Güvenli Pazartesi: Uygulamalarda güvenlik açıklarına bir bakış

as-strong-as-your-weakest-link

Yazılım güvenlik açıklarının düzeltme ekleri, güncellemelerle kapatılması söz konusu olduğunda, işletim sistemleriyle web tarayıcılarına özel bir ilgi gösterilir gibidir.

Ama aslında, bu iki yazılım türünde görülen güvenlik açıkları, genelde, ABD hükümetinin standartlar tabanlı güvenlik açıkları yönetim verileri deposu olan National Vulnerability Database‘te (NVD) yayımlanan güvenlik açıkları arasında küçük bir yer tutar.

Diğer güvenlik açıkları nerelerdedir? Büyük bölümü uygulamalarda, yani, işletim sistemleri veya tarayıcıların bir parçası olarak gelmeyen yazılımlardadır; bunların korunmasına zaman ayırmazsanız, uygulama katmanınız BT zırhınızda büyük bir çatlak oluşturur. CIO’lar, CISO’lar ile onların güvenlik ekiplerinin, tüm iş uygulamalarındaki bilinen güvenlik açıklarını değerlendirmeleri, düzeltme ekleri uygulamaları gerekir, yoksa ortamlarında var olan güvenlik açıklarının büyük bir bölümünü ihmal etmiş olurlar.

as-strong-as-your-weakest-link1

2015’in ikinci yarısında bildirilen tüm güvenlik açıklarının %44,2’sini, web tarayıcılar ve işletim sistemi uygulamaları haricindeki olaylar oluşturmuştur.

Ancak işletim sisteminin çekirdek uygulamalarını, web tarayıcıları uygulama katmanının geri kalanından ayırmanın sınırları pek net olmayabilir. Bir bilgisayarın işletim sistemini etkileyen güvenlik açıklarıyla uygulamalar, yardımcı programlar gibi diğer bileşenlerini etkileyenler arasında ayrım yapabilmek için, etkilenen bileşenin işletim sisteminin bir parçası olup olmadığının belirlenmesi gerekir. Modern işletim sistemlerinin çok bileşenli yapısını düşündüğünüzde, bunu yapmak her zaman kolay, basit bir iş değildir.

Örneğin, kimi program (görüntü düzenleyiciler gibi), varsayılan olarak işletim sistemi yazılımıyla birlikte gelir; ancak istendiğinde ayrıca yazılım satıcısının web sitesinden de indirilip yüklenebilir. Özellikle Linux dağıtımları, çoğunlukla farklı ekipler tarafından geliştirilen, birçoğu grafik kullanıcı arabirimi ya da internet tarama gibi çok önemli işletim fonksiyonlarını üstlenen bileşenlerden derlenmiştir.

Şirketlerin bu sorunu güvenle aşmalarına yardımcı olmak amacıyla Microsoft Güvenlik İstihbarat Raporu‘nda dört farklı güvenlik açığı tanımlanmaktadır:

  • İşletim sistemi çekirdek güvenlik açıkları, NVD listelerinde en az bir işletim sistemi platformunda belirtilen, ancak hiçbir uygulama platformunda belirtilmeyenlerdir.
  • İşletim sistemi uygulama güvenlik açıkları, NVD listelerinde en az bir işletim sistemi platformunda, aynı zamanda, tarayıcılar hariç en az bir uygulama platformunda da belirtilenlerdir.
  • Tarayıcı güvenlik açıkları, bir web tarayıcının parçası olarak tanımlanmış bileşenleri etkileyenlerdir; bunlara, işletim sistemleriyle birlikte gelen Internet Explorer ve Apple Safari ile üçüncü taraf tarayıcıları Mozilla Firefox ve Google Chrome gibi tarayıcılar da dâhildir.
  • Diğer uygulama güvenlik açıkları, NVD listelerinde en az bir uygulama platformunda belirtilen, ancak tarayıcılar hariç hiçbir işletim sistemi platformunda belirtilmeyenlerdir.

Bu ayrımları göz önünde bulunduran güncel Güvenlik İstihbarat Raporları, uygulamalarda bildirilen güvenlik açıklarının 2015’in ikinci yarısında azalmakla birlikte, yine de bu dönemde, bildirilen tüm güvenlik açıkları içinde yüzde 44,2’lik bir oranla en yaygın görülen tip olduğunu bildirmektedir. Bu, tüm kuruluşlardaki ekiplerin önemsemeleri gereken bir orandır.

Bu arada diğer kategoriler de önemli elbette. Bildirilen işletim sistemi çekirdek güvenlik açıkları, yılın birinci yarısına kıyasla büyük bir artış göstererek yüzde 24,5 ile ikinci sıraya çıkmıştır. İşletim sistemi uygulamalarında bildirilenler küçük bir düşüşle yüzde 18,6’ya inerken, tarayıcılarda bildirilenler üçte birden fazla artışla yüzde 12,8’e çıkmıştır.

Bir kuruluşun güvenliğini sağlamanın anahtarı, hangi yığının parçası olurlarsa olsun, yapılan tüm bildirimleri dikkate almaktır. Yazılım yığınınız genelinde olabilecek güvenlik açıkları hakkında bilgi edinmek için en son Güvenlik İstihbarat Raporumuz ile NVD’den gelen güncel bilgilere bakın. Şu anda güvenlik profesyonellerini en çok ilgilendiren 10 eğilim ve istatistiğe üst düzey bir bakış için, 2016 Trends in Cybersecurity e-book‘umuzu mutlaka indirin.