CISA'dan Risk Odaklı Yama Yönetimi: Şiddet Skoruna Veda Yazılım

CISA'dan Risk Odaklı Yama Yönetimi: Şiddet Skoruna Veda

CISA, federal kurumlar için yama yönetimini risk temelli hale getiren BOD 26-04 yönergesini yayınladı. Yeni düzenleme, CVSS şiddet skorunu terk ederek

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların güvenlik açığı yönetimi uygulamalarını kökten değiştiren yeni bir bağlayıcı operasyonel direktif (BOD 26-04) yayınladı. 10 Haziran'da duyurulan direktif, katı ve son tarih odaklı yama yaklaşımından vazgeçerek, en aktif şekilde istismar edilen tehditlere öncelik veren risk temelli bir modele geçişi emrediyor.

Yeni direktif, her bir yama için son tarihi risk seviyesine göre belirliyor. En tehlikeli güvenlik açıkları için üç gün içinde yama yapılması ve ayrıca saldırı belirtileri için adli inceleme yapılması gerekiyor. Daha az kritik kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli hatalar için yama, sistemin bir sonraki büyük güncellemesine kadar ertelenebiliyor. Bu düzenleme, daha önceki BOD 19-02 ve KEV odaklı BOD 22-01 direktiflerini tek bir çatı altında topluyor.

CISA yetkilileri, bu değişikliğin yapay zekanın saldırganların güvenlik açıklarını daha hızlı bulup silah haline getirmesine yardımcı olduğu bir tehdit ortamına yanıt olduğunu belirtiyor. Artık açıklanan güvenlik açıklarının hacmi, toplu yama yapma kapasitesini aşıyor. Direktif ayrıca en sıkı son tarihlerle birlikte adli bir adım da öngörüyor: Bir kurum en ciddi güvenlik açıklarını yamaladığında, saldırganların bunu daha önce istismar edip etmediğini kontrol etmek zorunda, çünkü bir yama genellikle bir saldırganı sistemden atmaz.

Yeni düzenleme, yıllardır kullanılan CVSS şiddet skorunu tamamen terk ediyor. Artık kurumlar, yalnızca bir güvenlik açığının şiddet etiketine bakarak önceliklendirme yapmak zorunda değil. Direktif, önceliklendirmede dört faktörü dikkate alıyor: sistemin herkese açık olup olmadığı (varlık maruziyeti), güvenlik açığının CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda olup olmadığı, saldırganın istismar için gereken tüm adımları otomatikleştirip otomatikleştiremediği ve başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı (teknik etki). Bu risk temelli yaklaşım, uzmanlar tarafından memnuniyetle karşılanırken, uygulamanın zorluğuna dikkat çekiliyor. Kurumların 180 gün içinde direktife tam uyum sağlaması gerekiyor.

Paylaş: