1- Güncelleştirme Eksiklikleri
Güncelleştirme politikalarının yeterli seviyede oluşturulup uygulanmaması kurumsal ağları tehdit eden kök nedenlerin başında gelmektedir. Bu kök neden, aynı zamanda sahte güven duygusu ile beslenmesi ile meşhur olup, zaman boyutunda yönetilmesi gereken riskleri de içinde barındırmaktadır.
Üçüncü parti yazılım, işletim sistemi veya donanım gibi ağ öğeleri kullanan her kurum, bu öğelerin “ürün” niteliğindeki güvenliğini yayımcı firmalarına teslim etmiş durumdadırlar. Dolayısı ile kurumlar kendi ağlarına ait güvenliğin bazı halkalarını da bu yayımcı firmalara teslim etmiş sayılabilirler. Bir yayımcının ürününe ait açığı; bulması, kapatması ile ilgili güncelleştirmeyi yayınladıktan sonra müşteri konumundaki kurumun ürünü kendi altyapısındaki sürümüyle kıyaslamasına kadar geçen süre, bu ürünü kullanan kurum için “sahte güven” duygusunun hâkim olduğu evreyi oluşturmaktadır.
Bu süre zarfında, güvenlikle ilgili mimari çözümler ve stratejiler hayata geçirilirken, güncellemelerden doğabilecek açıkların minimum risk alınarak hazırlanmış stratejilerden seçilmiş olması hayati önem taşımaktadır. Buna basit ve temel bir örnek olarak İnternet’te yayın yapan bir sunucunun gereksiz olan Portlarının bir Firewall ile çift yönlü olarak kapatılması verilebilir. Bu örneği bir senaryo ile daha da detaylandırmak mümkündür. Örnek için ele alacağımız sunucu bir Windows Web sunucusu olsun. Eğer sunucu önünde bir Firewall bulunmaz ise, bu sunucunun SMB Protokolü için gerekli olan 445 Port’unda çıkacak bir açık sistemi doğrudan İnternet’ten gelecek saldırılara karşı savunmasız bırakacaktır.
Sahte güven duygusunun hâkim olduğu evreyi kısa tutmanın veya kaldırmanın tek yolu, düzenli denetim yapmak ve iyi bir güncelleştirme politikasını hayata geçirmektir. Bir sistem, güvenlik felsefesi gereğince %100 güvenli olamayacaksa ortaya çıkacak güven duygusunun da felsefi olarak sahte olması kaçınılmazdır. Ancak zaman boyutunda tehlikeyi araştırıp riski en aza indirmiş olmak, şartlara göre oluşturulmuş bir güven duygusunun kaynağıdır. Bu durumda, sistemin zaman boyutundaki en yakın an ve şartlara göre güvenli olduğunun düşünüldüğü evre, güven duygusunun hâkim olduğu evre; sistemin zaman boyutundaki en yakın andan uzaklaştığı her ana ve şartlara göre güvenli olduğunun düşünüldüğü evre ise, sahte güven duygusunun hâkim olduğu evre olacaktır.
Gökhan MUHARREMOĞLU