Patch (yama), yazılım, appliance veya donanım üreticisi şirketlerin, yazılımlarını (donanımlarda firmware, mikrokod veya gömülü sistemler de dahil olmak üzere) performans, hız, teknoloji, uyumluluk, strateji, siber güvenlik maksadı ile güncellemek ya da hatalarından arındırmak için hazırladıkları paketlere verilen isimdir.

Yapılan araştırmalarda siber saldırıların %44’ünün 2 veya daha fazla yıldır yamaları yayınlanmış olmasına rağmen yama işleminden geçirilmemiş zafiyetlerden kaynaklandığı belirtilmektedir. Gartner “Structured Patch Management Reduces Risk and Keeps Business Alignment” konulu raporlarda bir yıl öncesine göre yama yönetimi yapılmamasından kaynaklı oluşan felaketlerin bir önceki yıla göre %15 arttığı söylemektedir. Örneğin birçok ülkede sistemleri etkileyen ve hizmetlerin aksamasına yol açan WannaCry fidye yazılımının aylar önce duyurulan ve yaması yayınlanan Microsoft SMB uzaktan kod çalıştırma açıklığından kaynaklandığı biliyoruz. Saldırının çok yaygın bir şekilde görülmesinin nedeni olarak yama güncellemesinin aylar önceden duyurulmasına rağmen önlemlerin zamanında alınmamasından kaynaklandığı vurgulanmaktadır. Bu bulgular yama yönetiminin hep gözden kaçırılan ancak ciddi güvenlik ve performans sorunlarına yol açan bir etmen olduğunu ortaya koymaktadır. Yama yönetimi çok önemli olmakla birlikte kurum veya işletmelerde çalışan BT yöneticilerinin sistemlerinde çalışan onlarca belki binlerce bilişim cihazının (Bilgisayar, Sunucu, Anahtarlama Cihazı, İp Kamera, Router, Güvenlik Duvarları …vb) ve yazılımlarının yama veya versiyon güncellemelerini takip etmeleri uygun bir altyapı ya da hizmet olmaksızın imkansız görünmektedir.

Bununla beraber işletmelerde BT hizmetleri için yeterince personel ve finansman ayrılmadığı için yama yönetimi en son planda kalmaktadır. Öte yandan bir yazılım için yayınlanan herhangi bir yamanın uygulanıp uygulanmayacağı konusu da işletme BT yöneticileri için ayrı bir araştırma ve arge konusu olup, efor ve performans gerektirmektedir. Örneğin bir işletmede bulunan en az 50 adet yazılım ve donanımın güncelliğinin takip edilmesi, yama uygulandığı durumda yaşanabilecek sorunların araştırılması, yama uygulanmadığı zaman oluşabilecek risklerin araştırılması için bile birçok internet sitesinden birçok blogdan ve üretici sayfalarından araştırma gerekmektedir. BT Sistemlerindeki eksik yama ve güncellemelerden dolayı oluşacak olan güvenlik açıklarının BT yöneticileri tarafından geç farkedilmesi, kurumsal verilerin güvenliğinden başlamak üzere, kişisel verilerin güvenliği riskine, hatta milli güvenlik ile ilgili oluşan risklere kadar çok önemli sorunları ortaya çıkarmaktadır. Bunun yanısıra son yıllarda BT sistemlerinde kullanılan ürün yelpazesinin genişlemesi neticesinde sistemde çalışan ürünlerin bakım ve lisans sürelerinin takibi ve iş sürecine dahil edilmesi önemli bir kaynak ihtiyacı ve maliyet olarak ortaya çıkmaya başlamıştır.

Özetleyecek olursak;

· Güvenlik amaçlı yama yönetiminin düzenli ve etkin yapılması

· Performans amaçlı yama ve versiyon yönetiminin düzenli ve etkin yapılması

· Teknolojik yenilik, entegrasyon ve kullanım kolaylığı için getirilen yama ve versiyon yönetiminin düzenli ve etkin yapılması

· Envanterde bulunan ve lisanslı/bakımı biten ya da bitecek olan ürünlerin düzenli takibinin yapılması

· Güvenlik ve diğer beklentileri karşılayacak şekilde üreticilerin değerlendirilmesi

· Çıkan güncellemeleri uygulama çevikliği açısından BT ekibinin performans açısından değerlendirilmesi

· Çıkan güncellemelere karşı daha önce yaşanan ya da başka işletmelerin yaşadıkları sorunların öngörülmesi

· Güncellemelerin zamanlanarak birbiri ile çakışmasının ve karmaşıklığın önüne geçilmesi

İçin her işletmede bir çözüme ihtiyaç duyulmaktadır. Ancak gördüğüm kadarı ile piyasadaki yama yönetim araçlarının bu açıkları kapatmada bazı eksikliklikleri vardır.

Örneğin yama yönetim yazılımlarının IOT cihazlarını (ip telefon, ip kamera, router, switch vb) genellikle takip etmediği, yalnızca güvenlik bakış açısı ile son kullanıcı bilgisayarlarını takip ettikleri, işletmenin yönetmesi gereken envanterin piyasada artık satılıp satılmadığını (end of sales) ve yayınlanan versiyonun destek zamanının ne zaman bittiğini (end of support time) takip etmemektedirler. Benim işletme ve kurumlara tavsiyem Yama Yönetimine özel olarak ilgilenmeleri bunun için işletmenin büyüklüğüne göre ayrı takım kurmaları veya görevlendirme yapmaları gerektiğidir. İşletmede var olan

· Tüm işletim sistemlerinin (Client, Host, Sanallaştırma Sunucuları)

· Tüm 3. Taraf uygulamalarının

· Veri merkezinde kullanılan tüm merkezi yazılımların

· İşletmenin veya kurumun geliştirdiği uygulamaların

· Dış kaynağa geliştirilen uygulamaların

· Kurumda kullanılan fiziksel sunucu, güvenlik cihazı, network cihazları, storage ve yük dengeleme cihazları gibi fiziksel cihazların firmware ve driver güncellemelerinin

· Kurumlarda alınıp unutulan ancak siber güvenlik açısından çok önemli olan IOT cihazlarınının (ip telefon, ip kamera, router, switch vb) firmware ve driver güncellemelerinin

Yamaları türüne (security patch, bug fix vb.) ve öncelik (kritik, yüksek vb.) derecesine göre sınıflandırılarak takip edilmesi gerekir.

Burada iç ve dış kaynak tarafından geliştirilen uygulamalara ayrı bir parantez açmak istiyorum synopsys firmasının 2020 de yayınladığı bir rapora göre 2016 yılında uygulama başına 84 açık kaynak bileşen kullanılıyorken 2020 yılında bu sayı 528 e çıkmıştır. Yani günümüzde neredeyse açık kaynak bileşen kullanmadan yazılım yazmak imkansızdır. Ancak bu konu kolaylıkların yanı sıra bir çok riski de beraberinde getirmektedir. İşletmelerin hangi açık kaynak bileşen kullandıklarını, ne zaman ve nereden indirdiklerini, güncel olup olmadığını mutlaka kontrol etmeleri gerekmektedir. Software composition analysis (SCA), Open source library analysis, 3 rd dependency, Open source security gibi çeşitli adlar alan bu konu oldukça önemli. En azından işletme ve kurumlarımızın Owasp dependency check, retire.js, synk gibi ücretsiz toollar kullanarak sık sık bu taramaları yapmalarında fayda görüyorum.

Kurban Bayramınızı en içten duygularımla kutlarken, yazımı Denzel Washingtonun bir ödül töreninde söylediği şu sözle bitirmek istiyorum.

“Adanmışlık şart. Kolaylık; ilerlemek için zorluktan daha büyük bir tehdittir...”