Kalın Haber

  1. Anasayfa
  2. »
  3. Gündem
  4. »
  5. Trend Micro, Güvenlik Yamalarının Kalitesinde Yaşanan Keskin Düşüşe Karşı Uyarıda Bulundu
Gündem

Trend Micro, Güvenlik Yamalarının Kalitesinde Yaşanan Keskin Düşüşe Karşı Uyarıda Bulundu

Basin Bülteni Basin Bülteni - - 7 dk okuma süresi

Dünyanın önde gelen siber güvenlik şirketlerinden Trend Micro, sayıları her geçen gün artan eksik ya da hatalı yamaların kuruluşlara güncelleme başına 400.000 ABD dolarından fazlaya mal olabileceği konusunda uyarıda bulundu.

 

Dünyanın en önemli siber güvenlik etkinliklerinden biri olan Black Hat USA 2022’de konuşan Trend Micro Zero Day Initiative (ZDI) yöneticileri hem yamaların kalitesinde hem de üreticilerin müşteri ile olan iletişiminde yaşanan düşüşü ele almak için özel olarak tasarlanan politika değişiklikleri hakkında bilgiler verdi.

 

ZDI politika değişiklikleri hakkında ayrıntılı bilgi için: https://www.zerodayinitiative.com/blog/2022/8/11/new-disclosure-timelines-for-bugs-from-faulty-patches

 

Güvenlik Açığı Araştırmasından Sorumlu Kıdemli Direktör ve ZDI Başkanı Brian Gorenc, etkinlikte görüşlerini paylaştı: “ZDI, 2005 yılından bu yana üreticilere 10 binin üzerinde güvenlik açığı ifşa etti. Ancak, sektör genelinde güvenlik yamalarının durumu hakkında hiç bu kadar endişeli olmamıştık. Kafa karıştırıcı önerilerin olduğu yetersiz yamalar yayınlayan üreticiler, müşterilerinin önemli ölçüde zaman ve para kaybetmesine neden oluyor ve gereksiz riske yol açıyor.”

 

ZDI, üreticilerin hatalı veya eksik yama yayınlamasından kaynaklanan üç ana sorun belirledi:

İşletmeler artık kusurlu üretici uygulamaları nedeniyle ağlarına yönelik gerçek risklerle ilgili net bir görüşe sahip değil.
İşletmeler, eksik ve hatalı güncellemeler nedeniyle daha önce uygulanan yamalara ek çalışmalar yaparak zaman ve para harcamak zorunda kalıyor.
Başarısız bir yama, düzeltme olmamasına rağmen düzeltme yapıldığına inanılması nedeniyle hiç yama yapılmamasından daha fazla riske yol açıyor.

Bu senaryolar, tek bir güvenlik açığını gidermek için ek, düzeltici güncellemeler gerektireceğinden yama maliyetlerini büyük oranda artırıyor ve iş kaynaklarının boşa harcanmasına ve yeni risklere neden oluyor.

 

Tüm bunların yanı sıra, üreticiler arasında yamalar hakkında net ve güvenilir bilgi sağlama konusunda artan isteksizlik, ağları savunmaya çalışan kişilerin nasıl bir risk altında olduklarını doğru bir şekilde ölçememelerine neden oluyor.

 

Bu nedenle ZDI, sektör genelinde iyileştirmeler sağlamak amacıyla etkisiz yamalara yönelik açıklama politikalarını değiştiriyor. İleriye dönük olarak, standart 120 günlük zaman çizelgesi, atlanmış bir güvenlik yamasının sonucu olduğuna inanılan hatalar için aşağıda belirtilen şekilde azaltılacak:

 

İstismarın beklendiği önem derecesi en kritik olan durumlar için 30 gün
Yamanın bazı korumalar sunduğu kritik ve yüksek önem derecesine sahip hatalar için 60 gün
Yakın bir zamanda istismar olması beklenmeyen diğer önem dereceleri için 90 gün

Yamalar, uygun şekilde tasarlansa bile tehdit aktörlerini altta yatan güvenlik açığına karşı uyararak riskleri istemeden de olsa artırabiliyor. Yamaları istismarlar başlamadan önce hazırlayan ve yayınlayan kuruluşların sayısı oldukça az. Yamalar, eksik veya hatalı bir şekilde hazırlandığında ihlal riski büyük ölçüde artıyor.

 

Yamaların maliyeti kuruluşlar arasında farklılık gösterse de Trend Micro, hatalı yamaların maliyetinin belirlenmesini sağlayan bir formül geliştirdi: Toplam maliyet = f(T,HR,S,PF). T, yama yönetimi için harcanan zaman; HR, yama için gereken insan kaynağı maliyeti; S, yama uygulanacak uygulamaların sayısı ve PF ise bazı uygulamalar için 2-3 haftada bir yapılan yama sıklığı anlamına geliyor.

 

Orta ve büyük ölçekli işletmelerde yama maliyetinin her ay altı rakamı aşması alışılmadık bir durum değil. Yama harcamalarını hesaplamak için kullanılan formül ne olursa olsun, aynı güvenlik açığı için birden fazla güncelleme uygulamak, işletmelerin gereksiz zaman harcamalarının yanı sıra üzerlerindeki malî yükü de artırıyor ve çeşitli risklerle karşı karşıya bırakıyor.

 

Trend Micro, işletmelere bu riskleri daha iyi anlamaları ve azaltmaları için şunları öneriyor:

Özenli varlık tespiti ve yönetimi programları geliştirin
Mümkün olan her yerde, finansal olarak en uygun ve güvenilir üreticileri tercih edin
Yama revizyonlarını izleyerek ve tehdit ortamındaki değişiklikleri yakından gözlemleyerek gelişmiş risk değerlendirmeleri yapın

*ZDI, 2021 yılında açıklanan tüm güvenlik açıklarının yaklaşık yüzde 64’ünü tespit eden, dünyanın en büyük üretici bağımsız hata ödül programıdır.

Trend Micro hakkında:

Siber güvenlik alanında global lider olan Trend Micro, dijital bilginin dünya genelinde güvenli bir şekilde paylaşılmasına yardımcı olan çözümler sunuyor. On yılların verdiği güvenlik tecrübesiyle global tehdit araştırması ve sürekli devam eden inovasyondan aldığı güçle, Trend Micro’nun siber güvenlik platformu, bulut ortamları, ağlar, cihazlar ve uç noktalarda milyonlarca son kullanıcıyı ve yüz binlerce işletmeyi koruyor. Bulut ve işletmeler için siber güvenlik konusunda bir lider olan Trend Micro’nun siber güvenlik platformu AWS, Microsoft ve Google gibi ortamlar için en iyi hale getirilmiş ileri düzey tehdit savunma teknikleri sağlıyor. 65 ülkede 7.000 çalışanı ile Trend Micro, kurumların birbirleriyle bağlantılı dünyasını güvence altına alıyor. Daha fazla bilgi için www.trendmicro.com.tr

 

 

İlgili Yazılar

Gebze’de En İyi Cilt Bakımı Ve Lazer Epilasyon İşlemleri İçin Pingala Beauty

Emine Erdoğan ve Oluremi Tinubu İstanbul’da Görüştü

En Güvenilir Medikal Estetik Ve Sağlık Hizmetleri Veren Yerler