Siber güvenlik yazılım güncelleme süreci başarısız olursa felaket sonuçlara yol açabilir; tıpkı bugün CrowdStrike tarafından yayımlanan kötü bir güncellemenin sebep olduğu gibi.
Siber güvenlik genellikle hız ile ilgilidir; bir tehdit aktörü kötü niyetli bir saldırı tekniği veya kodu oluşturur, siber güvenlik şirketleri yeni tehdide tepki verir ve gerekirse tehdidi tespit etmek için yöntemleri ayarlar ve benimser. Bu benimseme, tehdide karşı gereken korumayı sağlamak için bulut algılama sistemlerinin güncellenmesini ve/veya uç nokta cihazlarının güncellenmesini gerektirebilir. Siber güvenlik sektörü tehditler ortaya çıktığı anda onları korumak, tespit etmek ve yanıt vermek için var olduğundan hız çok önemlidir.
Siber güvenlik şirketlerinin bir güncelleme ile işletim sistemi veya diğer ürünler arasında çakışmayı önlemek için uyguladıkları süreçlerin, farklı işletim sistemleri, sistem sürücülerinin farklı varyantları ve benzerlerinin gerçek dünya senaryolarını simüle eden otomatik test ortamları ile sağlanması önemlidir.
Bu, bazı durumlarda insanlar tarafından denetlenebilir, tüm süreç ve prosedürlerin takip edildiğine ve herhangi bir çakışma olmadığına dair son bir kontrol olmalıdır. Bu karışımda, siber güvenlik sağlayıcısından bağımsız olarak test yapan ve bugün gördüğümüz gibi büyük bir kesintiyi önlemeye çalışan işletim sistemi sağlayıcısı gibi üçüncü taraflar da olabilir.
Mükemmel bir dünyada, bir siber güvenlik ekibi güncellemeyi alır ve kendi ortamlarında test ederek uyumsuzluk olmadığından emin olur. Güncellemenin herhangi bir soruna yol açmayacağından emin olunduktan sonra, belki de her seferinde bir departman olmak üzere güncellemenin planlı bir şekilde dağıtımı başlayacaktır. Böylece iş operasyonlarında önemli bir soruna yol açma riski azaltılmış olur.
Siber güvenlik ürün güncellemelerinin süreci bu değildir ve olamaz; bir tehdidin dağıtıldığı hızda, genellikle neredeyse anında dağıtılmaları gerekir. Güncelleme süreci başarısız olursa, bugün CrowdStrike ‘ın yazılım güncellemesinde olduğu gibi, mavi ekranlar ve tüm altyapıların çökmesi gibi felaketlere yol açabilir.
Bu, satıcının yetersizliğine işaret etmez, muhtemelen bir kötü şans senaryosu, olayı yaratan bir güncelleme veya yapılandırma sorunudur. Tabii ki güncelleme bir saldırgan tarafından manipüle edilmediyse, ki bu örnekte durum böyle görünmüyor.
Bu olaydan siber güvenlik adına ne çıkarmamız gerekiyor?
İlk olarak, tüm siber güvenlik sağlayıcıları, herhangi bir boşluk olmadığından emin olmak ve bunları nasıl güçlendirebileceklerini görmek için güncelleme süreçlerini gözden geçirmelidirler. Bizim için asıl ders, bir şirket önemli bir pazar konumuna ulaştığında, hakimiyetlerinin yarı monokültür bir olaya neden olabileceği, bir sorunun daha sonra birçok kişiyi etkileyeceğidir.
Siber güvenlik uzmanları ‘derinlemesine savunma’ veya ‘savunma katmanları’ gibi terimler kullanırlar. Bu, potansiyel saldırıları engellemek için birden fazla teknolojinin ve çoğu durumda birden fazla tedarikçinin kullanılması anlamına gelir, aynı zamanda mimaride esneklik ve tek bir tedarikçiye güvenmemek demektir.
CrowdStrike ‘ın neden olduğu gibi böyle bir olay yaşandığında suçlunun kim olduğunu gözden kaçırmamalıyız; eğer siber suçlular ve ulus devletler siber tehditler yaratmıyor olsalardı, gerçek zamanlı olarak korunmaya ihtiyacımız da olmazdı.
İlgili makale: ESET Tehdit Raporu H1 2024
Siber güvenlik için 10 temel adım
Yüz tanıma dolandırıcılığına karşı nasıl korunursunuz?
