Üretici Desteği Biten Varlıklar Çerçevesinde BT Risk Yönetimi Yaklaşımı Nasıl Olmalıdır?
Bilgi teknolojileri (BT) denetim çalışmaları kapsamındaki tecrübelerim; sistem, yazılım ve cihazlardaki güvenlik açıklıklarının hızlı ve etkin bir şekilde yönetilebilmesi amacı ile yama yönetimi sürecinin çoğu kurumda belli bir plan çerçevesinde ve yeterli bir süreç olgunluğu seviyesinde yönetildiği gösterdi.
Dağıtılacak yamaların belirlenmesi, etki değerlendirmesinin yapılması, yamaların test edilmesi, değişiklik yönetimi çerçevesinde planlamaların ve raporlamaların gerçekleştirilmesi gibi birçok temel faaliyet; BT yönetimince dikkatle takip edilen ve önem gösterilen süreçlerden biri haline geldi.
Bu süreç çerçevesinde gözlemlediğim ve bugün değinmek istediğim üzücü taraf ise, üretici desteği biten (end-of-support) ve bağımlılıklardan dolayı değiştirilemeyen varlıklar için yapılacak bir şey kalmadığı algısının yerleşmiş olması. Oysa; üretici desteği biten sistem, yazılım ve cihazlar artık güncellenemediklerinde ve bunlar için yüklenebilen en son güncellemeler günün şartlarına göre artık güvenli olmadıklarında risk değerlendirme sürecinin işletilmesi gerekir.
Peki; bu kararlardan herhangi birisini alamıyor, örneğin yazılım bağımlılığından dolayı donanımı değiştiremiyor ve end-of-support ürünü kullanmaya devam etmek zorunda kalıyorsak ne mi oluyor? “Yapacak bir şey kalmadı!” algısına en çok da bu noktada kapılıyoruz. Oysa, önemli kararlardan birisinin işte tam da bu aşamada alınması gerekiyor: Riski kabul mü edeceğiz yoksa riski azaltacak mıyız?
Mevzuatsal gereklilik ya da sözleşme yükümlülüğü gibi zorunlu bir unsur olmadığı sürece; risk kabul süreci işletilerek end-of-support ürün kullanımının yarattığı güvenlik açıklıkları ile hayata devam etme kararı alınabilir. Peki; riski azaltmak ve makul seviyede güvenliği sağlayacak telafi edici kontroller tesis etmek üzere neler mi yapılabilir? Bu yazı çerçevesinde işte kısaca bu soruya yanıt arıyoruz:
- Öncelikli olarak; üretici desteği biten tüm varlıkları (donanım, işletim sistemi, yazılım vb.) içeren bir envanterin oluşturulması ve güncel durumu yansıtacak şekilde takibinin yapılması gerekmektedir. Kontrol ortamı tesis edebilmek için, öncelikli olarak tüm varlıklarımızdan haberdar olmalıyız!
- End-of- support ürünlerin ağdan izole edilmesi, alınacak önlemlerin en başında gelmektedir. End-of-support varlıklar üzerindeki bağlantı ara yüzlerinin kapatılması, mümkün olan tüm sıkılaştırmaların yapılması, ayrı bir VLAN segmentasyonunun oluşturulması, tüm gelen ve giden trafiği izlemek üzere ayrı bir güvenlik duvarının konumlandırılması gibi çalışmalar kontrol ortamının oluşturulmasına ve güvenliğin artmasına olanak sağlayacaktır.
- En önemli kontrollerden bir diğeri ise end-of-support ürünlere erişimlerin kısıtlanması ve en az yetki prensibinin işletilmesidir. Üretici desteği biten bir yazılımın kurulu olduğu makinelerin sınırlandırılması ya da end-of-support cihazların konumlandırıldığı alanlara erişimlerin kısıtlanması riski daha yönetilebilir bir hale getirecektir. Kısaca, bu tarz ürünlerin kullanımını küçük bir kullanıcı kümesi ile sınırlandırmak gerekmektedir.
- İşletim sistemi üzerindeki ya da uygulama dosyalarındaki olağandışı/beklenmedik değişikliklerin gerçek zamanlı olarak takip edilmesi, kötü niyetli kişilerin tespit edilmesine fayda sağlayacak (Detay için bakınız.) ve end-of-support ürünler üzerindeki bilinen zaafiyetlerin sömürülme riskini daha görünür hale getirecektir. Şirket politikası kapsamında tutmama kararı aldığınız bazı denetim izi kayıtlarının, end-of-support varlıklar özelinde değerlendirilerek açılması ve izlenmesi de bu aşamada önemli kararlardan biri olabilir.
Sonuç olarak; birtakım zorunluluklardan dolayı üretici desteği biten sistem, yazılım ve cihazları hala kullanmaya devam ediyor olabiliriz. Her ne kadar tercih etmesek de, end-of-support varlıklar hala envanterimizde yer alıyor olabilir. Bu gerçekle yaşarken, “Mevcut imkanlar dahilinde güvenlik bakış açısı ile neler yapılabilir, ne gibi kontroller tesis edilebilir?” sorusuna cevap aramak eminim ki riskimizi bir parça azaltmaya fayda sağlayacaktır.:)
Bir sonraki yazıda görüşmek üzere,
Risklerimizi yönetebildiğimiz bir hafta diliyorum!
Sevgiler,
https://www.linkedin.com/in/meltem-yapar-67b9b69b/
