
Paydaşlara Özel Güvenlik Açığı Kategorizasyonu tamamen şirketinizle ilgili bir karar ağacıdır. Bu biraz fazla basitleştirilmiş bir ifade olsa da Paydaşlara Özel Güvenlik Açığı Kategorizasyonunun (SSVC- Shareholder Specific Vulnerability Categorization) arkasındaki fikir, güvenlik açıklarınızı size ve kuruluşunuza fayda sağlayacak şekilde ele almaya öncelik vermeniz gerektiğidir.
Önceliklendirmeyi yaptıktan sonra, en kritik güvenlik açıklarınızdan kaynaklanan riski azaltmak için yapabileceğiniz şeyler vardır. Bir WAF (Web Application Firewall-Web Uygulama Güvenlik Duvarı) çözümü bir seçenektir veya riskinizi azaltmak için diğer yöntemleri (virtual patch – sanal yama gibi) değerlendirebilirsiniz.
Güvenlik Açıklarını Neden Kategorize Etmelisiniz?
Eğer sizin şirketiniz de çoğu şirket gibiyse, birçok farklı açıdan çok sayıda güvenlik açığıyla karşı karşıyadır. İnsan hatalarından web uygulamalarınıza gömülü açık kaynak kodundaki arka kapılara kadar, ne zaman saldırıya uğrayacağınızı veya saldırının nereden geleceğini bilemezsiniz. Kategorize etmediğiniz sürece.
Kategorilere ayırmak, düşük riskli güvenlik açıkları ile kritik tehditler arasında ayrım yapmanızı sağlar. Önce hangi tehdidi etkisiz hale getireceğinizi bilmek istiyorsanız, kategorizasyon bunu çözmenize yardımcı olabilir. Birçok güvenlik açığı tehdit oluşturmaz veya belki de acil bir tehdit oluşturmaz.
Öte yandan, bazı zayıflıklarınız istismara son derece açıktır ve bunu mümkün olan en kısa sürede gidermeniz gerekir.
En iyisi sınırlı kaynaklarınızı sorun yaratması muhtemel tehditleri ele almaya odaklamaktır. Diğer şeylerin yanı sıra, bu, bir saldırganın bunları istismar etmesinin kolay veya pratik olduğu, bir saldırgan için finansal olarak ödüllendirici olduğu (ve dolayısıyla şirketiniz için yıkıcı olduğu) veya şirketinizin bir tedarik zinciri saldırısı için bir vektör olarak kullanılabileceği anlamına gelebilir.
Bununla birlikte, örneğin istismar edilmesi son derece pratik olmayan güvenlik açıklarınız varsa, bu sizin için daha düşük bir risk olabilir ve bu nedenle daha kritik sorunları ele alana kadar yamalanmayı bekleyebilir.
Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC) Nedir?
Şirketinize özel bir sınıflandırma yöntemi olmasının yanı sıra SSVC, devlet kurumları ve kritik altyapı kuruluşlarının siber güvenlik zayıflıklarını değerlendirmelerinin bir yolu olarak ortaya çıkmıştır ve artık özel şirketler için de aynı şeyi yapmanın etkili bir yoludur.
CISA‘nın (Amerika Birleşik Devletleri siber güvenlik ve altyapı güvenliğinin sağlanmasından sorumlu kurum) yönetici asistanı Eric Goldstein, bu metodolojinin güvenlik açıklarını değerlendirmek için tasarlandığını ve istismar durumunun yanı sıra ürünün tekil bir sistem içindeki güvenlik etkileri ve yaygınlığına göre iyileştirmeye öncelik verdiğini açıklıyor.
Tekil bir sistem tek bir şirketi (paydaşı) ifade eder ve amaç daha genel bir risk değerlendirmesinin tavsiyelerini takip etmek yerine bu sistem için güvenlik açıklarını bulmaya öncelik vermektir. En yeni kılavuz ilkeler, güvenlik açıklarının sayısını ve karmaşıklığını yönetmeye odaklanmaktadır.
SSVC karar ağacının nasıl çalıştığına dair bir özet aşağıda yer almaktadır, ancak özetlemek gerekirse her bir güvenlik açığı için 4 olası karar bulunmaktadır:
- Takip et: Güvenlik açığına dikkat edin, ancak acil eylem gerektirmez.
- İzle*: Güvenlik açığını izleyin. Acil eylem gerekli değildir, ancak bir sonraki güncelleme yayınlandığında bir aksiyon almanız gerekir.
- Katılın: Denetçilerin bu güvenlik açığına dikkat etmesi gerekir. Güvenlik açığı ile ilgili yardım veya bilgi almaları gerekebilir. Önem derecesine bağlı olarak, çalışanları veya tüketicileri bilgilendirmeleri gerekebilir. Bu açık bir sonraki standart güncellemeden önce giderilmelidir.
- Harekete geçin: Liderler yardım ve bilgi almalıdır. Çalışanları ve tüketicileri güvenlik açığı konusunda bilgilendirmeli ve bir müdahale planı oluşturmalıdırlar. Bu güvenlik açığı seviyesi mümkün olduğunca çabuk giderilmelidir.
Her bir güvenlik açığını nasıl etiketleyeceğinize karar vermek için 5 faktörü göz önünde bulundurun:
- İstismar durumu: Güvenlik açığı şu anda istismar ediliyor mu?
- Teknik etki: Kötü niyetli aktörler bu güvenlik açığından yararlanarak kimlik bilgilerini elde edebilir mi? Sistemin geri kalanına ne kadar erişimleri olur?
- Otomatikleştirilebilirlik: Bir saldırganın bu güvenlik açığından tekrar tekrar yararlanması ne kadar kolaydır? İstismar otomatikleştirilebilir mi?
- Görev yaygınlığı: Bu güvenlik açığının istismar edilmesinin iş operasyonlarınız üzerinde olumsuz ve önemli bir etkisi olur mu? Ne kadar kesintiye neden olur? Tüketiciler web uygulamanız üzerinden ürünlerinize veya hizmetlerinize erişemezse ne kadar para kaybedersiniz?
- Kamu refahına etkisi: Bir istismar fiziksel, zihinsel, duygusal veya çevresel zarara neden olacak mı? Bir saldırı gerçekleşirse halk bundan nasıl olumsuz etkilenir? Tüketicileriniz için mali bir kayıp olacak mı veya uyumluluk düzenlemelerini ihlal edecek misiniz?
Bu faktörler belirli bir zafiyet için önemliyse, o zafiyete öncelik vermelisiniz.

Önceliklendirilmiş Risk ve Zafiyet Yönetimi
SSVC’yi gözden geçirdikten sonra, yama işlemine nereden başlayacağınız konusunda oldukça iyi bir fikre sahip olmalısınız. O halde geriye kalan soru, nasıl verimli ve etkili bir şekilde yama yapmanız gerektiğidir. Önemli bir kod sorunu varsa, bu mümkün olan en kısa sürede güncellenmelidir. Daha az acil, daha zor düzeltmeler için sisteminizi dış tehditlerden korumaya yardımcı olacak yollar vardır.
Sanal yama genellikle daha düşük seviyeli tehditlerin riskini azaltmak veya kod sorunlarını ele almak için size biraz zaman verirken hızlı bir şekilde koruma sağlamak için iyi bir yoldur. Bir web uygulaması güvenlik duvarı (WAF) veya Web Uygulaması ve API Koruması (WAAP) protokolü, verileri güvence altına alarak ve trafiği filtreleyerek web uygulamalarını saldırılara karşı korur.
Şirketinizin ihtiyaçlarına bağlı olarak bulut tabanlı veya SaaS tabanlı bir çözüm kullanabilirsiniz. Bu yaklaşım sisteminizdeki güvenlik açıklarını düzeltmeyecek olsa da saldırganları uzak tutmaya yardımcı olabilir.
Hangi yöntemi seçerseniz seçin, sanal yama, siz güvenlik açıklarınızı çözerken verilerinizi güvende tutmak için size yardımcı olabilir. SSVC ile bu güvenlik açıklarını önceliklendirdikten sonra, önce harekete geçin (Act) kategorisi, sonra katılın (Attend) kategorisi, sonra izle (Track*) ve son olarak takip (Track) kategorileri için düzeltmeleri uygulamaya başlayabilirsiniz.
Kaynaklarınızı bu şekilde düzenlemek, daha az kritik güvenlik açıklarını korumaya devam ederken en önemli sorunları çözme konusunda size en iyi şansı verecektir.
Kaynak:
- https://www.hackread.com/
- https://www.cisa.gov/ssvc-calculator