IT dünyası  büyük bir hızla donanımlarını ve yazılımlarını geliştirmekte ,hızlandırmak da ve bu sektöre yeni buluşlar  kazandırmaktadır. Fakat üretilen yazılım ve donanım  istenildiği ve beklendiği gibi sağlıklı olmayabiliyor.Donanım eğer sağlıklı üretilememişse kullanım ömrü kısalabiliyor veya performanssız/verimsiz çalışıyor. Bu problem sorunlu donanımın değiştirilmesiyle çok rahat çözülebilir.Ama Üretilen bir yazılımda hata varsa  bunun çözümü biraz daha karmaşık bir süreç gerektiriyor.

Yazılımdaki Sorunun fark edilmesi ,sorunun neden kaynaklandığının belirlenmesi ,çözüm üretilmesi ve üretilen çözümün sistemlere uygulanması ayrı süreçlerdir.Yazılımdaki farkına varılan sorun için firma kodda yeni ekleme /değiştirme/güncelleme yaparak bu yazılım için bir Yama (Patch) hazırlar ve bunu son kullanıcılara/müşterilerine  duyurur. Çoğu durumda güncellemelerin içeriği müşteriler tarafından takip edilmez, edilemez hatta  son kullanıcının güncellemeden  bile haberi bile olmuyor.

Yamalar (PATCH) güvenlik açığı , stabil çalışmama,performans sorunu ve yeni yazılımlarla uyum sağlamak  , vb nedenlerle üretici firma tarafından  yazılır.
Bu güncelleştirmeler içinde en önemli grup ,güvenlik açığını kapatan Patchlerdir.Zira tesbit edilmiş ve kötü niyetli  bilgisayar uzmanları (Hacker)  tarafından bilinen bir güvenlik açığının eğer sistemlerimizde kapatılmamışsa,açığın türüne göre ciddi zararları olur.Bu zarar sistemlerin çökertilmesi /çalışmaması ,veri kaybı,verilerin çalınması ,gizli bilgilerin elde edilmesi ,iş gücü kaybı ve en önemlisi de firma güvenilirliğinin ve saygınlığının zedelenmesi gibi sonuçlar doğurabilir.

Her türlü yazılımda güvenlik açığı doğuracak bir hata olabilir.Bu yazılım bir işletim sistemi (Windows OS,Unix,Linux..),Office uygulaması, Veri Tabanı Yönetim Sistemi (Oracle,MS SQL,DB2),sunucu yazılımı (.NET Framework,Apache, IIS,Ftp Server..) veya uygulama yazılımı (Adobe Reader,Flash, Internet Browsers) olabilir.

Bu dökümanda Güvenlik açıklarıyla  (Vulnerability)  ilgili yamaların  takibi ve  sistemlere uygulanması  hakkında bilgi verilecektir. 

PVG  ve  PATCH Nedir

Yazılımlardan kaynaklanan güvenlik açıkları, Üretici firma (Vendor) ,son kullanıcı ,meraklı  araştırmacılar  veya kötü niyetli kişilerler (Hacker)  tarafından fark edilir.Hackerlar hariç , fark edilen Güvenlik  açıkları üretici  firmaya bildirilir.Firma en kısa sürede bu güvenlik açığını kapatacak şekilde yazılımda değişilik yapar . Bu değişikliğe Yama (Patch) denir.

Bu Patch Üretici Firma tarafından yazıldığı için içeriğine güvenilebilir fakat çok nadir de olsa yazılan  yama sisteme zarar verebilir.Bu sorunu iyi tahlil edememekden ve/veya Donanım-Software uyumsuzluğundan da kaynaklanabilir.Bu yüzden sistemlere uygulanan  Patchler benzer sistemler de  test edilmelidir.Patchlerin  ve güvenlik açıklarının takibi ve yönetilmesi ayrı bir iş süreci olarak kabul edilmektedir.Bu  işi takip edecek gruba  PVG (Patch and Vulnerability Group) denir. Özel olarak PVG grubu organizasyon içinde yama ve güvenlik yönetimi programını uygulamak için görevlendirilmiş olmalıdır. (NIST in tavsiyesidir.)

PVG  de  çalışacak personelin ,güvenlik açığı ,yama yönetimi konularında  bilgili olmalı, ek olarak sistem yönetimi ,saldırı tesbit ve güvenlik duvarı konularında uzmanlıkları olmalıdır.

PVG nin büyüklüğü firmanın IT altyapısının büyüklüğü ile orantılı olmalıdır. Küçük firmalar için 1-2 kişi bu iş için yeterli olabilecekken büyük firmalarda bu sayı daha fazla olmalıdır.Otomatik  Patch management yazılımı olmayan büyük firmalarda Patch yönetimi ciddi maliyet ve iş gücü kaybına neden olur.

PVG ‘nin Sorumlulukları

1. Firma bünyesinde kullanılan bütün Donanım, İşletim Sistemi ve Uygulama yazılımlarının envanterini çıkarmak ve yeni eklenen ürünleri kontrol etmek,
2. Firma bünyesinde var olan yazılımsal ürünlerde ortaya çıkan Güvenlik açıklarını araştırmak,
3. Patch çıkana kadar önleyici tedbirler bulmak ve uygulamak,
4. Sistem Yöneticilerini çıkan patch ve güvenlik açıkları hakkında bilgilendirmek,
5. Patch geçildikten sonra güvenlik açığının kapatıldığını kontrol etmek,
6. Güvenlik açığı ve iyileştirme duyurularını/önerilerini  önceliklendirmek,
7. Enterprise Patch management tools lar aracılığı ile otomatik deployment yapmak,
8. Network ve Bilgisayarlar üzerinde Güvenlik açığı ve iyileştirme taraması yapmak ,
9. Güvenlik Açığı ve iyileştirmelerin nasıl yapılacağı konusunda Sistem sorumlularını eğitmek,

Sistem Envanterinde Bulunması Gereken Bilgiler

PVG nin görevlerinden biride altyapıda bulunan  bütün donanım ve yazılım envanterini çıkarmak ve güncel tutmaktır.Zira bir güvenlik açığı çıktığında bu açıkdan etkilenecek bir yazılım ve /veya donanıma sahip miyiz sorusunu hemen cevaplayabilmelidir. Aşağıda sistem envanterinde tutulması gereken bütün ürünler için özellik listesi belirtilmiştir.

1. Sistem Adı
2. Özellik Sayısı
3. IT resource un sahibi
4. Sistem Yöneticisi
5. Fiziksel Lokasyon
6. Ağ bağlantı Noktası
7. Software Konfigürasyonu (İşletim sistemi ve versiyonu,yazılım paketleri ve versiyonları,network servisleri,IP adresleri
8. Hardware Konfigürasyonu (CPU ,Memory,Disk Alanı,Ethernet Adres,Wireless Bilgisi ,Giriş Çıkış Arayüzleri,(Fireware,usb) )
9. Firmware Version

Benzer İşletim Sistemleri,benzer güvenlik karakteristikleri,aynı kritik hassasiyeti taşıyan sistemler 
aynı  grub altında yönetilmelidir.

Patch Yükleme, Önceliklendirme

• Sistemlere Patch yüklenmesi  için sistemler arasında bazı kriterlere göre önceliklendirme yapmak gerekir. Bunun için aşağıdaki kriterler göz önüne alınmalıdır.
• Kaynak Dış Dünyadan erişilebiliyorsa,
• Yüksek öneme sahip bilgi içeriyorsa,
• Güvenlik amaçlı kullanılan bir kaynaksa,
• Sistemlerin  çalışması için gerekli bir altyapı kaynağıysa,
• Eğer  sistemde yetkisiz kullanıcıların erişiyle ilgili bir güvenlik açığı varsa ve patch bu açığı kapatıyorsa sisteme acilen patch geçilmelidir,
• Eğer Lokalda çalışan bir uygulamaysa ve dışarıdan erişime kapalıysa  patch geçilmesi geciktirilebilir,
• Eğer sistem üzerinde kritik gizli bilgi bulunuyorsa patch acilen geçilmelidir,
• Patch geçildik den sonra güvenlik açığı kapatılmışmı kontrolleri yapılmalıdır. Bunun için Loglar incelenmeli , Güvenlik açığı tarayıcı Toollar ile test edilmelidir.

Patch ve Güvenlik Açıkları İzleme Kaynakları

PVG güvenlik açıklarını ve iyileştirmeleri çeşitli yöntemlerle  izlemekle görevlidir.İzleme  Kaynağı nekadar çok olursa  Güvenlik açıkları hakkında çok daha hızlı ve doğru bilgi edinilebilir. Ücretsiz Tool lar kısa dönem için iyi çözüm olabilirler ama  Şirket ihtiyaçlarını karşılamada yetersiz kalırlar.

Vendor Web Sitesi

Avantajları

• Vendor Web sitesinden  indirilen kodlar içinde kötü amaçlı kod barındırmaz.
• Vendor Ürettiği yazılım için en yüksek derecede uzmanlığa sahiptir.
• Çıkardığı yama hakkında detaylı bilgi  verir ve nasıl yükleneceği konusunda açıklamalar yaparlar.

Dezavantajları

• Vendor Web sitesi sık sık ziyaret edilmelidir, Zira uyarı gönderme mekanizması yoktur.
• Var olan her yazılım  için  her üreticinin ayrı ayrı  kurumsal  web sitesi ziyaret edilmelidir.
• Yalnız kendi ürün gamı için Güvenlik açığı bilgisi verirler.
• Güvenlik açığı çıktığı zaman eğer patch hazır değilse,hazırlanana kadar ,güvenlik açığı bilgisi  sitede yer almayabilir.Fakat diğer sitelerde bu güvenlik açığı public bir şekilde duyuruluyor olabilir.

Bazı üretici firmalar mail ile müşterilerine çıkan  Patchler hakkında  bilgi vermektedir.Burada sistem yöneticileri ve PVG  şirket bünyesinde birçok yazılım olduğu için birde fazla üreticini mail  listesinde olmak zorundandır.Reklam amaçlı gönderilen maillerle beraber çok sayıda gelen mail sistem yöneticilerini ve PVG yi zor durumda bırakmakta ,ve bu mailleri takibi zorlaşmak da ve gözden kaçmaktadır.Ve üretici firmalar Patchleri mail ile dağıtmamaktadır.

Third-Party Web Siteleri

Uygulama satıcısı değillerdir. Fakat Güvenlik açığı konusunda daha detaylı bilgi verirler.

Avantajları

• Yeni güvenlik açıkları hakkında anında bilgi verirler.
• Birden fazla ürün grubu için Güvenlik açığı bilgisi barındırabilir .Daha kısa sürede çok fazla bilgi edinilebilir
• Önerdikleri alternatif  çözüm yöntemleri Vendor tarafından da kabul edilebilir.

Dezavantajları

• İstenemeyen Sonuçlara yol açan kötü amaçlı kod barındırabilirler.
• Edinilen bilgi başka kaynaklardan check edilmelidir.

Third-Party Mail Grupları ve Haber Grupları

En büyük avantajı sistem yöneticilerinin ikili bilgi alışverişinde bulunabilmeleridir.
Oysa Üretici mail listeleri sadece tek yönlü bilgi aktarır.  (Vendor dan kullanıcıya)
Bu ortamlar sistem yöneticilerinin uzmanlıklarını ve sorularını paylaşmalarına ortam hazırlar.

Avantajları

• Sistem uzmanlarına etkileşimli bilgi edinme ortamı hazırlar.
• Aktif olarak birçok siteyi gezmeye gerek yoktur.
• Başka sistem yöneticilerinin  tecrübelerinden istifade edilebilir.
• Yama çıkana kadar  geçici çözüm bulanabilir .

Dezavantajları

• Üretilen Çok sayıda ki mail  kullanışlı olmayabilir.
• Kötü niyetli kişiler masum sorular sorarak gizli bilgiler alabilirler.
• Kötü niyetli kişiler tarafından hazırlanmış patchler ortamda geziyor olabilir.
• İstenmeyen reklamlara maruz kalabilirsiniz.
• Yanlış bilgiler verilebilir.
• Kötü niyetli kişilerin sitelerine Link verebilirler.

Güvenlik Açığı Tarayıcı Programları

Genellikle Kurum içinde Güvenlik açığı taraması yapmak için kullanılırlar.İki çeşidi vardır. Network Scanners  ve Host Scanners. Ağ tarayıcıları açık portlar, savunmasız yazılım ve yanlış hizmetleri tanımlamak için kullanılır.Host tarayıcıları, belirlenen işletim sisteminde ve yazılımda ki Güvenlik açıklarını tarar.

Avantajları

• Proaktif olarak güvenlik açıklarını belirler.
• Kolay ve hızlı bir şekilde maruz kalınan sorunu anlayabilirler.
• Otomatik olarak açıkları düzeltebilirler.
• Süresi bitmiş yazılımları belirleyebilirler.
• Kurumsal güvenlik politikasına uygunluğu denetleyebilirler.
• Güvenlik açığı  hakkında uyarı ve Rapor üretebilirler.

Dezavantajları

• Sağlıklı çalışabilmesi Güvenlik  veritabanının  En Güncel (Update) halinde olmasına bağlıdır.
• False Positive hata verme eğilimindedirler.
• Ağ trafiğine yük oluştururlar.
• Sistemde yapılan tarama sistemin crash olmasına neden olabilir.

Güvenlik Açığı Veritabanları

İnternet tarayıcıları tarafından ziyarete açık web siteleridir. Güvenlik açıkları hakkında arama yapılabilen  bir veritabanı yapısında bilgileri tutarlar.Bağımsız kuruluşlardır.Vendor lardan bağımsız çalışırlar.Güvenlik açıkları hakkında çok hızlı bilgi verirler.Ve bu bilgi Sistem yöneticileri tarafından çok önemlidir.Bilginin miktarı ve kalitesi siteden siteye farklılık gösterebilir. Güvenlik açıkları hakkında bilgileri CVE kaydı şeklinde tutar.Bu bilginin içinde  açığın tipini,tanımlanma tarihini,patch bilgisini ve update ini,etkilenen yazılım ve uygulama bilgileri vardır. Çok teknik ve ayrıntılı bir şekilde açıklamalar getirir.Güvenlik açıklarını kapatma yöntemleri hakkında bilgi verirler.Üretici Firma Patchlerine  linkler verirler.Güvenlik açıkları hakkında verilen  detaylı teknik  bilgi sistem yöneticiler için sistemlerini kontrol etme açısından önemlidir.Testlerini yapabilirler.Genel olarak, güvenlik açığı veritabanları mevcut en güçlü kaynaklarından biridir . Ayrıca CVE kayıtları Uluslararası bir standarttır.

Enterprise Patch Yönetim Araçları

Çok fazla sistem ve  devamlı çıkan güvenlik açıkları Sistem yöneticilerinin büyük bir zamanını almaktadır.Bu yüzden firmalar bu işleri otomatize  eden Kurumsal Patch yönetim yazılımlarını kullanırlar.İki farklı türü vardır bu patch yönetim yazılımlarının .Agent kurulum gerektiren ve  agent sız yazılımlar.
Enterprise patch yazılımlarının  CVE Compatible olmasına özellikle dikkat edilmelidir.Zira bu tür yazılımlar veritabanı olarak Vulnerability Databaselerde (VD) kayıtlara CVE formatında erişir ve değerlendirmeleri bu kayıtları baz alarak yaparlar.Network ve patch trafiği encrypted yapılmalıdır.
Agent  temelli yazılımlar sistemlere kurulurlar ve  kısa sürede büyük network de bile hızlı sonuç üretebilirler.Eğer Agent kurulu deilse,çalışmıyorsa  Patch yüklenemez.Agent Admin/Root  haklarıyla çalıştığı için Hackerlar için saldırı noktasıdır.
Satın alınan yazılım ve modüllerde Encrypted Standartlarına uyulup uyulmadığı araştırılmalıdır. Encrypted zayıfsa bu sistemler için büyük bir güvenlik açığı olabilir.FIPS Publication 140-2 da belirtilen Encrypted Standartları bu konuda bir referanstır.

Enterprise Patch Management Yazılımlarının Zayıflıkları;

Agentsız yazılımlarda da kurulum  gerekmez ama networke yük getiriler.Tarayacağı  servis veya port kapalı olabilir,yani sonuç alamaz.Büyük networklerin taraması uzun sürer.Kişisel bilgisayar kapalı ise erişemez.Yeni eklenen bilgisayarlar/sistemler  için hak verilmesi gerekir.
Firmadaki Kötü niyetli bir kişi çok rahat istediği patchleri göndererek sisteme zarar verebilir.
Software sağlayıcısı yanlış patch i Enterprise Patch sunucusuna gönderebilir.
Saldırgan Patch management Sunucusunu  ele geçirebilir.
Agent-less kurulumlarda sistem admin passwordünü ele geçirebilir.
Attacket Agent less uygulaması ile sistemi tarayıp açıkların farkına varabilir.
Sadece eksik patchler algılanabilir,yanlış geçilen patchler algılanamaz.

Sonuç ve Öneriler

Sonuç

Saldırıların  çoğu yakın zamanda çıkmış ve kapatılmayan (Patch geçilmeyen) Güvenlik açıklarına yapılmaktadır.Sistem yöneticileri duyurulan güvenlik açıklarını takip etmeye fazla zaman ayıramazlar.Oysa  Hackerlar zamanlarının çoğunu yeni çıkan Güvenlik açıklarını takip etmekle geçirmektedirler.Ve bu açığı kullanacak programcıklar (Trojan,virüs,..) yazmakla uğraşmaktadırlar.Burada PVG grubunun önemi bir kez daha anlaşılmaktadır. IT altyapısında bulunan onlarca farklı ürün gamı için Güvenlik açığı araştırması yapmak bir sistem uzmanı için çok zaman alıcı bir iştir.Güvenlik açığı takibi ve patch geçilme süreci için ayrı bir grup oluşturulmalı, Enterprise Patch yazılımları kullanılmalıdır. Bu yazılımların avantajı IT dünyasında çıkan Güvenlik açığı bilgilerine en kısa zamanda ve doğrulukda ulaşmasıdır. Hatta Üretici Firma  patch çıkarmadan geçici Güvenlik tedbirlerini önerirler.

Öneriler

Yama ve güvenlik açığı izleme çoğu zaman bıkkınlık veren ve gereksiz bir görev gibi görünüyor olsa da, güvenli bir IT  organizasyonu ancak   entegre bir Patch Yönetimi  süreci ile elde edilebilir.Yerleşmiş bir Patch ve  Güvenlik Yönetim anlayışı, IT altyapısının, Güvenlik açıklarına karşı reaktif yaklaşımdan  proaktif yaklaşıma geçmesini sağlar.
Patch  ve güvenlik açığı yönetimi konusunda yardımcı olmak için Uluslararası kuruluşların Patch yönetimi konusunda önerileri aşağıdaki gibidir.

1. PVG grubu oluşturulmalıdır.
2. Güvenlik açıkları ve tehditleri sürekli izlenmelidir.
3. Patchlerin önceliklendirilmesi ve aşamalı olarak dağıtımının yapılması gerekir.
4. Patchlerin dağıtım öncesi testlerinin yapılması gerekir.
5. Şirket çapında otomatik patch dağıtımı yapacak çözümler kullanılmalıdır.
6. Uygulmalar için uygun güncellemeleri alacak çözümler kullanılmalıdır.
7. Bütün Bilgi Teknolojisi envanterinin çıkartılması ve güncel tutulması gerekir.
8. IT kaynaklarının konfigürasyonları için mümkün olduğu kadar standardizasyona gidilmelidir.
9. Patch yüklemelerinden sonra açıkların kapatıldığının kontrolü yapılmalıdır.
10. Kullanılan patch yönetim yazılımlarının verimliliğinin ve etkinliğinin kontrolleri yapılmalıdır.
11. Güvenlik açıklarınının(vulnerability) ve iyileştirmelerin (remediation) izlenmesi teknikleri hakkında IT personeline  eğitim verilmelidir.
12. Peryodik olarak Patch Yönetim yazılımının etkinliğinin testleri yapılmalıdır.
13. En geniş kapsamlı veri havuzuna sahip olan Amerikan Hükümetinin Güvenlik açığı izleme ve azaltma kaynakları takip edilmelidir.