Yama terimi, her ne kadar istatistiki veriler Microsoft platformları ve ürünleriyle kıyaslandığında açık kaynak kodlu platformlarda ve uygulamalarda bir yıl içinde çok daha fazla yama yayınlandığını gösterse de, Microsoft ürünleriyle özdeşleşti. Bu nedenle spesifik olmak gerektiğinde Microsoft ürünlerini örnek göstereceğim ama bu sürecin adımları genel uygulanabilir olacak. Her nekadar çoğunlukla güvenlik açıklarını ve zaafiyetlerini gidermek amacıyla yayınlanıyor olsalar da performans ve işleyişi iyileştirme adına yayınlanan yamalar da mevcut, ben de yama yönetimiyle hem güvenlik hem iyileştirme amacıyla.Tecrübelerimle birlikte yaygın kullanımı nedeniyle de Microsoft'un yama sürecini esas alacağım,akla mantığa uygun ve uygulanabilir olduğunu siz de göreceksiniz, bu süreç yama yönetimini 4 faz altında tanımlıyor kardeşlerim,hazırsanız başlayalım uzun bir yazı olacak;
Bu faz kurumunuzda kullanılan tüm donanım,işletim sistemi,yazılım ürünlerinin envanterinin tutulmasını daha sonra bu envanterin, güvenlik tehditlerinin ve zaafiyetlerin belirlenmesinde kullanılmasını, belirlenen zaafiyetlerin belirlenmesi,giderilmesi ve envanterde bulunan özellikle yazılım ürünlerinin güncellenmesinde kullanılacak yama/güncelleme yönetim çözümü olup olmadığının ve ne derece etkin kullanıldığının ve operasyonel yeterliliğin sürekli gözden geçirilmesini,değerlendirilmesini gerektiriyor.
Yukardaki bir paragraf uzunluğundaki cümle size birşey ifade etmemiş olabilir. Bu fazda öncelikle yapmanız gereken hangi ürünleri kullandığınızı bilmeniz.İşletim sistemleri ve versiyonları, bu işletim sistemlerinde kurulu ürünler ve versiyonları, kritik sistemler ( bana göre kritiklik seviyesi sunucu ya da cihaz çalışmadığında ne kadar çabuk üst yönetimden telefon aldığınızla doğru orantılı ), yüklü yamalar, kullanılan sunucuların rolleri (hangi sunucu ne amaçla kullanılır,neyi etkiler) , sunucuların sahipleri/sorumluları (hatta bu personelin kontak bilgileri) gibi ayrıntıları mutlaka bilmelisiniz. Bunları bilmek yetmez, kayıt altına alıp dökümante etmelisiniz. Neyse ki daha sonra bahsedilecek profesyonel yama yönetim çözümleri bu bilgilerin çoğunu sizin için otomatik olarak topluyor.
Envanteri çıkardıktan sonra yapılması gereken yama yönetimine dahil edilen bilgisayar sistemlerinin sürekli olarak güvenlik taramalarının yapılması,varsa testpit edilen açıkların değerlendirilmesi. Mümkün olduğunca sunucu sistemlerin internet erişimini kısıtlayın, iç ağınızdan - belki de sizin bilgisayarınızdan - sunucunuza bulaşabilecek zararlı kod siz farkında olmadan bütün önemli verilerinizi ftp sitelerine gönderebilir, salgırgan için kurumunuzun bilgisayar ağına giriş kapısı olarak kullanılabilir. Eksik yamaları tespit etmek mi istiyorsunuz? bunun için kullanılabilecek ücretli/ücretsiz bir sürü araç mevcut. Bu araçlardan kullanmayı düşündüklerinizi yine güvenliği artırılmış, herkesin erişimine açık olmayan ve tarayacağı bilgisayar sistemleriyle arasında firewall gibi engelleyici araçlar bulunmayan bir bilgisayara kurun, taramalarınızı bu bilgisayar aracılığı ile yapın. Tespit ettiğiniz açıkları değerlendirin.
Ben tarayın, değerlendirin şunu yapın bunu yapın diyorum ama olması gereken tüm bu işlerin aynı ekip tarafından yapılmaması. Profesyonel organizasyonlarda güvenlik taramalarını ve değerlendirmesini "bt güvenlik" ekipleri yapar,ya da yapmalıdır.
Envanterinizi çıkardınız,düzenli taramalar da yapıyorsunuz, peki tespit edilen açıklıkları giderecek yamaları nereden bulacaksınız,nasıl temin edeceksiniz güncel yamalardan,tehditlerden ve bu tehditleri nasıl bertaraf edeceğinizden nasıl haberdar olacaksınız? Microsoft ihtiyacınız olan tüm bağlantıları güvenlik portalinde toplamış, adres http://technet.microsoft.com/en-us/security
Bu portalden şimdiye kadar yayınlanmış tüm güvenlik bültenlerine ulaşabilirsiniz. Olmazsa olmazlardan biri "security notifications" hizmetine kayıt olmak. Böylece yeni bültenler yayınlanmadan önce,bülten yayınlanınca, bültenlerde değişiklik olunca e-mail ile haberdar edilirsiniz. Microsoft Security Response Center (MSRC) ve Microsoft Malware Protection Center (MMPC) takip edilmesi gereken diğer siteler. Tarayıcılarınızın Favorilerine ekleyin.
Bunu da yaptıysanız artık yama yönetim altyapınızı ve organizasyonunuzu gözden geçirme zamanı gelmiş demektir. Yanlış anlaşılmasın, bu da yama yönetim sürecinin bir parçası ve sürekli yapılması gereken bir işlem. Varsa mevcut yama yönetim aracınız, altyapınız, aracın kapasitesi sizin ortamınız için yeterli mi. Yama yönetimini operasyonel olarak yerine getiren personel sayıca ve teknik olarak yeterli mi, bu personelin işini nasıl yapacağı dökümante edilmiş mi,en basitinden "bilgisayar olaylarına müdahele (Incident Response)", "Değişiklik Yönetimi" gibi süreçler var mı,uygulanıyor mu. Varsa eksiklikler bu fazda tespit edilip giderilebilir.
2-Belirleme (Identify)
Bu faz yayınlanacağı duyurulan ya da duyurulmuş,yayınlanmış yamaların ortamınıza uygun olup olmadığının belirlenmesini, uygunsa güvenli yollardan teminini ve kategorizasyonunu gerektirir.
Türkçesi, sadece üretici firmanın yayınladığı yollardan (web sitesi vb) temin edeceksiniz, yamayla ilgili detaylı bilgileri inceleyecek temin ettiğiniz bu yamaların hangileri sizin ortamınızda kullanılan işletim sistemleri ya da uygulamalarla ilgili bunları belirleyeceksiniz daha sonra bu yamaları aciliyetine göre kategorize edeceksiniz. Zararlı yazılımların kendilerini yaymak için uygulamaların güncelleme mekanizmalarını kullanması artık sık karşılaşılan bir durum. Üretici firma tarafından yayınlanmayan güncelleme aslında size zarar verebilecek kodlar içerebilir.Bu konuyu çok çok ciddiye alıyorsanız yama paketlerinin dijital imzalarını kontrol edebilirsiniz,microsoft yamalarında microsoft'un dijital imzaları vardır. Daha sonraki yazılarda bahsedeceğim Microsoft ortamlarında yaygın olarak kullanılan WSUS indirilen yamanın dijital imzasını ve hash'ini kontrol eder, tutarsızlık tespit ederse yamanın kurulumunu engeller.
Microsoft'un aylık yayınladığı yamaları -duyurulan yamaların yarısı sizin ortamınızı etkilemese bile - bir paket halinde yayınlayabilirsiniz, paketi alan bilgisayar sistemleri de bu paketten ihtiyacı olan yamayı kendine uygular, ihtiyacı olmayanı uygulamaz bu noktada sorun yok, ama eğer siz gerçekten ihtiyacınız olan yamaları kullanmazsanız bir sorun çıktığında soruna hangi yamanın neden olduğunu tespit etmede sıkıntı yaşarsınız. Aynı örnekten devam edecek olursak işe yaramayan daha doğrusu ihtiyacınız olmayan paketin diğer yarısını ortamınıza yaymak için yerel ağınızda fazladan trafik oluşturursunuz.
İnternet trafiğinin verimli kullanımını artırmak için ise merkezi yama dağıtım metodları geliştirmelisiniz, bu bir uygulama da olabilir ,script veya Grup politikası da. Amaç ihtiyacınız olan yamaları yerel ağınızda kolay ulaşılabilir bir yerde erişime açmak ve yamaları burdan dağıtmak olmalı, aksi halde her bilgisayar sisteminin güncellemesini internet bağlantısı üzerinden yapması kurum internet erişimini olumsuz etkileyecektir. Bu da ilk fazda bahsedilen "yama yönetim altyapısının değerlendirilmesi" başlığı altında düşünülmesi ve karara bağlanması gereken bir konu aslında.
3- Değerlendir ve Planla (Evaluate and Plan)
Bu fazda, daha önceki fazlarda değerlendirilen incelenen yamaların uygulanıp uygulanmayacağına karar verilir, uygulanacaksa hangi sistemlere nasıl uygulanacağı planlanır,uygulanması kararlaştırılan yamalar öncelikle canlı ortamın benzeri test ortamına uygulanır.
Siz de bt güvenlik ekipleri barındıran şanslı kurumlardan birindeyseniz yamalar/güncellemeler güvenlik ekiplerince incelendikten ve değerlendirildikten sonra, yamaların uygulanması aşaması "değişiklik talebi" (change request) ile başlar. Güvenlik ekibi değişiklik talebinde bahsi geçen yamaların önceliğini belirler. Öncelik benim de şimdiye kadar değerlendirildiğini görmediğim bir kavram. Önceliği belirleyen faktörler Microsoft'un güvenlik bültenlerindeki "Severity Rating", "Exploitability Index" değerleri, yamadan etkilenen bilgisayar sisteminin iş süreçlerindeki önem derecesi,yama uygulanana kadar tehlikeyi azaltacak ya da bertaraf edecek geçici çözümler (work-arounds) olarak düşünülebilir. Tüm bu etkenler dikkate alınarak risk değerlendirilmesi yapılmalı ve her yama için "Acil", "Yüksek","Orta" ve "Düşük" önceliklendirme yapılabilir. Yamanın ne kadar çabuk uygulanacağını bu önceliklendirme belirler. Siz de politikalarınızda her önceliklendirme seviyesi için zaman dilimi belirleyin. Acil öncelikli yamaların 24 saat içinde, Yüksek öncelikli yamaların 1 hafta içinde, Orta öncelikli yamaların 1 ay içinde, Düşük öncelikli yamaların 6 ay içinde uygulanması gibi.
Değişiklik taleplerinde yamadan etkilenen sistemler, sorun çıkması ihtimaline karşı geri dönüş planları (rollback plan ya da action) da açıkça belirtilmelidir. Neyseki Microsoft yamalarının büyük çoğunluğu "Program Ekle/Kaldır" menülerinden kaldırılabilir nitelikte,yani sorunlu yamayı sistemden kaldırmak artık kolay.
Acil olmayan değişiklik talepleri ,farklı bölümlerden temsilcilerden oluşan "Değişiklik Komitesi"nce değerlendirilip onaylanır.Acil değişiklik talepleri için ise Genel Müdür,Genel Müdür Yardımcısı, ülkemizde çok sevilen CISO,CIO gibi ünvanlara sahip yetkili bir makamın onayı yeterli olabilir.
Talep onaylandıktan sonra yamayı uygulayacak ekibe ya da personele iletilir. Yamayı uygulayacak personel de değişiklik talebini dikkate alarak yamayı hangi saatlerde,hangi sistemlere uygulayacağını planlar. Yama bilgisayar sistemi hafızasındaki kodu etkiliyorsa yeniden başlatma (reboot) gerektirecektir,ki güvenlik yamalarının büyük çoğunluğu yeniden başlatmayı gerektirir,bu sebeple kesintiyi en aza indirmek için yama geçişleri haftasonları, gece geç saatlerde yapılır. Kullanılan yama uygulama çözümüne göre bilgisayar sistemlerine gönderilecek yamalar da paket haline getirililebilir, böylece her sisteme aynı paketi göndermektense sadece ihtiyaç duyulan yamalar paket haline getirilebilir. İşte bu gibi ayrnıtıları da dikkate alan yama uygulayıcı ekip bir planlama yapar ve yamalar test ortamına uygulanır.
Test ortamının, kurum içindeki kritik öneme sahip sistemlerin gerçek ortamdaki haline en yakın bilgisayar sistemlerinden oluşuyor olması lazım. Canlı ortamdaki her rol için, yani birbirinden farklı her kritik sistem için, test ortamında bir eşleniğini oluşturmaya çalışın. En basitinden fiziksel 1 adet web, 1 adet veritabanı, 1 adet mail sunucunuz varsa test ortamında da aynı işletim sistemine, aynı uygulama sürümlerine sahip test eşleniklerini hazırlayın.Kalkıp da bir sanal sunucuya tüm rolleri yükleyip bu sunucuyu yama test sunucusu olarak kullanmak pek mantıklı değil. Canlı ve test ortamındaki sistemlerde yüklü uygulama versiyonları, yama seviyeleri de aynı olsun.
Test ortamına yama uygulanmasından sonra, ortamda çalışan uygulamaları mutlaka test ettirin. Kabul testi de diyebileceğimiz bu aşamada yazılım geliştiriciler bulunabilir, ama iş süreçlerini kullanan personelin testleri yapması daha doğru. Politikalarda belirleyeceğiniz süreler boyunca yamalar test ortamında test edildikten sonra bulguları rapor veya dokümante edin. Karşılaşılan sorunlar varsa çözmeye çalışmak, sorunlu yamayı kaldırmaktan daha güvenilir bir çözüm. Yamayı uygulamamak son çare olmalı. Ve mutlaka kabul testlerini, teste katılan ekibin onayıyla sonlandırın. Yamaların test edildiğine dair yazışmaları değişiklik taleplerine ekleyin. Karşılaşılan sorunları ve varsa çözüm yollarını bilgi bankalarına ekleyin. Test ortamına uygulanma aşamasından sonra yamanın canlı ortama aktarılması için daha önce hazırlanan planı gözden geçirin.
4- Dağıt (Deploy)
Bu faz iyi kötü her işletmede uygulanmaya çalışılan,yamaların etkilenen sistemlere uygulanması yani dağıtılması fazıdır.
Hazırlık, canlı ortam bilgisayar sistemlerine yamanın uygulanması, uygulama sonrası gözden geçirme aşamalarından oluşur.
Hazırlık aşamasında dağıtılacak yama paketleri merkezi yama dağıtım çözümlerinde hazırlanır,sunucu grupları oluşturulur ve dağıtım tarihi e-posta, kurumsal intranet gibi ortamlarda çalışanlara bildirilir ki kurumda özellikle istemci tarafında kapalı bilgisayar kalmasın. Yardım masaları karşılaşılabilecek sorunlar ve çözüm önerileri konusunda bilgilendirilir ( yamaların test ortamına uygulanması aşamasında edinilen bilgi birikimi ). Daha sonra belirlenen zaman diliminde - ki bu çoğu zaman haftasonu veya mesai saatlerinden sonra gecenin geç saatlerinde yapılır - yamalar etkilenen hedef sistemlere uygulanır. Uygulama sırasında ve uygulama sonrasında karşılaşılan sorunlar kayıt altına alınır, yama uygulama başarı oranı mutlaka ölçülmelidir.
Yama uygulanan bilgisayar sistemleri,başarı oranı, hatalar ve nedenleri rapor haline getirilip üst yönetimle paylaşılmalıdır. Bu istatiki veriler Bilgi Güvenliği Güvenlik Metrikleri olarak da kullanılabilir.
Bu fazın hazırlık ve yama uygulanması aşaması sistem yönetimi ekipleri tarafından, değerlendirme ve raporlama aşaması BT güvenlik ekipleri tarafından yürütülebilir.
V-Pro, AMT gibi teknolojiler yama yönetiminin bu aşamasında , çoğu zaman farklı şehirlerde bulunan bilgisayar sistemlerinin uzaktan kapatılıp açılmasında sistem yöneticilerinin işini çok kolaylaştırır.
Yama yönetimi çok kritik bir süreçtir kardeşlerim, detaylı dökümantasyon,titiz ve özenli çalışma gerektirir. Her yama en ince ayrıntısına kadar incelenmeli ve değerlendirilmelidir. Bu sürece hak ettiği değeri vermezseniz kendinizi tüm haftasonunu istemci ve sunucu bilgisayarlara geçilen yamanın neden olduğu sorunu gidermekle ya da sorunlu bir yamayı sistemlerden kaldırmakla uğraşırken bulabilirsiniz. Yama yönetimi deyince insanların aklına microsoft yamalarından başka birşey gelmez ama şunu da unutmayın, işletim sistemlerine kurulan uygulamaların güncellenmesi/yamanması da en az microsoft yamalarının uygulanması kadar önemli. Örneğin hemen her istemci ve sunucu bilgisayarda kurulu PDF Reader, Flash Player gibi Adobe ürünleri en fazla açık veren, en fazla yama yayınlanan ürünlerdir ama kimse bu ürünleri güncellemeyle uğraşmaz.Microsoft dışındaki ürünlerin merkezi güncellemesinin de yapılabileceği çözümleri mutlaka araştırın ya da mevcut çözümünüzde bu ürünlerin güncellenmesi için gerekli çalışmaları bir an önce başlatın.
Yama yönetim süreçlerindeki kesinti süreleri, başarı oranları gibi sizin için önemli kriterleri SLA (Servis Seviyesi Anlaşması) ile belirleyebilirsiniz.
Yama yönetimi araçları ve çözümlerinden daha sonraki yazılarda bahsedeceğim.
İlgili Yazılarım
Yama Yönetimi - Nass oluyor da oluyor? Microsoft Güvenlik Bültenleri
Yama Yönetimi - Nass oluyor da oluyor? Yama dağıtım merkezini korumak
Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı
Yama Yönetimi - Nass oluyor da oluyor? Masal
Hiç yorum yok:
Yorum Gönder