Bu Help Net Security röportajında, MITRE CVE Programı Proje Lideri Alec Summers, 2024 CWE’nin en tehlikeli 25 yazılım zayıflığı hakkındaki görüşlerini paylaşıyor. CNA topluluğunu kapsayan yeni metodolojinin etkisini tartışıyor ve her yıl listede yer almaya devam eden kalıcı güvenlik açıklarının altını çiziyor.
Summers ayrıca yapay zeka araçlarının güvenlik açıklarını belirlemedeki rolüne ve siber güvenlik çabalarını iyileştirmek için temel neden haritalamanın önemine de değiniyor.
Önceki yıllarla karşılaştırıldığında 2024 CWE Top 25’te gözlemlenen bazı temel değişiklikler veya eğilimler nelerdir?
Bu yıl CNA topluluğuyla veri analizini demokratikleştiren yeni bir metodolojimiz vardı. Bu konuda gerçekten heyecanlıyız çünkü CVE Numaralandırma Yetkilileri (CNA’lar), kendi CNA kapsamlarındaki güvenlik açıkları konusunda yetkili mercidir, ürünlere en yakın olanıdır ve CWE eşlemelerini sağlama ve inceleme konusunda alt üçüncü taraf analistlerden daha iyi konumlanmıştır.
Bu yıl saflarda pek çok küçük hareket olsa da, yıllar boyunca gördüğümüz CWE’lerin büyük ölçüde benzerleri var. Onlarca yıldır bilinenler için bile, bu inatçı zayıflıkları çözmek için hâlâ gidilecek uzun bir yol var.
Yapay zeka destekli kodlamanın artan yaygınlığı listede tanımlanan zayıflıkları nasıl etkiliyor?
Analizimiz, öncelikle verilerde fark edilmesinin çok zor olması nedeniyle hangi güvenlik açıklarının yapay zeka destekli kodlama araçlarının sonucu olduğunu dikkate almıyor. Bununla birlikte, yapay zeka destekli kodlamanın halihazırda CWE tarafından kapsanan zayıflıklar üretebileceğini, yani yapay zeka destekli kodlamanın insanların yaptığı hataların aynısını yapabileceğini gösteren çalışmaların farkındayız.
Bu yılın listesindeki hangi yazılım zayıflıkları sizi en çok şaşırttı veya endişelendirdi? Neden?
Elbette liste genelinde sıralamalarda bir miktar hareketlenme görsek de “olağan şüphelilerin” (örn. CWE-79, CWE-89, CWE-125) varlığını da görmeye devam ediyoruz. Bu ve diğer inatçı zayıflıkların sürekli olarak İlk 25’te üst sıralarda yer alması devam eden bir endişedir.
Bununla birlikte, CSRF’nin sıralamanın üst sıralarına doğru yükselişi biraz şaşırtıcı. Bu, güvenlik açığı araştırmacılarının CSRF’ye daha fazla vurgu yaptığını yansıtıyor olabilir veya belki CSRF tespitinde iyileştirmeler vardır veya belki daha fazla rakip bu tür bir soruna odaklanıyor olabilir. Neden bu şekilde sıçradığından tam olarak emin olamayız.
Kuruluşlar, güvenlik açıklarını yanlışlıkla ortaya çıkarmak yerine belirlemek ve gidermek için yapay zeka araçlarından etkili bir şekilde nasıl yararlanabilir?
Yapay zekanın, geliştiricilerin kodlarındaki zayıflıkları tespit etmelerine yardımcı olma becerisinde muhtemelen sürekli iyileştirmeler olacaktır. Farklı türde araçların farklı yetenekleri vardır ve özellikle herhangi birine güvenmek yerine, araçların bir kombinasyonunu kullanmak genellikle iyidir.
Gelecekteki siber güvenlik çalışmaları için CWE Top 25’i daha da etkili hale getirmek için ne gibi iyileştirmeler yapılabilir?
CWE İlk 25, kamuya açık CVE Kaydı bilgileri içindeki mevcut temel neden haritalama verilerinin incelenmesiyle hesaplanır. Bu nedenle, güvenlik açığı açıklamalarının bir parçası olarak CWE haritalamasını benimseyen CNA’ların sayısı arttıkça ve haritalamalarında ne kadar spesifik olurlarsa, İlk 25 de o kadar spesifik ve değerli olacaktır. Gittikçe daha fazla CNA’nın CWE ile kök neden haritalamayı üstlendiğini görüyoruz ve bu bizi cesaretlendiriyor.
Genel olarak, bu liste için iki önemli nokta:
1. Dil: Siber güvenlik sorunlarına sıklıkla saldırganın bakış açısıyla yaklaşılır (örneğin, Siteler Arası Komut Dosyası Çalıştırma). Ürün geliştiricileri için siber güvenlik hakkında “zayıflık” perspektifinden daha fazla düşünmek aynı derecede, hatta daha önemli değildir (örneğin, CWE-79: Web Sayfası Oluşturma Sırasında Girişin Uygunsuz Nötrleştirilmesi). CWE ile kök neden haritalaması, bir kuruluşun SDLC ve mimari tasarım planlamasına yönelik değerli bir geri bildirim döngüsünü teşvik eder; bu, ürün güvenliğini artırmanın yanı sıra aynı zamanda para tasarrufu da sağlayabilir: ürün geliştirmenizde ne kadar çok zayıf nokta önlenirse, dağıtım sonrasında yönetilmesi gereken güvenlik açıkları da o kadar az olur.
2. Eylem: Kök neden haritalaması en iyi şekilde ürünlere en yakın olanlar tarafından yapılır: CNA’lar, kendi CNA kapsamlarındaki güvenlik açıkları konusunda yetkili mercidir ve CWE eşlemelerini sağlamak ve incelemek için alt üçüncü taraf analistlerden daha iyi konumlanmıştır. Bu uygulamanın CNA’lar arasında güvenlik açığı açıklamalarının rutin bir parçası olarak benimsenmeye devam etmesinden büyük heyecan duyuyoruz (düzenli olarak yayınlanan ölçümlerin altındaki CVE Programının CNA Zenginleştirme Tanıma Listesine bakın).