ABD federal kurumları, siber güvenlik zafiyet yönetiminde tarihi bir değişime imza atıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından 10 Haziran'da yayınlanan Bağlayıcı Operasyonel Direktif 26-04 (BOD 26-04), katı ve son tarih odaklı yama politikalarını rafa kaldırarak, en aktif olarak istismar edilen tehditlere öncelik veren risk bazlı bir yaklaşım benimsiyor. Bu yeni düzenleme, hem BOD 19-02'yi hem de KEV odaklı BOD 22-01'i tek bir çatı altında birleştiriyor. Peki bu değişiklik neden bu kadar kritik? Çünkü tehdit manzarası, yapay zekanın da yardımıyla saldırganların zafiyetleri daha hızlı keşfedip silah haline getirmesine olanak tanıyor ve savunmacıların yama çıktıktan sonraki müdahale penceresini daraltıyor. Üstelik açıklanan zafiyet sayısı, kitlesel yama yapma kapasitesini çoktan aşmış durumda.
BOD 26-04'ün en dikkat çekici yanı, her bir yama için belirlenen son tarihlerin risk seviyesine göre değişmesi. En tehlikeli zafiyetler için sadece üç günlük bir süre tanınırken, bu süreye ek olarak bir adli inceleme (forensic check) zorunluluğu da getiriliyor. Yani bir kurum en kritik açığı yamaladığında, aynı anda saldırganların bu açığı daha önce kullanıp kullanmadığını da kontrol etmek zorunda. Çünkü bir yama, sisteme sızmış bir saldırganı tek başına çıkarmıyor. Daha az ciddi kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli hatalar için ise bazı durumlarda bir sonraki büyük güncellemeye kadar erteleme imkanı sağlanıyor. Bu esneklik, kaynakların en kritik noktalara yoğunlaşmasını hedefliyor.
Yıllardır zafiyet önceliklendirmede standart olarak kullanılan CVSS (Ortak Zafiyet Puanlama Sistemi) şiddet puanları, BOD 26-04 ile birlikte resmen terk ediliyor. CISA'nın da vurguladığı gibi, bir zafiyetin şiddet etiketi tek başına hangi açığın önce kapatılması gerektiğini belirlemiyor. Bunun yerine direktif, dört temel faktörü dikkate alıyor: Varlığın erişilebilirliği (sistemin herkese açık olup olmadığı), KEV durumu (zafiyetin CISA'nın Bilinen İstismar Edilen Zafiyetler kataloğunda olup olmadığı), istismar otomasyonu (saldırganın tüm adımları otomatikleştirip otomatikleştiremeyeceği) ve teknik etki (başarılı bir saldırının kısmi mi yoksa tam kontrol mü sağladığı). Bu dört faktör, bir zafiyetin gerçek riskini belirlemek için birlikte değerlendiriliyor.
Önemli Gelişmeler
CISA'nın geçici direktörü Nick Andersen yaptığı açıklamada, direktifin kurumların "çabalarını en yüksek riskli alanlara odaklamasına" ve geri kalanını ertelemesine olanak tanıdığını söyledi. Andersen ayrıca özel sektör ve kritik altyapı işletmecilerine de aynı yaklaşımı benimsemeleri çağrısında bulundu. Bu, siber güvenlik dünyasında uzun süredir tartışılan "risk bazlı önceliklendirme" kavramının resmen hayata geçirilmesi anlamına geliyor. Ancak uzmanlar, bu yaklaşımın kağıt üzerinde ne kadar mantıklı görünse de uygulamada bazı zorluklar barındırdığı konusunda uyarıyor.
Pratikte bu değişiklik ne anlama geliyor? Federal kurumların, direktifin getirdiği düzeltme zaman çizelgelerine uymak için yaklaşık 180 günü (7 Aralık civarı) var. Sektör temsilcileri hedefi memnuniyetle karşılarken, asıl zorluğun uygulama aşamasında olduğunu vurguluyor. Ajanlı düzeltme platformu Averlon'un CEO'su Sunil Gottumukkala, "Bir açığın istismar edildiğini bilmek işin sadece yarısı. Diğer yarısı, bu açığın sizin ortamınızda gerçekten önemli olup olmadığıdır" diyerek, KEV kataloğunun tek başına yeterli olmadığını belirtiyor. Yapay zeka güvenlik firması Suzu Labs'ın CTO'su Denis Calderone ise, "CVSS tek başına hangi zafiyetlere öncelik verileceğine karar vermede hiçbir zaman güvenilir bir yöntem olmadı" diyerek direktifi desteklerken, CISA'nın bütçe ve personel kesintileri nedeniyle kurumların gerçek risk değerlendirmesi mi yoksa sadece uyumluluk kutusunu mu işaretleyeceği konusunda endişelerini dile getirdi.
Calderone, savunmacılara kendi yığınlarını oluşturmalarını ve bu yığına KEV durumu, İstismar Tahmin Puanlama Sistemi (EPSS) olasılıkları ve yerel bağlamı dahil etmelerini öneriyor. Bu, siber güvenlik ekiplerinin yalnızca CISA'nın yönlendirmelerine değil, kendi ortamlarının dinamiklerine göre hareket etmeleri gerektiği anlamına geliyor. Özellikle büyük ölçekli ağlarda, her bir zafiyetin etkisini değerlendirmek ve doğru önceliği vermek, otomasyon ve yapay zeka destekli araçlar olmadan neredeyse imkansız hale geliyor. Bu noktada, EPSS gibi tahmine dayalı modeller, hangi zafiyetlerin gerçek dünyada istismar edilme olasılığının yüksek olduğunu göstererek kritik bir rol oynuyor.
Sonuç olarak, CISA'nın BOD 26-04 direktifi, siber güvenlik yönetiminde bir paradigma değişimini temsil ediyor. Artık sadece bir zafiyetin ne kadar 'şiddetli' olduğu değil, aynı zamanda sizin ortamınızda ne kadar 'riskli' olduğu da önemli. Bu yaklaşım, kaynakların daha verimli kullanılmasını sağlarken, aynı zamanda kurumların kendi risk değerlendirme yeteneklerini geliştirmesini de zorunlu kılıyor. Uygulamanın başarısı, büyük ölçüde CISA'nın denetim kapasitesine ve kurumların bu yeni yaklaşımı ne kadar içselleştireceğine bağlı. Ancak net olan bir şey var: Zafiyet yönetiminde eski katı kurallar dönemi sona eriyor ve yerini daha akıllı, daha bağlamsal bir yaklaşım alıyor.
Kaynak: infosecurity-magazine.com