En iyi zafiyet analizi bile, bulunan açıklar zamanında kapatılmıyorsa bir işe yaramaz. Saldırganlar yeni yayınlanan bir zafiyeti günler, hatta saatler içinde sömürmeye başlar. Bu yüzden yama yönetimi sürecinizin ne kadar hızlı ve eksiksiz çalıştığı, güvenliğinizin en somut göstergelerinden biridir.
SAVKOR’un patch management denetimi, CIS Controls ve NIST rehberleri doğrultusunda yürütülür. Yama yönetimi sürecinizin olgunluğunu, kritik güncellemeleri uygulama hızınızı ve kapsamınızı değerlendirir; gecikmeleri, kapsam dışı kalan varlıkları ve süreç boşluklarını ortaya çıkarır. Yamalanamayan sistemler için ise telafi edici kontrollerin doğru kurgulanıp kurgulanmadığını inceler.
Test Kapsamı
- Yama yönetimi süreç olgunluğu
- Kritik güncelleme uygulama süreleri
- Yama kapsamı ve varlık görünürlüğü
- Test ve dağıtım süreçleri
- İstisna ve telafi edici kontrol yönetimi
- Yama uyum raporlaması
Metodoloji
- 01
Süreç İncelemesi
Mevcut yama yönetimi süreçleri ve araçları değerlendirilir.
- 02
Kapsam Analizi
Yama yönetiminin tüm varlıkları kapsayıp kapsamadığı incelenir.
- 03
Gecikme Değerlendirme
Kritik güncellemelerin uygulanma süreleri analiz edilir.
- 04
Boşluk Tespiti
Süreç eksiklikleri ve kapsam dışı varlıklar belirlenir.
- 05
Raporlama
Bulgular ve süreç iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve yama uyum görünümü
- Süreç olgunluğu değerlendirmesi
- Kritik güncelleme gecikme analizi
- Kapsam boşluğu ve öneriler
- İyileştirilmiş yama yönetimi süreç önerisi
Sık Sorulan Sorular
Bu bir zafiyet taraması mı?
Hayır. Bu bir süreç denetimidir. Zafiyet taraması 'hangi açıklar var' der; patch management denetimi ise 'bu açıkları kapatma süreciniz ne kadar hızlı ve eksiksiz çalışıyor' sorusunu yanıtlar. İkisi birbirini tamamlar.
Neden yama gecikmeleri bu kadar önemli?
Saldırganlar, yeni yayınlanan zafiyetleri günler içinde sömürmeye başlar. Bir yamayı uygulamada geçen her gün, açık bir pencere demektir. Denetim, bu pencereyi ne kadar hızlı kapattığınızı ölçer ve hızlandırmanın yollarını gösterir.
Hemen yama yapamadığımız sistemler var, ne olacak?
Bu normaldir; bazı sistemler (özellikle OT veya eski uygulamalar) hemen yamalanamaz. Denetim, bu durumlar için istisna yönetimi ve telafi edici kontrollerin (segmentasyon, izleme) doğru uygulanıp uygulanmadığını da değerlendirir.