Zero Day Initiative, açıklama siyasetlerini değiştirerek üreticileri daha güzelini yapmaya zorluyor Dünyanın önde gelen siber güvenlik …
Zero Day Initiative, açıklama siyasetlerini değiştirerek üreticileri daha güzelini yapmaya zorluyor
Dünyanın önde gelen siber güvenlik şirketlerinden Trend Micro, sayıları her geçen gün artan eksik ya da yanlışlı yamaların kuruluşlara güncelleme başına 400.000 ABD dolarından fazlaya mal olabileceği konusunda ihtarda bulundu.
Dünyanın en kıymetli siber güvenlik etkinliklerinden biri olan Black Çizgi USA 2022’de konuşan Trend Micro Zero Day Initiative (ZDI) yöneticileri hem yamaların kalitesinde hem de üreticilerin müşteri ile olan bağlantısında yaşanan düşüşü ele almak için özel olarak tasarlanan siyaset değişiklikleri hakkında bilgiler verdi.
Güvenlik Açığı Araştırmasından Sorumlu Kıdemli Yönetici ve ZDI Lideri Brian Gorenc, etkinlikte görüşlerini paylaştı: “ZDI, 2005 yılından bu yana üreticilere 10 binin üzerinde güvenlik açığı ifşa etti. Fakat, dal genelinde güvenlik yamalarının durumu hakkında hiç bu kadar kaygılı olmamıştık. Baş karıştırıcı tekliflerin olduğu yetersiz yamalar yayınlayan üreticiler, müşterilerinin kıymetli ölçüde vakit ve para kaybetmesine neden oluyor ve gereksiz riske yol açıyor.”
ZDI, üreticilerin yanılgılı yahut eksik yama yayınlamasından kaynaklanan üç ana sorun belirledi:
Bu senaryolar, tek bir güvenlik açığını gidermek için ek, düzeltici güncellemeler gerektireceğinden yama maliyetlerini büyük oranda artırıyor ve iş kaynaklarının boşa harcanmasına ve yeni risklere neden oluyor.
Tüm bunların yanı sıra, üreticiler arasında yamalar hakkında net ve muteber bilgi sağlama konusunda artan isteksizlik, ağları savunmaya çalışan şahısların nasıl bir risk altında olduklarını yanlışsız bir şekilde ölçememelerine neden oluyor.
Bu nedenle ZDI, bölüm genelinde iyileştirmeler sağlamak hedefiyle etkisiz yamalara yönelik açıklama siyasetlerini değiştiriyor. İleriye dönük olarak, standart 120 günlük vakit çizelgesi, atlanmış bir güvenlik yamasının sonucu olduğuna inanılan yanlışlar için aşağıda belirtilen şekilde azaltılacak:
Yamalar, uygun şekilde tasarlansa bile tehdit aktörlerini altta yatan güvenlik açığına karşı uyararak riskleri istemeden de olsa artırabiliyor. Yamaları istismarlar başlamadan evvel hazırlayan ve yayınlayan kuruluşların sayısı hayli az. Yamalar, eksik yahut kusurlu bir şekilde hazırlandığında ihlal riski büyük ölçüde artıyor.
Yamaların maliyeti kuruluşlar arasında farklılık gösterse de Trend Micro, kusurlu yamaların maliyetinin belirlenmesini sağlayan bir formül geliştirdi: Toplam maliyet = f(T,HR,S,PF). T, yama idaresi için harcanan vakit; HR, yama için gereken insan kaynağı maliyeti; S, yama uygulanacak uygulamaların sayısı ve PF ise kimi uygulamalar için 2-3 haftada bir yapılan yama sıklığı manasına geliyor.
Orta ve büyük ölçekli işletmelerde yama maliyetinin her ay altı sayısı aşması alışılmadık bir durum değil. Yama harcamalarını hesaplamak için kullanılan formül ne olursa olsun, tıpkı güvenlik açığı için birden fazla güncelleme uygulamak, işletmelerin gereksiz vakit harcamalarının yanı sıra üzerlerindeki malî yükü de artırıyor ve çeşitli risklerle karşı karşıya bırakıyor.
Trend Micro, işletmelere bu riskleri daha güzel anlamaları ve azaltmaları için şunları öneriyor:
*ZDI, 2021 yılında açıklanan tüm güvenlik açıklarının yaklaşık yüzde 64’ünü tespit eden, dünyanın en büyük üretici bağımsız kusur ödül programıdır.
Kaynak: (BYZHA) – Beyaz Haber Ajansı