İnternet bağlantısını kesin
(computer.rip)- CrowdStrike vakası gibi büyük güvenlik olaylarının ardından sıkça “internete bağlı olmamalıydı” tepkisi geliyor; ancak birçok iş sistemi için temel işlev bilgi alışverişi olduğundan, sorunu basitçe bağlantıyı keserek çözmek mümkün değil
- Havayolu rezervasyon ve planlama sistemleri gibi, kurum ve bölge sınırlarını aşan sistemler telefon ve telgrafın yerini alan birer iletişim altyapısına daha yakın; ağ bağlantısını kaldırdığınızda, asıl değer de ortadan kalkıyor
- “İnternete bağlı değil” ifadesi tek bir şeyi anlatmaz; tekil cihazdan katı air gap’e, data diode’a, özel WAN’a, VPN tüneline, sınırlı yönlendirmeye ve AWS private VPC’ye kadar uzanabilir; bu da tehdit modelini büyük ölçüde değiştirir
- Çevrimdışı veya sınırlı bağlantılı ortamlarda OS güncellemeleri, paket yöneticileri, iç depolar, TLS trust store’ları, bulut lisansları, içerik güncellemeleri ve Docker imajlarının işlenmesi dahil her şey zaman ve maliyeti yukarı iter
- Daha fazla sisteme sınırlı ağ politikaları uygulamak ve yazılımları çevrimdışı işletimi dikkate alarak geliştirmek mümkün olsa da, bugünkü yazılım ekosistemi hâlâ internet bağlantısını varsayılan kabul ediyor
“İnternete bağlamayın” sözünün sınırları
- Büyük güvenlik olayları haber olduğunda, “bu tür sistemler internete bağlı olmamalı” tepkisi tekrar tekrar ortaya çıkar
- Bu yargı güvenlik ve istikrar açısından sezgisel olarak çekici olsa da, pratikte gerçekten bu şekilde işletilen ortam sayısı fazla değildir
- Asıl sorun, “internete bağlanmıyor” ifadesinin tek başına gerçek tasarımı, işletim maliyetini ve tehdit modelini yeterince tanımlayamamasıdır
Modern iş sistemleri iletişim cihazlarına daha yakındır
- Soyut olarak bilgisayarlar hesaplama yoluyla değer üretebilir, ancak endüstriyel sahadaki sistemler hesaplamadan çok bilgi teknolojisi niteliği taşır
- Bilgi teknolojisi bilgiyi alıp üretmek zorundadır; geçmişte operatörün teyp takması gibi yöntemler, gerçek zamanlı iletişime kıyasla daha pahalı ve daha yavaştır
- Modern iş bilgisayarlarının büyük çoğunluğu fiilen iletişim cihazı gibi çalışır
- Başka iş sistemleriyle bağlantı kurmadan değer üreten sistem sayısı çok değildir
- Bu bağlantılar çoğu zaman kurum sınırlarını ve coğrafi sınırları aşar
- Havayolu rezervasyon ve planlama sistemleri, telefon ve telgrafın yerini alan sistemlerden doğmuştur; ağ, işlevin kendisinin bir parçasıdır
Bakım ve işletim için de ağ gerekir
- Gerçek zamanlı iletişimin işin amacı açısından zorunlu olmadığı sistemlerde bile ağ bağlantısı işletim açısından büyük değer taşır
- İnternet bağlantısı yoksa, yazılım güncellemelerinin nasıl alınacağı ve sistemin nasıl izleneceği gibi temel konularda hemen engeller çıkar
- Sistem “tamamlanmış” kabul edilip güncelleme ya da gerçek zamanlı izleme gerekmeyeceği varsayılsa bile, iş gereksinimleri zaman içinde değişir
- Ağ bağlantısı bu tür değişiklikleri yönetmenin maliyetini büyük ölçüde düşürür
“İnternete bağlı değil” ifadesinin birçok seviyesi vardır
- “İnternete bağlı değil” durumu tek bir anlam taşımaz; farklı uygulama biçimlerinin oluşturduğu bir kümedir
- Olası biçimler tam kopukluktan sınırlı bağlantıya kadar geniş bir yelpazeye dağılır
- Hiç ağ bağlantısı olmayan tekil cihaz
- Özel LAN dışında bağlantısı olmayan ve verinin güvenlik sınırını aşmadığı katı bir air gap
- Verinin DVD-R ile güvenlik sınırının içine taşındığı bir air gap
- Düşük güvenlikli ağdan yüksek güvenlikli ağa veri taşımak için cross-domain solution veya data diode kullanılan yapı
- NSA sertifikalı olmayan bir cross-domain solution kullanan yapı
- Özel geniş alan ağları da kendi içinde çeşitli seviyelere ayrılır
- Tamamen bağımsız fiziksel altyapıya ve kurcalamaya karşı önlemlere sahip özel WAN
- Paylaşımlı kanal, leased dark fiber veya lit fiber’ın wavelength’inin kullanıldığı yapı
- MPLS tabanlı virtual private ethernet
- Şifreleme ve kimlik doğrulama içeren tünelleme tabanlı virtual private ethernet
- Genel iletişim ağı üzerindeki özel trafik de bazen “bağlı değil” diye anılır
- İnternet gibi bir common-carrier network üzerinde donanım cihazlarının şifreli ve kimlik doğrulamalı tünel kurduğu yapı
- NSA sertifikalı olmayan cihazların kullanıldığı yapı
- İşletim sisteminin ağ yığını düşük seviyede yapılandırılarak tünel dışı kaçışların engellendiği, doğrulanmış yazılım tüneli
- Doğrulama seviyesi daha düşük yazılım tüneli
- WireGuard ile iptables betiklerinin birleştirildiği yapı
- Sınırlı internet bağlantısı da aynı sözle anılabilir
- Policy-based routing gibi yöntemlerle yalnızca son derece dar trafik akışlarına izin veren özel ağ
- İzin verilen akışların eski Jira ticket’larında kaldığı ve bazılarının sadece “çalışsın diye” eklendiği yapı
- Giden trafiğin görece serbest, gelen trafiğin ise katı güvenlik duvarlarıyla sınırlandığı yapı
- Bulut ortamlarında da kapsam değişkendir
- Dış yönlendirmesi olmayan AWS private VPC
- PrivateLink vb. ile başka private VPC’lerle haberleşen VPC
- Bağlı bazı VPC’lerin internetle yönlendirildiği yapı
- NAT Gateway ve Internet Gateway bulunan ama security group’ların iki yönde de sıkı tanımlandığı yapı
- Bu biçimlerin tamamı bazı durumlarda “internete bağlı değil” diye adlandırılmış olsa da, saldırı yüzeyi ve riskleri birbirinden farklıdır
- Bir havayolu rezervasyon sistemi için “internete bağlamayın” denildiğinde bununla tamamen ağsız bir durum kastedilmiyorsa, pratikte bu ara seviyelerden biri kastediliyordur ve her seviyede operasyonel değerlendirmeler değişir
Çevrimdışı ortamlar maliyeti ve takvimi ciddi biçimde büyütür
- İnternet bağlantısı olmayan ya da çok sıkı sınırlandırılmış ağlarda yazılım işletmek, takvim ve maliyet tahminlerini ciddi biçimde şişirir
- AWS private VPC gibi daha zayıf biçimler için yaklaşık 3–5 kat öngörülebilir
- Tam kopukluğa yakın güçlü biçimlerde bu 10 katı aşabilir
- Neredeyse tüm yazılım ekosistemi internet bağlantısı varsayımıyla tasarlanmıştır
- İşletim sistemleri güncellemeleri çevrimiçi sunuculardan almaya çalışır
- Ücretli OS sağlayıcıları, özel ağ içi güncelleme altyapısını ayrı ücretli lisansla sunabilir
- Ücretsiz OS’lerde bunu kendiniz çözebilirsiniz ama yeni teknolojiler kullanılıyorsa ciddi zahmet doğabilir
- Geliştirme ve dağıtım süreçlerinde çeşitli paket yöneticileri ve iç depo sorunları tekrar tekrar ortaya çıkar
- Her paket yöneticisinin özel iç depo desteği farklı düzeydedir
- Birden fazla paket yöneticisi, çağırma yöntemi ve çalışma ortamı bir araya gelince karmaşıklık büyür
- Dahili servislerin TLS sertifikaları da yinelenen işler yaratır
- Özel ağ içindeki servisler çoğu zaman genel CA’lerin root programlarında yer alan sertifikaları kullanmaz
- JRE gibi ayrı trust store’a sahip bileşenler vardır ve bazı teknoloji yığınlarında davranış kullanılan kütüphaneye göre değişir
- İşletim sistemi trust store’u bulunsa bile araçların kendi depolarını kullanması durumunda ayrıca ayar yapmak gerekir
- Bulut lisansları ve entitlement doğrulaması da engel oluşturur
- Bazı yazılımlar bulut lisansını doğrulamak için dışarı bağlanmaya çalışır
- Geçici çözümler, büyük ölçekli güvenlik duvarı istisnalarından özel lisanslama düzenlerine kadar uzanabilir ve zaman alabilir
- Çevrimdışı içerik güncellemeleri, yalnızca sağlayıcının süreci yüzünden bile karmaşıklaşabilir
- Bir kurumsal yazılım örneğinde, eski bir müşteri destek portalı ve ayrı bir entitlement portalı üzerinden geçmek gerekmiştir
- Hesap açılışı ve eskalasyon üç aydan uzun sürmüş, son portaldaki TLS sertifikası da geçersiz çıkmıştır
- Belgelenmiş güncelleme uygulama prosedürü artık çalışmadığı için mühendislerle uzun e-posta yazışmaları gerekmiştir
- Beş haneli bedelle alınan 1 yıllık lisans, kullanıma hazırlanma sürecinde neredeyse bitmiş; uzatma lisansının gecikmesi CI pipeline’ın durmasına yol açmıştır
- Çevrimdışı işletimin zorluğu, tek tek bir işin imkânsız olmasından çok, her işin biraz daha zor hâle gelmesiyle oluşan bir death by a thousand cuts durumuna yakındır
- Çevrimdışı ortam düşünülmeden geliştirilmiş ürünler çoğu zaman geçici betikler ve yamalarla idare edilir; bunun teknik borcu da çevrimdışı ortamı işleten müşteriye kalır
- Red Hat bu alana görece iyi yanıt verir, ancak kazanılan zamanın bedeli doğrudan parayla ödenir
Bu ortamlar nadirdir ve belirli sektörlerde yoğunlaşır
- Güçlü biçimde internetten ayrılmış ortamlar en çok savunma ve istihbarat kurumlarında görülür
- Bazı bankalar da güçlü ağ ayrımı uygulamalarına sahiptir
- Savunma, istihbarat ve bankacılık; maliyetlerin yüksek, süreçlerin yavaş olduğu sektörler olarak da bilinir ve bunun bu işletim biçimiyle ilgisiz olduğu söylenemez
- Daha zayıf biçimde sınırlı bağlantılı ortamlar ise çoğunlukla finans ve sağlık gibi yüksek regülasyonlu sektörlerde yaygındır
- Güvenliği çok ciddiye alıp ağları sert biçimde kilitleyen sıradan yazılım şirketleri de zaman zaman görülür
Bugün uygulanabilecek pratik yaklaşım
- Daha az sistemin internete bağlı olduğu bir yöne gitmek başlı başına kötü bir fikir değildir
- Ancak bugünkü yazılım endüstrisi, internetin olmadığı ya da sınırlı olduğu ortamlarda rahat çalışacak şekilde hazırlanmış değildir
- Bu nedenle gerçekçi yaklaşım, tam kopukluk talep etmekten çok sınırlı bağlantıyı ve çevrimdışı dayanıklılığı artırmaya yakındır
-
Ağ politikalarını mümkün olduğunca kısıtlamak
- Mümkün olduğunca çok sisteme sınırlı ağ politikaları uygulanmalıdır
- Bulut sağlayıcıları geçmişe göre bu tür kurulumları daha kolay hâle getiriyor
- AWS üzerinde pratik, internetsiz yönlendirme ortamları işletmek çok kolay değildir ama imkânsız kadar zor da değildir
- AWS managed service sınırları içinde kalınırsa acı genelde daha az olur, ancak bir maliyeti vardır
-
Yazılımı çevrimdışı ortamları dikkate alarak geliştirmek
- Dışarı bağlanması gereken özellikler mümkünse devre dışı bırakılabilmelidir
- Devre dışı bırakmak zorsa, kullanılacak endpoint’i müşteri değiştirebilmelidir
- Endpoint değiştirilebiliyorsa, müşterinin kendi endpoint’ini işletebilmesine yönelik bir yöntem de olmalıdır
- Basit statik dosyalar söz konusuysa bunu nginx ve bir dizinle kolayca sunmak mümkündür
- Eğer bir API ise, iç uygulamanın müşteriye dağıtılması gerekebilir ve bu da bakım yükü getirir
-
TLS ve bağımlılık varsayımlarını azaltmak
- Çevrimdışı ortamlarda başka servislere bağlanma gibi küçük varsayımlar hızla karmaşıklaşır
- Let’s Encrypt’e erişim olduğu varsayılmamalıdır
- Çevrimdışı ortamlar neredeyse her zaman dahili bir sertifika otoritesini içerir
- system trust store kullanılmalıdır
- Dağıtım anında gereksinim veya bağımlılık çekilmemelidir
- Docker’ın avantajlarından biri paketleri kendine yeterli hâle getirmesiydi, ancak npm deposuna vb. erişemeyen bazı container’lar daha baştan çalışamaz
- Her Docker container’ının TLS trust store’unu ayrıca değiştirmek gerekebildiği için, çevrimdışı ortamlarda Docker yönetimi bazen daha da zorlaştırabilir
CrowdStrike vakası ile internet bağlantısının ilişkisi
- CrowdStrike vakası için defalarca “neden internete bağlıydı?” tepkisi verildi, ancak internet bağlantısının varlığı o sırada yaşanan sorunla neredeyse ortogonal bir ilişkidedir
- CrowdStrike içerik güncellemesi, ideal koşullarda çevrimdışı ortamlara da hızla ulaştırılması gereken türden bir güncellemedir
- Gerçek, güçlü çevrimdışı ortamlarda dahili CrowdStrike güncelleme mirror’ları günlerce, haftalarca, aylarca hatta yıllarca geride kalabilir
- Böyle bir gecikme sorunun yaşanmamasını sağlayabilir, ancak bu daha çok iki hatanın üst üste gelerek tesadüfen işe yaradığı bir duruma benzer
1 yorum
Hacker News yorumları
Güvenlik/sistemler/operasyon tarafında çalışıyorum ama bu önermeye temelden katılmıyorum. Yazarın “o kadar kolay değil” demesini anlıyorum ve buna tamamen katılıyorum; ama bu, işin iyi yapıldığı anlamına gelmiyor
Ne yazık ki çoğu kişi işini iyi yapmıyor; sektörün tamamı da işi kötü yapsanız bile ayakta kalmayı mümkün kılacak, iyi yapmayı ise zorlaştıracak şekilde tasarlanmış durumda
Dijital signage dağıtıyorsanız, ağ erişimi yalnızca benim sunucu IP adreslerim için izin listesine alınmalı; yalnızca imzalı güncellemeler ve certificate pinning ile kurulmuş bağlantılar kabul edilmeli
Bunu yaparsanız uzaktaki bir saldırganın müdahale etmesi neredeyse imkânsız hale gelir. Nesnelerin internetinin (IoT) yayılmasıyla büyüyen güvenlik sektörüne bakınca, açık portları ve varsayılan parolaları duran signage ya da başka IoT/SCADA/dağıtım cihazlarının kesinlikle olduğunu görüyoruz
IoT aslında sadece bir bilgisayar; ama hâlihazırda düzgün işletilemeyen sunuculardan veya sanal makinelerden bile daha fazla ihmal edilen bir bilgisayar
Bunu iyi yapan yerler de var ama çok az; çünkü iyi yapmaları için ödüllendirildikleri bir yapı yok. “En iyi uygulamalar”ı veya tedarikçi yönergelerini izlemek, işi iyi yaptığınız anlamına değil; çoğu zaman yalnızca tedarikçinin destek vereceği kadarını yaptığınız anlamına gelir ve birçok durumda sınırsız ağ erişimi demektir
Ağ hataları, kripto açıkları, yapılandırma hataları ve uzaktaki saldırganların sistemi kötüye kullanmasına yol açabilecek diğer sorunlar için hâlâ endişelenmeniz gerekir. Bu iddiayı savunacaksanız yalnızca daha sıkı kapatılmış bir örnek değil, kelimenin tam anlamıyla internete bağlı olmayan bir örnek vermelisiniz
Blog yazarıyla nerede ayrıştığını pek anlayamadım. Yoksa insanların bunu yapacak yetkinliği olmadığı için internete bağlı sistemlerin güvenliğini iyileştirmenin temelde imkânsız olduğunu mu söylüyorsun?
İsveç’te internetten ayrılmış özel bir ağ olan Sjunet var ve sağlık hizmeti sağlayıcıları bunu kullanıyor. Amaç, bilgisayarları değerli iletişim cihazları haline getirirken hastane IT’sini tüm internete maruz bırakmamak
Sjunet üyelerinin kendi ağlarını bilmeleri ve IT’yi sıkı şekilde kontrol etmeleri bekleniyor
Sjunet, sektör ölçeğinde bir air gap ortamı olarak da görülebilir. Güvenliği artırırken, her kuruluşun dev bir izin listesine sahip kendi air gap ağını işletmesine kıyasla daha düşük maliyetli olduğu düşünülüyor
Sahte bir güven hissi veriyor ve kötü güvenlik politikalarına bahane oluyor. Bant genişliği düşük ve pahalı
İlçe idareleri, belediyeler gibi kurumları birbirine bağlayıp vatandaşların kişisel bilgilerinin saklandığı merkezi veritabanına erişmelerini sağlayan bir ağ. Adres değişikliği, yeni kimlik kartı çıkarma, doğum ve evlilik kaydı gibi işler için kullanılıyor
Bildiğim kadarıyla “Źródło” uygulaması ayrı bir “air gap” bilgisayarda çalışıyor; internete çıkışı yok ama iç ağa erişimi var ve akıllı kart üzerinden kriptografik istemci sertifikası ile kimlik doğrulaması yapıyor
Hepsi en güncel yamalarla mı çalışıyor? İnsanların rastgele USB aygıtları takmadığını biliyor musunuz?
Tor’a benzer ama şüpheli şeyler olmadan gibi bir his verse güzel olurdu
Kontrol mühendisi olarak yüzlerce makine yaptım. Saha veri yolu ağları için Ethernet kabloları var, ama bunların kesinlikle internete bağlanmaması gerekir.
Mahalledeki sanayi sitelerinde, her takım ve kalıp atölyesinde internete açılmaması gereken Ethernet portlu CNC makineleri var. Özel ekipmanlar, konveyör hatları, presler, robotlar, CNC’ler, pompa istasyonları vb. bulunan her üretim tesisi Ethernet kullanır; ancak internete maruz bırakılmaya uygun olmayan PLC ve HMI sistemleri kullanır.
Yazı, modern iş bilgisayarlarının neredeyse çoğunlukla iletişim cihazları olduğunu ve diğer iş sistemlerine bağlı olmadan değer üreten çok fazla pratik sistem bulunmadığını söylüyor; ama tüm imalat sektörünü ve o imalatın ürettiği elektronik cihazları görmezden geliyor.
Milyonlarca gömülü sistem ve PLC, her 1 milisaniyede bir fiziksel ve mantıksal dijital girişlerin durumunun değişip değişmediğini kontrol eder; değiştiyse fiziksel ve mantıksal dijital çıkışların durumunu değiştirerek bütün gün değer üretir.
Dökümü 100 yıldan fazla önce yapılmış, son güncellemesi de 2003’te reçete ayarı için bir PLC ve siyah-beyaz ekran eklemek olan bir direnç kaynak makinesine 2024 model bir güvenlik sistemi koymaya gerek yok. Elinizde pano ile gidip hedef değerleri girmeniz ve çeliği doğru şekilde eritmeniz yeterli.
Genelde böyle makinelere bağlanmak için bir dizüstü bilgisayar alıp Ethernet patch kablosuyla makinenin önüne kadar yürümeniz gerekir. Daha fazlası gerekiyorsa müşteriden bunu güvenlik duvarı olan bir operasyonel teknoloji (OT) ağında tutmasını ya da Tosibox, Ixon gibi SCADA/VPN cihazlarıyla bilgi teknolojisi (IT) ile OT arasını bağlamasını beklersiniz.
Sizin uğraştığınız şey birinin kötüye kullanmak isteyeceği bir hedef olmayabilir; ama PLC’ler kritik altyapıda ve ileri imalat tesislerinde sık bulunduğundan kötü niyetli aktörler için cazip hedeflerdir. Kritik altyapıyı kötüye kullanmaya çalışabilir ya da bir gün mühendislik dizüstü bilgisayarı gibi yüksek değerli bir uç noktanın doğrudan bağlanabileceği zayıf güvenlikli bir cihazı enfekte etmeye çalışabilirler.
https://www.cisa.gov/news-events/cybersecurity-advisories/aa... - Su altyapısı
https://claroty.com/team82/research/evil-plc-attack-using-a-...
İnternet merkezli geliştirme pratiklerini kullanılamaz hâle getirdiği için sistemleri hava boşluklu yapmamak gerektiği iddiası hâlâ bana ikna edici gelmiyor. Bu iddianın saçma olduğunu düşünüyorum.
Ethernet portunun epoksiyle kapatılması gereken bir sistemse, en başta internet merkezli geliştirme pratikleriyle programlanmamalıydı. Bir MRI cihazı açılırken NPM’den JS bağımlılıkları mı çekiyor? Doğrudan hapse. Mecazi değil, gerçekten.
Birinin McDonald’s kiosku kurcaladığı videoyu gördükten sonra, çeşitli yerlerde görünen cihazlarda aynı şeyi denemeye başladım.
Bir food court’ta Windows yüklü ve internete tamamen erişebilen bir kiosk vardı. Biri kötü amaçlı yazılım indirip kredi kartı verilerini çalabilirdi. Her kullandığımda elektriğini kapattım ya da ekrana mesaj bıraktım; sonunda kiosk moduna almaya başladılar.
Bir diğeri bir otopark kioskuydu ve hiç sağlamlaştırılmamıştı. Suçlular henüz fark etmemiş gibi görünüyor.
Üçüncüsü bir bira markasının etkileşimli ekranıydı. Büyük zarar verecek bir şey değildi, ama Not Defteri’ni açıp “Drink water” yazmak güzeldi. Sonunda kapattılar; bu da bir çözüm sayılır.
“Rastgele yoldan geçenlere para verme” gereksinimler listesinde epey üst sıralarda olmalıydı, ama gerçekte öyle değilmiş.
Bu kısma gerçekten katılıyorum. IntelliJ’in JRE güven deposunun zscaler için yeni sertifikayı kullanması gerektiğini anlamasını sağlamaya çalıştım; seçilebilir iki üç JDK vardı ve her birinin güven deposuna yeni sertifikayı koymama rağmen hâlâ çalışmadı ve nedenini anlayamadım.
hamnet de var. 44Net IP bloğu üzerinde, bazı kısımları internet üzerinden yönlendirilebilir, bazıları değil.
https://hamnetdb.net/map.cgi
Amatör radyo frekans bantlarını kullandığı için ilginç kısıtları var. Ticari kullanım tamamen yasak.
Bu, o frekans bantlarının toplumsal sözleşmesi olduğu için 136 kHz’den 241 GHz’e kadar pek çok banda ucuza erişebilirsiniz, ama para kazanamazsınız.
Yalnızca Hollanda ve Almanya’da epey yaygın: https://hamnetdb.net/map.cgi . Burada, İspanya’da yakınımdaki hiçbir yerde kullanamıyorum.
Havayolu rezervasyon sistemlerinin en azından bir ağa bağlı olması gerektiği oldukça açık görünüyor; hepsinin çevrimdışı olması gerektiğini savunan pek kimse duymadım. Ama örneğin atölyedeki torna makinelerinin bu olay yüzünden durduğunu da duydum.
Gerçekten çevrimiçi olmaları gerekip gerekmediği düşünülmeli. Elbette bir nedeni vardır, ama bu neden riskle karşılaştırılarak değerlendirilmelidir.
Bunun dışında buzdolabı, su ısıtıcısı, garaj kapısı gibi internete bağlı daha da saçma örnekler çok. Bunların CrowdStrike olayından etkilenip etkilenmediğini bilmiyorum; etkilenmemiş olsalar bile bir dahaki sefere bu sadece zaman meselesi.
Bağlı olmayan sistemlerin “çok, çok sinir bozucu” olduğu iddiasına gelince, kullanıcı olarak deneyimime göre tüm güvenlik “çok, çok sinir bozucu”. İki faktörlü kimlik doğrulama, zorunlu parola değişiklikleri, kilitli cihazlar, kötü amaçlı yazılım tarayıcıları, bağlantı temizleyiciler… Bunların bir kısmı gerekli, bir kısmı saçmalık olabilir; ama hangisinin hangisi olduğunu ayırt etmeye yetkim yok ve kesin olan şu ki hepsi sürtünme yaratıyor.
Vardığım büyük sonuç “tüm bu sistemler internete bağlanmamalı” değil, birkaç başka şey:
Birincisi, bu tür sistemler outbound ağ akışlarına izin vermemeli. Böylece tüm otomatik güncellemeler engellenir ve sonrasında bunlar dahili dağıtım kanalıyla yönetilebilir.
İkincisi, böyle yapılmasa bile birçok kurumsal yazılım ürününde otomatik güncellemeler kapatılabilir. Windows bunun başlıca örneği; CrowdStrike’ın kendisi de aynı şekilde. CS müşterileri arasında otomatik güncellemeleri kapatıp manuel dağıtım yaparak zarardan kaçınan yerler olduğunu duydum.
Üçüncüsü, 2. maddeye ek olarak, biraz smoke test’ten geçirilmiş güncellemeler kademeli olarak dağıtılmalı. Ne olur ne olmaz. Yine CS müşterileri arasında kademeli dağıtım yaparak yalnızca bazı cihazların etkilenmesini sağlayan yerler olduğunu duydum.
Askerî müşterilere son teknoloji yapay zeka çözümleri teslim ettiğimiz dönemi oldukça iyi özetleyen bir yazı. Eforun %80’i, internet varsayımıyla tasarlanmış araçları air-gap ortamlarda sorunsuz çalışır hâle getirmeye gidiyordu.