CISA'nın Kritik Açıkların 3 Gün İçinde Yamanmasını Zorunlu Kılan Direktifi (BOD 26-04)

CISA'nın BOD 26-04 Direktifi Hakkında Genel Bilgi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Sivil Yürütme Şubesi (FCEB) kurumlarının güvenlik açıklarını hızla gidermek amacıyla Binding Operational Directive 26-04 (BOD 26-04) adlı yeni bir direktif yayınladı. Bu direktif, kurumların kritik ve istismar edilen güvenlik açıklarını 3 iş günü içinde yamalamasını zorunlu kılmaktadır. Direktif, özellikle ulusal güvenlik ve altyapı sistemlerinin korunmasına odaklanmaktadır.

BOD 26-04, CISA'nın Known Exploited Vulnerabilities (KEV) Kataloğunda yer alan açıkları hedef almaktadır. KEV Kataloğu, istismar edildiği tespit edilen ve acil müdahale gerektiren güvenlik açıklarını içermektedir. Bu direktif, kurumların siber tehditlere karşı direncini artırmayı ve siber saldırıların yayılmasını önlemeyi amaçlamaktadır.

Hedef Kitle ve Kapsam

BOD 26-04 direktifi, aşağıdaki kurumları kapsamaktadır:

• Federal Sivil Yürütme Şubesi (FCEB) kurumları
• Doğrudan CISA tarafından yönetilen sistemler
• CISA'nın tavsiye ve direktiflerine uymakla yükümlü diğer kuruluşlar

Önemli Uyarı: Bu direktif, yalnızca FCEB kurumlarını değil, aynı zamanda CISA'nın yetki alanına giren tüm kuruluşları da etkilemektedir. Kurumlar, direktif gerekliliklerini yerine getirmek için acil eylem planları oluşturmalıdır.

Adım Adım Uygulama Rehberi

1. Kritik Açıkların Tespiti

Kurumlar, CISA'nın KEV Kataloğunu sürekli olarak izlemeli ve aşağıdaki adımları takip etmelidir:

1. KEV Kataloğunu Kontrol Edin: CISA'nın KEV Kataloğuna düzenli olarak göz atın ve kurumunuzu etkileyebilecek açıkları belirleyin.

   curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json | jq '.vulnerabilities[] | {cveID, vendorProject, product, vulnerabilityName}'

2. Sistem Envanteri Oluşturun: Kurumunuzdaki tüm sistemlerin ve yazılımların envanterini çıkarın. Bu, hangi sistemlerin hangi açıkları etkilediğini belirlemenize yardımcı olacaktır.

   # Windows sistemler için
   Get-WmiObject -Class Win32_Product | Select-Object Name, Version
   
   # Linux sistemler için
   apt list --installed
   rpm -qa

3. Güvenlik Açıklarını Tarama: Sistemlerinizi otomatik tarama araçlarıyla tarayarak, KEV Kataloğunda yer alan açıkların varlığını kontrol edin.

   # Nessus taraması örneği
   nessuscli scan new --targets  --policy-id 

2. Acil Yamaların Uygulanması

Kritik bir açık tespit edildiğinde, aşağıdaki adımları izleyerek yamayı uygulayın:

1. Yama Sürümünü Kontrol Edin: Açığın giderildiği yama sürümünü belirleyin. CISA'nın KEV Kataloğunda genellikle yama sürümü belirtilmektedir.

   # Örnek: CVE-2023-12345 için yama sürümü
   curl -s https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-12345 | grep "Fixed In Version"

2. Yamayı Test Ortamında Uygulayın: Yamayı üretim ortamına uygulamadan önce, test ortamında doğrulayın. Bu, beklenmeyen sorunların önüne geçecektir.

   # Windows Update ile yama uygulama (test ortamında)
   wuauclt /detectnow /updatenow

3. Yamayı Üretim Ortamında Uygulayın: Test ortamında başarılı olan yamayı üretim ortamına uygulayın. Bu adımda, aşağıdaki komutları kullanabilirsiniz:

   # Windows sistemler için
   Install-Package -Name  -Force
   
   # Linux sistemler için (Debian tabanlı)
   sudo apt update && sudo apt install --only-upgrade 
   
   # Linux sistemler için (RHEL tabanlı)
   sudo yum update 

4. Yamanın Doğrulanması: Yamayı uyguladıktan sonra, sistemlerin çalışır durumda olduğundan ve açığın kapatıldığından emin olun.

   # Windows sistemler için
   Get-HotFix | Where-Object {$_.HotFixID -eq "KB5000000"}
   
   # Linux sistemler için
   apt list --installed | grep 

3. Raporlama ve Takip

Yamaların uygulanması ve doğrulanmasının ardından, aşağıdaki adımları izleyerek CISA'ya raporlama yapın:

1. Yama Uygulama Kaydını Tutun: Hangi sistemlere hangi yamaların uygulandığını kaydedin. Bu kayıtlar, denetimler sırasında kullanılacaktır.

   # Excel veya veri tabanına kayıt örneği
   | Sistem Adı | CVE Kimliği | Yama Sürümü | Uygulama Tarihi | Durum |
   |------------|-------------|-------------|-----------------|-------|
   | Sunucu-01  | CVE-2023-12345 | 1.2.3       | 2023-10-01      | Başarılı |
   

2. CISA'ya Rapor Gönderin: CISA'nın belirlediği formatta raporu gönderin. Rapor, yama uygulama sürecini ve sonuçlarını içermelidir.

   # Rapor örneği (JSON formatında)
   {
     "report": {
       "agency": "FCEB Kurumu",
       "vulnerability": "CVE-2023-12345",
       "patch_status": "Applied",
       "patch_date": "2023-10-01",
       "systems_affected": ["Sunucu-01", "Sunucu-02"],
       "notes": "Yama test ortamında doğrulandı ve üretim ortamına uygulandı."
     }
   }

3. İzleme ve Güncelleme: Raporlama sonrasında, sistemlerinizi sürekli olarak izleyin ve yeni açıkların tespiti için KEV Kataloğunu düzenli olarak kontrol edin.

En İyi Uygulamalar ve İpuçları

1. Otomasyonun Önemi

Kurumlar, yama uygulama sürecini otomatikleştirerek insan hatasını minimize edebilir ve süreci hızlandırabilir. Aşağıdaki araçlar kullanılabilir:

• WSUS (Windows Server Update Services): Windows sistemler için otomatik yama yönetimi sağlar.

  # WSUS sunucusu yapılandırma
  Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

• Ansible: Sistemlerin otomatik olarak yamanmasını sağlayan bir otomasyon aracıdır.

  # Ansible playbook örneği
  yaml
  ---
  - name: Apply security patches
    hosts: all
    tasks:
      - name: Update all packages
        apt:
          upgrade: dist
        when: ansible_os_family == 'Debian'
  

• Puppet: Sistemlerin konfigürasyonunu ve yamalarını yönetmek için kullanılan bir araçtır.

İpucu: Otomasyon araçları kullanırken, test ortamında önce deneyin ve üretim ortamına uygulamadan önce tüm senaryoları doğrulayın.

2. Acil Durum Planı

Kritik bir açığın tespit edildiği durumlarda, aşağıdaki acil durum planını izleyin:

1. Tespit ve Bildirim: Açığı tespit eden kişi veya ekip, CISA ve ilgili paydaşları derhal bilgilendirmelidir.
2. Geçici Çözümler: Açığın kapatılması için yama uygulanana kadar geçici çözümler uygulayın. Örneğin, sistemleri ağdan izole edin veya erişim kontrollerini sıkılaştırın.

   # Linux sistemlerde erişim kontrollerini sıkılaştırma
   sudo iptables -A INPUT -p tcp --dport 22 -j DROP
   

3. Yama Uygulama: Acil durum planına uygun olarak yamayı uygulayın ve sistemlerin çalışır durumda olduğundan emin olun.

3. Eğitim ve Farkındalık

Kurum çalışanlarının siber güvenlik konusunda eğitilmesi, yama uygulama sürecinin başarısını artıracaktır. Aşağıdaki eğitimler düzenlenmelidir:

• Güvenlik açıklarının tespiti ve raporlanması
• Yama uygulama süreci ve en iyi uygulamalar
• Siber tehditlere karşı farkındalık

Zorluk Seviyesi ve Sonuç

BOD 26-04 direktifinin uygulanması, orta düzey zorluk olarak değerlendirilmektedir. Kurumlar, aşağıdaki zorluklarla karşılaşabilir:

• Sistem envanterinin eksikliği
• Yama uygulama sürecinin karmaşıklığı
• Kaynak ve personel eksikliği

Ancak, doğru planlama ve otomasyon araçlarının kullanılmasıyla, bu zorlukların üstesinden gelmek mümkündür. Direktifin uygulanması, kurumların siber güvenlik direncini artıracak ve ulusal güvenliğe katkı sağlayacaktır.

Kaynaklar ve İleri Okuma

Aşağıdaki kaynaklar, BOD 26-04 direktifinin daha iyi anlaşılmasına yardımcı olacaktır:

• CISA BOD 26-04 Sayfası
• CISA KEV Kataloğu
• NIST Ulusal Güvenlik Açığı Veritabanı (NVD)