Uzmanlar[1] siber saldırıların %99.9’unun bilinen zafiyetlerin istismar edilmesiyle gerçekleştirildiğini ve bu nedenle yama(patching) işleminin önemini vurgulamaktadır. Siber güvenlik konusunda farkındalık düzeyinin düşük olması ve sistemlerin güncel tutulmaması saldırıların gerçekleşme olasılığını arttırmaktadır. Şubat 2015’te Hewlett-Packard tarafından yayınlanan 2015 Siber Risk[2] raporuna göre kurumların yama planlamaya gereği kadar önem vermediği belirtilmektedir. Raporda saldırıların %44’ünün 2 veya 4 yıldır yamaları yayınlanmış olmasına rağmen yama işleminden geçirilmemiş zafiyetlerden kaynaklandığı belirtilmektedir. Birçok ülkede sistemleri etkileyen ve hizmetlerin aksamasına yol açan WannaCry fidye yazılımının aylar önce duyurulan ve yaması yayınlanan Microsoft SMB uzaktan kod çalıştırma açıklığından kaynaklandığı belirtilmektedir. Saldırının çok yaygın bir şekilde görülmesinin nedeni olarak yama güncellemesinin aylar önceden duyurulmasına rağmen önlemlerin zamanında alınmamasından kaynaklandığı vurgulanmaktadır. Bu bulgular yamanın hep gözden kaçırılan ancak ciddi güvenlik sorunlarına yol açan bir etmen olduğunu ortaya koymaktadır.
Yazılımda bir hata tespit edildiğinde yama yapılması gerekmektedir. Eğer yazılım şirketi bu hatayı yayınlamayıp gizli tutarsa hatanın varlığından haberdar olunmayacağı için istismar edilmesi ancak Zeroday açıklıklarını tespit yöntemleri uygulanarak gerçekleştirilebilir. Yazılımda oluşan hatanın zafiyet barındırdığı durumlarda şirketin yamayı yayınlaması açıklığın ortaya çıkmasına neden olmaktadır, bu da siber suçluların tersine mühendislik yöntemlerini kullanarak yamadan istismar kodunu geliştirmelerine yol açabilmektedir. Uzmanlar exploitin geliştirilmesinin 1 ile 4 gün arasında bir zaman tutacağını belirtmektedirler.[1] Bu süre içerisinde yamanın sistemlere mutlaka uygulanmış olması gerekmektedir. Bunun için sistemlerin yamalı olduğu ve güncel olarak yama işleminin gerçekleştirildiği gibi kontrolleri düzenli olarak yapan bir kural belirlenmelidir.
İşletim sistemlerinin yanısıra yama işleminden geçirilmesi gereken diğer kritik sistemler:
– Güvenlik duvarı-Firewall
– Anti-Virus yazılımları
– Anti-Spam yazılımları
– Web içerik denetleme sistemleri
– Saldırı Tespit ve Engelleme Sistemleri(IDS/IPS)
– Dosya Bütünlüğü Denetimi (File Integrity Monitoring-FIM)
– Bilgi güvenliği Tehdit ve Olay Yönetimi-SIEM
– Birleşik Tehdit Yönetimi (Unified Threat Management -UTM)
– Sanal Özel Ağ-VPN
– Web Uygulama Güvenlik Duvarı-WAF
– Ağ Anahtarlama cihazı-Switch
– Yönlendirici-Router
– IP kameralar
– VoIP-Voice Over IP
Yama planlama dökümanında yer alması gereken maddeler:
– Kurumun donanım ve yazılım kayıtlarının nasıl tutulduğu ve bu dökümdeki kayıtların nasıl güncellendiğine dair bir yapılandırma yönetimi programı
– Bütün sistemlere yamaların ne zaman uygulanacağına dair program
– Yama dağıtım yönergeleri
– Yamanın beklenmedik bir sistem hatasına neden olduğu durumda sürece ait ölçümler ve yamanın durdurulması planını kapsayan program
Yama hazırlanırken yazılım şirketi hızlı davranmak zorunda olduğu için bazen yamanın kendisi de zafiyetli gelebilir. Bu durumda yamanın canlı makinelere uygulanmasından önce testten geçirilmesi gerekmektedir.
Yamayı Test adımları:
– Yamanın uygulanacağı ortam göz önünde bulundurularak kurumun sahip olduğu sistemlerin bütünlüğüne benzer bir ortamda test yapılmalıdır. Üçüncü parti uygulamalar ve default yapılandırmada yapılan değişiklikler gibi kuruma özel ayarlar yamanın başarısını etkilemektedir.
– Yamanın özet(hash) değeri kontrol edilerek bütünlüğünün bozulmadığından emin olunmalıdır. Yamanın yazılım şirketinin kendisinden alınması daha iyi bir doğrulama sağlayacaktır.
– Yamanın, uygulamaların ve süreçlerin işleyişini etkilemeden zafiyeti düzeltip düzeltmediği kontrol edilmelidir.
Otomatize edilmiş yama yönetim çözümleri ve yazılımlarını kullanmak yama işlemini hızlandıracak ve maliyeti büyük ölçüde düşürecektir. Yama uygulandıktan sonra IP atanmış kritik sistemlerin yeniden taranması, hatanın düzeltildiği veya başka zafiyetlere maruz bırakmayacağı gibi kritik etkenleri denetlemek adına önem arz etmektedir.
Kurumda Varolan Yama Yönetimi Ürünleri
Önerilecek Yama Yönetimi Ürünleri
Kaynakça:
[1] https://zonefox.com/news/importance-of-patching/
[2] http://www.eweek.com/security/lack-of-patching-remains-a-top-security-risk-hp-report-finds