ABD federal kurumları, siber güvenlikte yeni bir döneme giriyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayımlanan Bağlayıcı Operasyonel Direktif 26-04 (BOD 26-04) ile birlikte, daha önce kullanılan katı son teslim tarihli yama yönetimi anlayışı terk ediliyor. Yeni yaklaşım, en aktif olarak istismar edilen tehditlere öncelik veren risk bazlı bir stratejiyi benimsiyor. 10 Haziran'da yürürlüğe giren bu direktif, her bir güvenlik açığı için risk seviyesine göre farklı düzeltme süreleri tanımlıyor.
Yeni düzenleme, en tehlikeli güvenlik açıklarının tespit edilmesinin ardından üç gün içinde yama yapılmasını ve ayrıca sistemde izinsiz giriş belirtileri için adli inceleme yapılmasını zorunlu kılıyor. Daha az kritik kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli hatalar için ise bir sonraki büyük sistem güncellemesine kadar erteleme imkânı sağlanıyor. Bu direktif, daha önceki BOD 19-02 ve KEV odaklı BOD 22-01'i birleştirerek tek bir çerçeve altında topluyor.
CISA'nın bu adımı, tehdit ortamındaki değişikliklere bir yanıt olarak görülüyor. Yapay zeka, saldırganların güvenlik açıklarını daha hızlı bulmasına ve silah haline getirmesine olanak tanırken, savunmacıların yama yayınlandıktan sonra tepki verme süresini kısaltıyor. Ayrıca, ifşa edilen açıkların hacmi, kapsamlı bir yama yönetimini giderek zorlaştırıyor. Bu nedenle, eski CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) ciddiyet skorlarına dayalı önceliklendirme yerine, risk temelli bir yaklaşım benimseniyor.
Uzmanların Görüşleri
Yeni direktif, dört temel faktörü dikkate alıyor: sistemin kamuya açık olup olmadığı (varlık maruziyeti), açığın CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda yer alıp almadığı, saldırganın açığı otomatik olarak istismar edip edemeyeceği (istismar otomasyonu) ve başarılı bir saldırının sistemi kısmen veya tamamen ele geçirip geçirmediği (teknik etki). CISA'nın geçici direktörü Nick Andersen, bu direktifin kurumların en yüksek riskli alanlara odaklanmasını sağlayacağını belirtti. Ancak uzmanlar, uygulamanın zorluklarına dikkat çekiyor. Averlon CEO'su Sunil Gottumukkala, "Bir açığın istismar edildiğini bilmek işin sadece yarısı, diğer yarısı ise bu açığın sizin ortamınızda önemli olup olmadığıdır" derken, Suzu Labs CTO'su Denis Calderone ise kurumların gerçek risk değerlendirmesi yapıp yapmayacağını sorguluyor.