2020’nin ortasında hazırlanan ‘QuickView’ Güvenlik Açığı Raporunda, ‘Risk Temelli Güvenlik ekibi analistleri durumu değerlendirdi. Yetkililer en popüler şirketlerin, güvenlik açıklarının tümünü aynı gün halka açıkladı. Şirketlerin yaşadıkları güvenlik açıkları, teknoloji dünyasında ‘Fujiwhara etkisi’ yani inişli-çıkışlı bir afet olarak görülüyor.
Yıl ortasında duyurulan 11.121 güvenlik açığından 818’i birkaç gün içinde giderildi. Bunlardan 312’i 14 Ocak’da, 508’i 14 Nisan’da ve 263’i de 9 Haziran’da tespit edilen güvenlik açığı vardı.
Güvenlik istihbaratı Başkan Yardımcısı Brian Martin’e göre, bilişim personeli ve güvenlik açığı yöneticileri için büyük bir sorumluluk olduğunu belirtirken, bu yıl geçtiğimiz yıllar ile karşılaştırıldığında, rapor edilen oranın daha önceki verilere göre düşük olduğunu da ekledi. Ancak güvenlik istihbarat Başkan Yardımcısı Martin, yaşanan bu güvenlik zaafiyetlerinin şirketlerin müşterilerini endişelendirildiğinin de altını çizdi.
Yılın ilk yarısında açıklanan 11.000’den fazla güvenlik açığına rağmen, bu rakamlar 2019’un aynı dönemine göre % 8,2’lik bir düşüşü temsil ediyor. Bu yılın ikinci çeyreğine bakılacak olursa, pandemi dönemine rağmen her şeyin yavaş yavaş normale döndüğünü söylemek mümkün gözüküyor.
“Güvenlik açıklarından yüzde 30’unun CVE kimliği yok”
Hazırlanan raporda, 2020’nin ilk yarısında açıklanan güvenlik açıklarından % 30’unun CVE (Common Vulnerabilities and Exposures) yani ‘Yaygın Güvenlik Açıkları ve Etkileri’ nin olmadığı görülüyor. Geri kalan %3’ü CVE Kimlikleri ile ilgili ise herhangi bir bilgi bulunmuyor. Uzmanlara, hala bazı şirketlerin CVE kimliklerinin olmamasının endişe verici olduğunu söylüyor.
Ancak raporun çoğu, Güvenlik Açıklarının ‘Fujiwhara Etkisi’ne ve en fazla sayıda güvenlik açığını ifşa eden şirketlere odaklanıyor. 2020’de en çok güvenlik zaafiyeti yaşanan zaman dilimleri 14 Ocak, 14 Nisan ve 14 Temmuz’ olarak görülüyor. Hazırlanan raporda bu 3 gün bilişim uzmanları için önemli bir zaman olarak değerlendiriliyor.
Bunun öncesinde son iki Fujiwhara olayı 2015’te gerçekleşmişti. Bir sonrakinin ise 2025’te 14 Ocak’tan itibaren görüleceği tahmin ediliyor.
2015’in raporları ile kıyaslanacak olursa, bu yıl Nisan Fujiwhara olayında gördüğümüzün yarısından daha azında, toplam 277 güvenlik açığı açıklandığını belirtiliyor. Nisan ayındaki Fujiwhara etkisinde ise, yüzde 79’u yedi satıcıdan gelen 506 yeni güvenlik açığının bildirildiği görülüyor. Bu yıl diğerleri ile karşılaştırıldığında, rapor edilen en yüksek rakam “yalnızca” 273 yeni güvenlik açığı olarak belirtiliyor.
Güvenlik açıkları normale dönecek mi?
Rapora göre, Fujiwhara olaylarının ve artan güvenlik açıklarının sayısının normal haline geleceğini öngörülüyor. Araştırmacılar, bilişim uzmanları ve ekiplerine çok sayıda güvenlik açığıyla başa çıkamayabilecek derecede olup olmadığı konusunda endişeliler.
Uzmanlar pandemi sonrası, azalan personel sayısı ve bütçelerle uğraşan bilişim güvenlik ekipleri ve güvenlik açığı yöneticilerinin, tek bir günde ifşa edilen sorunların büyük hacmini gidermeye çalıştıklarını ve az kişi ile daha çok mücadele vermek zorunda olduklarının altını çiziyor. Microsoft ve Adobe gibi büyük satıcılar yaygın olarak kullanılan ürünleri etkiliyor.
Güvenlik istihbaratı bu durumun, CVE yani ‘Yaygın Güvenlik Açıkları ve Etkileri’ne bağlı bulunan kuruluşların, kritik olarak değerlendirilen güvenlik açıklarını tanımlama ve önceliklendirme konusunda ihtiyaç duyulan yardımı yeterince alamayacağı anlamına geliyor.
Pandemiden sonra tekrar konuşulmaya başlanan güvenlik açığı ve güvenlik istihbaratı konusu yeniden gündemde. Uzmanlar, tüm şirketler için kapsamlı güvenlik açığı istihbaratına ihtiyac olduğunun altını çiziyor.
“Patch Tuesday” etkinliklerini düzenleyen ilk şirketlerden biri olan Microsof ve Adobe gibi firmalar 2012 sonunda bu konuda adımları atmıştı. Ardından SAP, Siemens ve Schneider Electric gibi diğer şirketler de güvenlik açığı ve istihbaratı konusunda Microsoft ve Adobe gibi katılmaya karar verdi. Apple, Mozilla, Intel, Cisco ve diğerleri de aynı gün “daha rahat hale getirmek için güvenlik açıklarını açıklamaya başladılar.
Hatırlanacağı üzere, Microsoft’un her yılın ikinci salı günü yaptığı “Patch Tuesday” ismi verilen güvenlik güncellemesinde işletim sistemleri ve ürünleri dahil olmak üzere güvenlik açıkları kapatılıyor.
Geçtiğimiz yıl Microsof, bu 49 açığın 7’si ‘kritik’, 40’ı ‘önemli’ ve 2’si ‘orta tehlike’ şeklinde derecelendirip bu açıkları kapatmıştı.
Microsoft, “Patch Tuesday” etkinliklerini düzenleyen ilk şirketlerden biri olarak bilinirken, Adobe şirketi de 2012’de bu etkinliğe katıldı. Ardından SAP, Siemens ve Schneider Electric gibi diğer şirketler de katılmaya karar verdi. Zaten Apple, Mozilla, Intel, Cisco ve diğerleri de aynı gün “daha kolay hale getirmek” için güvenlik açıklarını açıklamaya başladılar. Yıl boyunca sadece 2 günde 818 güvenlik açığı açıklandı ve bu, tüm yıl ortası açıklamalarının% 7,3’ünü temsil ediyor.
Patch Tuesday nedir?
Salı yaması olarak bilinen “Patch Tuesday”, Microsoft’un yazılım güvenliğini artırmak için yayınladığı düzeltmeleri ifade eder. Microsoft, bu günlerde, yazılım sistemlerini güncel tutacak yama güncellemelerini kullanıcılarıyla paylaşır.
Windows’ta yamalama nedir?
Yamalar veya düzeltmeler, yazılım piyasaya sürüldükten sonra sistemdeki güvenlik açıklarını gidermeye yarar. Yazılım ne kadar popülerse, zaman içinde daha fazla sorun tespit edilibilir ve bundan dolayı daha fazla yamanın geliştirilmesi muhtemeldir. Yamalar; mobil uygulamalar, sunucular, yönlendiriciler, güvenlik duvarları, işletim sistemleri, e-posta, ofis paketleri ve daha fazlası dahil olmak üzere çeşitli yazılımlara uygulanabilir. Yazılımlar tamamen güvenli olamayabiliyor ve yamalar, sistem hatalarını önlemeye ve kullanıcılar için güvenliği artırmaya yardımcı olabiliyor.
Neden yamaya ihtiyaç var?
Yazılımın piyasaya sürülmesi, hatasız, güvenlik açıkları veya diğer yazılım sorunları olmadığı anlamına gelmiyor. Çevrim içi güvenlik daha büyük bir endişe haline geldikçe, bir yama yönetim sisteminin uygulanması, şirketlerin genel güvenlik altyapısı için inanılmaz derecede hayati öneme sahip. İşletim sistemlerini güncel ve güvende tutmak için sürekli olarak sistem yamaları gerekiyor. Patch Tuesday, güncellemelerin mevcut yazılım sistemlerinde uygulanması için her ay belirli bir süre oluşturur.
Editör : SavunmaTR Haber Merkezi
