Zero Day Initiative, açıklama politikalarını değiştirerek üreticileri daha iyisini yapmaya zorluyor Dünyanın önde gelen siber güvenlik …
Zero Day Initiative, açıklama politikalarını değiştirerek üreticileri daha iyisini yapmaya zorluyor
Dünyanın önde gelen siber güvenlik şirketlerinden Trend Micro, sayıları her geçen gün artan eksik ya da hatalı yamaların kuruluşlara güncelleme başına 400.000 ABD dolarından fazlaya mal olabileceği özelinde uyarıda bulundu.
Dünyanın en önemli siber güvenlik etkinliklerinden biri olan Black Hat USA 2022’de konuşan Trend Micro Zero Day Initiatiayrıca (ZDI) yöneticileri hem yamaların kalitesinde hem de üreticilerin müşteri ile olan iletişiminde yaşanan düşüşü ele almak için özel olarak tasarlanan politika değişiklikleri hakkında bilgilendirmeler verdi.
Güvenlik Açığı Araştırmasından Sorumlu Kıdemli Direktör ayrıca ZDI Başkanı Brian Gorenc, etkinlikte görüşlerini paylaştı: “ZDI, 2005 tarihinden bu yana üreticilere 10 binin üzerinde güvenlik açığı ifşa etti. Ancak, sektör genelinde güvenlik yamalarının durumu hakkında hiç bu kadar endişeli olmamıştık. Kafa karıştırıcı önerilerin olduğu yetersiz yamalar yayınlayan üreticiler, müşterilerinin önemli ölçüde vakit ayrıca para kaybetmesine neden oluyor ayrıca gereksiz riske yol açıyor.”
ZDI, üreticilerin hatalı veya eksik yama yayınlamasından kaynaklanan üç ana sorun belirledi:
Bu senaryolar, tek bir güvenlik açığını gidermek için ek, düzeltici güncellemeler gerektireceğinden yama maliyetlerini büyük oranda artırıyor ayrıca iş kaynaklarının boşa harcanmasına ayrıca yeni risklere neden oluyor.
Tüm bunların yanı sıra, üreticiler arasında yamalar hakkında net ayrıca güvenilir bilgilendirme sağlama özelinde artan isteksizlik, ağları savunmaya çalışan kişilerin nasıl bir risk altında olduklarını doğru bir şekilde ölçememelerine neden oluyor.
Bu nedenle ZDI, sektör genelinde iyileştirmeler sağlamak amacıyla etkisiz yamalara yönelik açıklama politikalarını değiştiriyor. İleriye dönük olarak, standart 120 günlük vakit çizelgesi, atlanmış bir güvenlik yamasının sonucu olduğuna inanılan hatalar için aşağıda belirtilen şekilde azaltılacak:
Yamalar, uygun şekilde tasarlansa bile tehdit aktörlerini altta yatan güvenlik açığına karşı uyararak riskleri istemeden de olsa artırabiliyor. Yamaları istismarlar başlamadan önce hazırlayan ayrıca yayınlayan kuruluşların sayısı oldukça az. Yamalar, eksik veya hatalı bir şekilde hazırlandığında ihlal riski büyük ölçüde artıyor.
Yamaların maliyeti kuruluşlar arasında farklılık gösterse de Trend Micro, hatalı yamaların maliyetinin belirlenmesini sağlayan bir formül geliştirdi: Toplam maliyet = f(T,HR,S,PF). T, yama yönetimi için harcanan zaman; HR, yama için gereken insan kaynağı maliyeti; S, yama uygulanacak uygulamaların sayısı ayrıca PF ise bazı uygulamalar için 2-3 haftada bir yapılan yama sıklığı anlamına geliyor.
Orta ayrıca büyük ölçekli işletmelerde yama maliyetinin her ay altı rakamı aşması alışılmadık bir durum değil. Yama harcamalarını hesaplamak için kullanılan formül ne olursa olsun, aynı güvenlik açığı için birden fazla güncelleme uygulamak, işletmelerin gereksiz vakit harcamalarının yanı sıra üzerlerindeki malî yükü de artırıyor ayrıca çeşitli risklerle karşı karşıya bırakıyor.
Trend Micro, işletmelere bu riskleri daha iyi anlamaları ayrıca azaltmaları için şunları öneriyor:
*ZDI, 2021 tarihinde açıklanan tüm güvenlik açıklarının yaklaşık yüzde 64’ünü tespit eden, dünyanın en büyük üretici bağımsız hata ödül programıdır.