ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların güvenlik açığı yönetimi uygulamalarını kökten değiştiren bir direktif yayımladı. 10 Haziran'da duyurulan Bağlayıcı Operasyonel Direktif 26-04 (BOD 26-04), katı son teslim tarihlerine dayalı yamalama yaklaşımını terk ederek, en aktif olarak istismar edilen tehditlere öncelik veren risk tabanlı bir strateji benimsiyor. Direktif, geçmişteki BOD 19-02 ve KEV odaklı BOD 22-01'i tek bir çatı altında birleştiriyor.
Yeni direktif, her yama süresini risk seviyesine göre belirliyor: En tehlikeli açıklar için 3 günlük yama süresi ve ardından bir adli inceleme (saldırı belirtisi kontrolü) öngörülüyor. Daha az kritik kombinasyonlar için daha uzun süreler tanınırken, gerçekten düşük riskli hataların yamalanması bir sonraki büyük sistem güncellemesine ertelenebiliyor. CISA, bu değişikliğin arkasında yapay zekanın saldırganların güvenlik açıklarını daha hızlı bulup silah haline getirmesine yardımcı olması ve yama yayınlandıktan sonra savunmacıların penceresini daraltması olduğunu belirtiyor.
BOD 26-04, yıllardır kullanılan CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) şiddet skorlarını da rafa kaldırıyor. Artık kurumlar, hangi açığı önce düzelteceklerine karar verirken dört faktörü dikkate alacak: Sistemin herkese açık olup olmadığı (varlık maruziyeti), açığın CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda olup olmadığı, saldırganın istismar için gereken tüm adımları otomatikleştirip otomatikleştiremediği (istismar otomasyonu) ve başarılı bir saldırının kısmi veya tam kontrol sağlayıp sağlamadığı (teknik etki). CISA'nın geçici direktörü Nick Andersen, direktifin kurumların çabalarını 'en yüksek riskli alanlara odaklamasına' ve geri kalanını ertelemesine olanak tanıdığını söyledi.
Uzmanlar, direktifin hedefini olumlu karşılamakla birlikte, uygulamanın zor olacağı konusunda uyarıyor. Averlon CEO'su Sunil Gottumukkala, bir açığın istismar edildiğini bilmenin işin sadece yarısı olduğunu, diğer yarısının ise 'bu açığın sizin ortamınızda önemli olup olmadığı' olduğunu belirtti. Suzu Labs CTO'su Denis Calderone ise CVSS'nin tek başına hiçbir zaman güvenilir bir önceliklendirme yöntemi olmadığını ancak kurumların gerçek risk değerlendirmesi yapıp yapmayacağını veya sadece bir uyumluluk kutusunu işaretleyip işaretlemeyeceğini sorguladı. Calderone, özellikle CISA'nın bütçe ve işgücü kesintilerine dikkat çekerek, savunmacıların KEV durumu, EPSS olasılıkları ve yerel bağlamı içeren kendi yığınlarını oluşturmaları gerektiğini vurguladı.