ABD federal kurumları, siber güvenlik yönetiminde köklü bir değişime hazırlanıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 10 Haziran’da yayımladığı Bağlayıcı Operasyonel Direktif 26-04 (BOD 26-04) ile katı ve son tarih odaklı yama politikasını terk ederek, aktif olarak istismar edilen tehditleri önceliklendiren risk bazlı bir yaklaşıma geçilmesini zorunlu kıldı. Bu direktif, önceki BOD 19-02 ve KEV odaklı BOD 22-01’i tek çatı altında topluyor.
Yeni direktif, yama sürelerini risk seviyesine göre belirliyor. En kritik güvenlik açıkları için üç gün içinde yama yapılmasının yanı sıra, sisteme sızma belirtilerini tespit etmek için adli inceleme de zorunlu tutuluyor. Daha az ciddi kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli hatalar için bir sonraki büyük güncellemeye kadar erteleme imkanı sağlanıyor. CISA, bu değişikliğin arkasında yapay zekanın saldırganların açıkları daha hızlı keşfetmesine ve silah haline getirmesine olanak tanımasının yattığını belirtiyor. Artan güvenlik açığı sayısı, geleneksel toplu yama yaklaşımını yetersiz kılıyor.
CISA’nın direktifinde en dikkat çekici yenilik, CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) şiddet skorunun tamamen kaldırılması oldu. Eski direktifin yürürlükten kaldırılmasıyla, kurumlar artık önceliklendirme yaparken CVSS kullanmak zorunda değil. CISA’ya göre, tek başına bir şiddet etiketi hangi açığın önce düzeltileceğini belirlemiyor. Bunun yerine direktif dört ana faktörü dikkate alıyor: Varlığın internete açık olup olmadığı (maruziyet), açığın CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda bulunup bulunmadığı, istismarın otomatikleştirilebilir olup olmadığı ve başarılı bir saldırının sistemi kısmen veya tamamen ele geçirip geçirmediği (teknik etki).
CISA geçici direktörü Nick Andersen, direktifin kurumların “en yüksek riskli alanlara odaklanmasını ve geri kalanını ertelemesini” sağladığını belirterek, özel sektör ve kritik altyapı işletmecilerini de aynı yaklaşımı benimsemeye çağırdı. Uygulayıcılar bu hedefi genel olarak memnuniyetle karşılarken, zor kısmın uygulama olduğu konusunda uyarıyor. Averlon CEO’su Sunil Gottumukkala, bir açığın istismar edildiğini bilmenin işin sadece yarısı olduğunu, diğer yarısının ise bu açığın sizin ortamınızda gerçekten önemli olup olmadığını belirlemek olduğunu söylüyor.
Suzu Labs CTO’su Denis Calderone ise, “CVSS tek başına hangi güvenlik açıklarına öncelik verileceğine karar vermede hiçbir zaman güvenilir bir yöntem olmadı” diyerek yeni yaklaşımı destekliyor. Ancak, CISA’nın bütçe ve iş gücü kesintileri nedeniyle kurumların gerçek risk değerlendirmesi yapıp yapmayacağını sorguluyor. Calderone, savunmacıların kendi yığınlarını oluşturmasını ve KEV durumu, İstismar Tahmin Puanlama Sistemi (EPSS) olasılıkları ve yerel bağlamı kullanmalarını öneriyor.
Sistem Güvenliği
Federal kurumların direktife tam uyum sağlaması için 180 gün (yaklaşık 7 Aralık) süreleri var. Bu süre zarfında, her durumda belirtilen düzeltme zaman çizelgelerine uymaları gerekiyor. Yeni direktif, siber güvenlik dünyasında önemli bir paradigma değişimini temsil ediyor; artık sadece bir açığın ne kadar tehlikeli olduğu değil, aynı zamanda o açığın gerçek dünyada ne kadar aktif olarak kullanıldığı ve kurum için ne kadar risk oluşturduğu ön planda.
Kaynak: infosecurity-magazine.com