CISA'dan Devrim Niteliğinde Karar: Federal Ajanslar Artık Riske Göre Yamalayacak Siber Güvenlik

CISA'dan Devrim Niteliğinde Karar: Federal Ajanslar Artık Riske Göre Yamalayacak

CISA, yeni BOD 26-04 direktifiyle federal kurumların yama yönetimini kökten değiştiriyor. Artık CVSS şiddet puanı değil, gerçek risk faktörleri önceli

ABD federal kurumları, siber güvenlik politikalarında köklü bir değişime hazırlanıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yayımladığı yeni Bağlayıcı Operasyonel Direktif (BOD) 26-04 ile zafiyet yönetiminde katı ve son teslim tarihine dayalı yaklaşımı terk ederek, en aktif olarak istismar edilen tehditlere öncelik veren risk odaklı bir modele geçilmesini emretti. Bu direktif, 10 Haziran 2024 tarihinde yürürlüğe girdi ve eski BOD 19-02 ile KEV odaklı BOD 22-01 direktiflerini tek bir çatı altında birleştiriyor.

Yeni direktifin en dikkat çekici yanı, yama sürelerinin risk seviyesine göre belirlenmesi. En kritik güvenlik açıkları için sadece 3 günlük bir yama süresi tanınırken, aynı zamanda sistemlerde izinsiz giriş belirtileri için adli inceleme (forensic check) yapılması zorunlu kılındı. Daha az ciddi açıklar için daha uzun süreler tanınırken, gerçekten düşük riskli hatalar için ise bir sonraki büyük sistem yükseltmesine kadar erteleme imkanı veriliyor. Bu yaklaşım, yapay zekanın saldırganların açıkları daha hızlı bulmasına ve silah haline getirmesine yardımcı olduğu bir tehdit ortamına yanıt olarak sunuluyor.

Direktifin en önemli yeniliklerinden biri, CVSS (Common Vulnerability Scoring System) şiddet puanlarının önceliklendirmede kullanılmasını tamamen kaldırması. CISA, tek başına bir şiddet etiketinin neyin önce düzeltileceğini belirlemediğini vurgulayarak, yeni sistemde dört faktörün ağırlıklı olarak değerlendirileceğini duyurdu: Varlık maruziyeti (sistemin herkese açık olup olmadığı), KEV durumu (açığın CISA'nın Bilinen İstismar Edilen Zafiyetler kataloğunda yer alıp almadığı), istismar otomasyonu (saldırganın tüm adımları otomatikleştirip otomatikleştiremediği) ve teknik etki (başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı).

Sistem Güvenliği

CISA'nın geçici direktörü Nick Andersen, direktifin kurumların "en yüksek riskli alanlara odaklanmasını" ve geri kalanını ertelemesini sağladığını belirtti. Andersen, özel sektör ve kritik altyapı operatörlerini de benzer bir yaklaşım benimsemeye çağırdı. Ancak sektör temsilcileri, direktifin uygulanmasının zor olacağı konusunda uyarılarda bulunuyor. Averlon CEO'su Sunil Gottumukkala, bir açığın istismar edildiğini bilmenin işin sadece yarısı olduğunu, diğer yarısının ise bu açığın sizin ortamınızda gerçekten önemli olup olmadığını belirlemek olduğunu söyledi.

Teknik Analiz

Suzu Labs CTO'su Denis Calderone ise, CVSS'nin tek başına hiçbir zaman güvenilir bir önceliklendirme yöntemi olmadığını kabul etmekle birlikte, kurumların gerçek risk değerlendirmeleri yapmasını sağlayacak mekanizmaların eksikliğine dikkat çekti. Özellikle CISA'nın bütçe ve iş gücü kesintileri göz önüne alındığında, kurumların sadece bir uyumluluk kutusunu işaretlemekle yetinebileceği endişesini dile getirdi. Calderone, savunmacıların kendi yığınlarını oluşturmasını ve KEV durumu, İstismar Tahmin Puanlama Sistemi (EPSS) olasılıkları ve yerel bağlamı dahil etmelerini önerdi.

Önemli Gelişmeler

Federal kurumların direktifin tüm düzeltme zaman çizelgelerine uyması için 180 günlük bir süresi bulunuyor. Bu süre, yaklaşık 7 Aralık 2024'e kadar uzanıyor. Uzmanlar, yeni yaklaşımın teoride doğru olduğunu ancak pratikte uygulamanın zorluklarına dikkat çekiyor. Risk değerlendirmelerinin doğru yapılması, sürekli izleme ve gerçek zamanlı tehdit istihbaratı entegrasyonu gerekiyor. CISA'nın bu dönüşümü başarıyla yönetip yönetemeyeceği, siber güvenlik camiasında merakla bekleniyor.

Kaynak: infosecurity-magazine.com

Paylaş: