CISA'dan Federal Ajanslara Risk Temelli Yama Yönetimi Talimatı Yazılım

CISA'dan Federal Ajanslara Risk Temelli Yama Yönetimi Talimatı

CISA, federal ajansların yama yönetimini kökten değiştiren BOD 26-04 direktifini yayınladı. Yeni düzenleme, katı son tarihler yerine risk temelli bir

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal ajansların güvenlik açığı yönetimi uygulamalarını kökten değiştiren bir direktif yayınladı. 10 Haziran'da yürürlüğe giren Bağlayıcı Operasyonel Direktif 26-04 (BOD 26-04), ajansların katı son tarihlere dayalı yama politikasından vazgeçerek, en aktif olarak sömürülen tehditleri önceliklendiren risk temelli bir yaklaşım benimsemesini zorunlu kılıyor. Yeni direktif, daha önceki BOD 19-02 ve BOD 22-01 direktiflerini tek bir çatı altında birleştiriyor.

BOD 26-04, her güvenlik açığının risk seviyesine göre farklı düzeltme süreleri belirliyor. En tehlikeli açıklar için üç günlük bir yama süresi ve ayrıca saldırı belirtilerini tespit etmek için adli inceleme öngörülüyor. Daha az kritik kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli açıklar bir sonraki büyük sistem güncellemesine kadar ertelenebiliyor. CISA, bu değişikliğin arkasında yapay zekanın saldırganların güvenlik açıklarını daha hızlı bulmasına ve silah haline getirmesine yardımcı olması olduğunu belirtiyor.

Direktif, yıllardır kullanılan CVSS şiddet skorunu tamamen kaldırıyor. Bunun yerine, dört faktöre dayalı bir risk değerlendirmesi getiriyor: sistemin herkese açık olup olmadığı (varlık maruziyeti), açığın CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda yer alıp almadığı, saldırganın açığı otomatik olarak istismar edip edemeyeceği (istismar otomasyonu) ve başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı (teknik etki). CISA geçici direktörü Nick Andersen, bu yaklaşımın ajansların kaynaklarını en yüksek riskli alanlara odaklamasına ve düşük riskli açıkları ertelemesine olanak tanıdığını söyledi.

Uygulayıcılar, direktifin hedefini memnuniyetle karşılarken, uygulamanın zorluğuna dikkat çekiyor. Averlon CEO'su Sunil Gottumukkala, bir açığın istismar edildiğini bilmenin işin sadece yarısı olduğunu, diğer yarısının ise bu açığın sizin ortamınızda gerçekten önemli olup olmadığını belirlemek olduğunu vurguladı. Suzu Labs CTO'su Denis Calderone ise, CVSS'nin tek başına güvenilir bir önceliklendirme yöntemi olmadığını ancak ajansların gerçek risk değerlendirmesi mi yoksa sadece uyumluluk kutularını mı işaretleyeceği konusunda endişelerini dile getirdi. Calderone, savunmacıların KEV durumu, EPSS olasılıkları ve yerel bağlamı içeren kendi yığınlarını oluşturmalarını öneriyor.

Paylaş: