzu Labs'ın CTO'su Denis Calderone de aynı fikirde: "CVSS, hangi güvenlik açıklarının önceliklendirileceğine karar vermenin hiçbir zaman güvenilir bir yolu olmadı." Bununla birlikte, özellikle CISA'nın bütçesinde ve iş gücünde büyük kesintiler olarak adlandırdığı durum göz önüne alındığında, bir uyumluluk kutusunu işaretlemek yerine kurumların gerçek risk değerlendirmeleri yürütmesini kimin sağlayacağını sorguladı.
Teknik Analiz
Calderone, savunucuları artık KEV durumu, Exploit Tahmin Puanlama Sistemi (EPSS) olasılıkları ve yerel bağlam dahil olmak üzere kendi yığınlarını oluşturmaya çağırdı.