CISA'dan Risk Temelli Yama Politikası: Şiddet Skoru Yerine Tehdit Önceliği Yazılım

CISA'dan Risk Temelli Yama Politikası: Şiddet Skoru Yerine Tehdit Önceliği

CISA, federal kurumların yama yönetimini risk temelli hale getiren yeni bir direktif yayımladı. Artık CVSS şiddet skoru değil, tehdit önceliği esas al

ABD federal kurumları, siber güvenlik yama yönetiminde köklü bir değişikliğe gidiyor. Cybersecurity and Infrastructure Security Agency (CISA) tarafından yayımlanan yeni Bağlayıcı Operasyonel Direktif (BOD 26-04), katı ve son tarih odaklı yama yaklaşımını terk ederek, en aktif şekilde istismar edilen tehditlere öncelik veren risk temelli bir modele geçişi zorunlu kılıyor. 10 Haziran'da yayımlanan direktif, her bir yama süresini riske göre belirliyor: en tehlikeli açıklar için 3 gün ve adli inceleme, daha az kritik kombinasyonlar için daha uzun süreler, gerçekten düşük riskli hatalar için ise bir sonraki büyük güncellemeye kadar erteleme imkanı tanıyor. Bu direktif, daha önceki BOD 19-02 ve KEV odaklı BOD 22-01'i tek bir çatı altında topluyor.

CISA, bu değişikliğin arkasında yapay zekanın saldırganların açıkları daha hızlı bulmasına ve silah haline getirmesine yardımcı olduğu bir tehdit ortamı olduğunu belirtiyor. Yama yayımlandıktan sonra savunmacıların penceresi daralırken, ifşa edilen açıkların hacmi de tümünü kapsayacak bir yama stratejisini imkansız kılıyor. Direktif ayrıca, en sıkı son tarihlerle birlikte adli inceleme adımını da zorunlu kılıyor. Bir kurum en ciddi açıkları yamaladığında, saldırganların bu açıkları daha önce kullanıp kullanmadığını kontrol etmek zorunda, çünkü bir yama genellikle sızmayı önlemiyor.

Yıllardır CVSS şiddet skorları önceliklendirmeyi belirlerken, BOD 26-04 bu yaklaşımı tamamen değiştiriyor. Eski direktifin iptaliyle birlikte, kurumlar artık önceliklendirme için CVSS kullanmak zorunda değil. CISA'ya göre, bir şiddet etiketi tek başına neyin önce düzeltileceğini belirlemiyor. Yeni direktif dört faktörü dikkate alıyor: sistemin herkese açık olup olmadığı (varlık maruziyeti), açığın CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda olup olmadığı, saldırganın istismar için tüm adımları otomatikleştirip otomatikleştiremediği (istismar otomasyonu) ve başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı (teknik etki).

Nasıl Önlem Alınmalı?

Uygulama ise bazı endişeleri beraberinde getiriyor. Kurumların direktifteki düzeltme sürelerine uyması için 180 gün (yaklaşık 7 Aralık'a kadar) süresi var. Uzmanlar hedefi memnuniyetle karşılarken, zor kısmın uygulama olduğu konusunda uyarıyor. Averlon CEO'su Sunil Gottumukkala, bir açığın istismar edildiğini bilmenin (KEV kataloğuyla) işin sadece yarısı olduğunu, diğer yarısının ise bu açığın sizin ortamınızda önemli olup olmadığını belirlemek olduğunu söylüyor. Suzu Labs CTO'su Denis Calderone ise CVSS'nin tek başına hiçbir zaman güvenilir bir önceliklendirme yöntemi olmadığını ancak kurumların gerçek risk değerlendirmesi mi yoksa sadece uyumluluk kutucuğunu mu işaretleyeceğini sorguluyor. Özellikle CISA'nın bütçe ve iş gücü kesintilerine dikkat çeken Calderone, savunmacıların KEV durumu, EPSS olasılıkları ve yerel bağlamı içeren kendi yığınlarını oluşturmalarını öneriyor.

Paylaş: