İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), yapay zeka teknolojilerinin güvenlik açıklarını bulma ve düzeltme konusunda yarattığı hızlı ilerleme nedeniyle kuruluşları büyük bir 'yama dalgasına' karşı hazırlıklı olmaya çağırıyor. NCSC CTO'su Ollie Whitehouse, yapay zeka araçlarının (Anthropic'in Mythos Preview ve OpenAI'nin GPT-5.4 gibi) şu anda yalnızca satıcılar tarafından kullanıldığını, ancak bu araçların yaygınlaşmasıyla birlikte yazılımlardaki teknik borcun (technical debt) hızla kapatılması gerekeceğini belirtiyor. Whitehouse, 'Bu nedenle tüm kuruluşları bir 'yama dalgası' için şimdiden hazırlanmaya teşvik ediyoruz; teknoloji yığını boyunca uygulanması gereken bir dizi yazılım güncellemesi' diyor.
Whitehouse, güvenlik ekiplerine öncelikle dış saldırı yüzeylerine odaklanmalarını, yani çevre cihazlarındaki güvenlik açıklarını yamalamalarını, ardından bulut ve şirket içi sistemlere doğru ilerlemelerini öneriyor. NCSC'nin diğer tavsiyeleri arasında, NCSC'nin Güvenlik Açığı Yönetimi rehberine başvurmak, otomatik 'sıcak yama' (hot patching) özelliğini etkinleştirmek (hizmet kesintisine neden olmadığı sürece), gömülü cihazlar da dahil olmak üzere otomatik güncellemeleri açmak ve risk öncelikli bir yaklaşım benimsemek (örneğin, Paydaş Spesifik Güvenlik Açığı Sınıflandırması - SSVC sistemi) yer alıyor.
Ancak yamalama tek başına yeterli olmayabilir. Whitehouse, 'Bazı teknik borç, desteği sona ermiş veya güncelleme alamayan 'ömür sonu' veya eski teknolojilerde bulunabilir. Bu durumda kuruluşların teknolojileri değiştirmesi veya desteğe geri getirmesi gerekir, özellikle de dış saldırı yüzeyi oluşturuyorsa' diyor. Kritik altyapı sağlayıcıları için Cyber Essentials ve NCSC'nin Siber Değerlendirme Çerçevesi (CAF), geleneksel güvenlik açıklarının ötesine geçen sistemik sorunların riskini yönetmede hayati önem taşıyor.
Teknik Analiz
ABD'de ise durum daha da kritik. Reuters'ın haberine göre, CISA yetkilileri federal kurumlar için yama uygulama süresini ortalama üç haftadan sadece üç güne indirmeyi değerlendiriyor. BeyondTrust baş güvenlik danışmanı Morey Haber, bu kadar iddialı hedeflere yalnızca yama otomasyonu, gerçek zamanlı güvenlik açığı yönetimi, bulut güvenlik duruş yönetimi, kimlik merkezli kontroller ve risk tabanlı önceliklendirmeye yatırım yapmış kuruluşların ulaşabileceğini savunuyor. Haber, 'Ne yazık ki çoğu işletme, saldırı yüzeylerine sürekli görünürlük sahibi değil, gerçek zamanlı olarak güvenlik açıklarını önceliklendirme ve düzeltme yeteneğinden bahsetmiyorum bile' diye ekliyor.