Microsoft düzenli olarak her ayın 2. Salı günü (patch Tuesday), istisnai durumlarda ise anlık olarak (ki buna da out of band patch yaması denir) ürünlerindeki zaafiyetleri (vulnerability) giderici ( nadir de olsa " böyle bir açık var ama henüz giderecek bir güncelleme yok,üzgünüz" dediği de olur) yamalar yayınlar. Terminolojide "Security patch","Critical update","Update","Hotfix","Update rollup","Service pack","Integrated service pack" kavramları birbirinden farklı olsa da ben genel olarak bu güncellemelerden yama olarak bahsedeceğim.
Aslına bakarsanız bunun da 1 hafta kadar öncesinde "Advance Notification" hizmetiyle bulunulan ay yayınlanacak yamalar hakkında önceden özet bir bilgi de verir,tabi bu hizmetten faydalanabilmek için e-mail hesabınızla http://technet.microsoft.com/en-us/security/bulletin portalına kayıt olmanız lazım. Microsoft'un yayınlayacağı,yayınladığı tüm güvenlik bültenleriyle ilgili bilgilere de bu portaldan ulaşabilirsiniz zaten.
Her bülten temel olarak biraz yönetim kademesine hitap eden yüzeysel "Executive Summary", yamanın yayınlanma sebebi olan zaafiyetin yamam yayınlandıktan sonraki 30 gün içinde ne derece kolay istismar edilebileceği hakkında fikir veren "Exploitability Index", yamaların hangi ürünleri etkilediğini gösteren "Affected Software" ve açıklıkların nasıl tespit edileceği, yamaların hangi yöntemlerle uygulanabileceğinin bahsedildiği "Detection and Deployment Tools and Guidance" bölümlerinden oluşur.
Microsoft yayınladığı her zaafiyetle birlikte bir kod numarası, bir başlık ve ilgili bilgi bankası makalesi, önem seviyesi olarak türkçeleştirilebilecek "Severity Rating" değeri, zaafiyetin yol açabileceği tehlike, yeniden başlatma gereksinimi, etkilenen uygulamalar ve istismar edilebilirlik olarak türkçeleştirilebilecek "Exploitability Index" bilgisi yayınlar.
-Severity Rating ( Önem Seviyesi)
Zaafiyetin istismar edilmesi durumunda ortaya çıkacak sonuçların ciddiyetine, zararın büyüklüğüne göre zaafiyetin ne derece ciddiye alınması gerektiğini ifade eder
| Seviye | Tanım |
| Critical | Bu seviye kullanıcı etkileşimi olmadan zaafiyetin istismar edilebileceğini gösterir.Örnek vermek gerekirse kullanıcının zararlı kod içeren bir pdf ya da word dosyasını açması ya da zaafiyeti istismar edici kod barındıran herhangi bir web sitesine erişmesi gibi.Microsoft bu seviyedeki yamaların acilen uygulanmasını önerir. |
| Important | Genellikle kullanıcının uyarıldığı,kullanıcı onayı gerektiren işlemler sonrası kullanıcı verisinin gizliliği,bütünlüğünü tehlikeye atabilecek zaafiyetleri ifade eder.Microsoft bu seviyedeki yamaların en kısa zamanda uygulanmasını önerir. |
| Moderate | Varsayılan konfigürasyonlar ya da denetim (auditing) gibi faktörlerle kısmi olarak engellendiği zaafiyet seviyesini ifade eder.Microsoft bu seviyedeki yamaların da uygulanmasını önerir. |
| Low | İstismar edilme olasılığı düşük ya da istismar edilmesinin herhangi bir olumsuz sonuç doğurmayacağı zaafiyet seviyesidir. Microsoft yamanın uygulanıp uygulanmamasını müşteri insiyatifine bırakır. |
Microsoft, Aralık 2011'de güvenlik bültenlerinde revizyon yapmış ve müşterilerin talebi doğrultusunda zaafiyetlere bir de "Exploitability Index" değeri atamaya başlamış. Bu tarihten önceki bültenlere bakacak olursanız sadece Aggregate Severity Rating ve Impact değerlerini görürsünüz.
-Exploitability Index ( İstismar Edilebilirlik )
Yayınlanan yamaların önceliklendirilmesinde ve risk analizinde (benim diyen bankada bile yapılmaz :) ) kullanılabilecek bir değerdir ve yamanın, yayınlandıktan sonraki 30 gün içinde istismar edilebilirliğini ifade eder.
-Exploitability Index ( İstismar Edilebilirlik )
Yayınlanan yamaların önceliklendirilmesinde ve risk analizinde (benim diyen bankada bile yapılmaz :) ) kullanılabilecek bir değerdir ve yamanın, yayınlandıktan sonraki 30 gün içinde istismar edilebilirliğini ifade eder.
| İstismar Edilebilirlik Derecesi | Tanım |
| 1 | Bu zaafiyeti istismar etmek çok kolaydır, örnek yöntemler ve "exploit" denen kodlar,modüller kolayca edinilebilir,forumlarda web sitelerinde paylaşılır bir nevi ayağa düşmüştür. Derin teknik bilgi sahibi olmayan kişiler bile bu zaafiyetten faydalanabilir |
| 2 | Bu zaafiyeti istismar etmek oldukça fazla teknik bilgi gerektirir,çoğu zaman basit araçlarla istismar edilemez |
| 3 | Evet böyle bir zaafiyet vardır ancak bu zaafiyeti istismar etmek her baba yiğidin harcı değildir, çoğu zaman harcanan emek ve kaynak zaafiyeti kullanmaktan doğan zararı karşılamaz bile. |
Türkçeleştirmeye çalışınca çoğu terim gibi komik oluyor, kısaca zaafiyetin DoS ile hizmet ve servis kesintisine neden olup olmadığını gösteriyor.Microsoft'un yine son bültenlerde eklediği bir bilgi.
Not Applicable : DoS tehlikesi olmadığını
Permanent : Zaafiyet istismar edilince veya edildikten sonra hizmet kesintisinin sürebileceğini
Temporary : Hizmet kesintisinin zaafiyet istismar edildiği süre boyunca devam edeceğini, saldırı sonrasında müdaheleye gerek kalmadan hizmet kesintisinin sona ereceğini ifade ediyor.
Bu da önemli bir kriter.
Tüm bu değerler yama yönetiminde nasıl kullanılır,nasıl kullanılmalıdır bunu da bir sonraki yazıda anlatacağım.
Yama uygulama en riskli operasyonel işlerdendir ve gerçek ortama uygulanmadan önce test ortamlarında test edilmeli, prosedürü ve standardı olmalıdır. Microsoft Güvenlik bültenlerinin her satırı dikkatle okunmalıdır. Özellikle bültenlerin "Restart Requirement" kolonları, "Known Issues" denen yamanın uygulanmasında karşılaşılabilecek yan etkilere dikkat edilmelidir.
İlgili Yazılarım
Yama Yönetimi - Nass oluyor da oluyor? İdeal Yama Yönetim Süreci
Yama Yönetimi - Nass oluyor da oluyor? Yama dağıtım merkezini korumak
Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı
Güzel açıklamışsın, eline sağlık.Türkçeleştirmek için http://www.bilgiguvenligi.gov.tr/terimler-sozlugu.html adresini denemiş miydin? Sen de girdi yaparsan ne güzel olur.
YanıtlaSil