John Leyden 07 Aralık 2022, 15:19 UTC
Güncellendi: 07 Aralık 2022, 15:22 UTC
Konferans katılımcılarına göre, alıcıları güçlendirin ve sıfır gün saplantısını bırakın
Savunulabilir bir internet oluşturmaya yönelik adımlar atılması mümkündür, ancak buna ulaşmak için endüstrinin temel güvenlik düzenlemelerini kabul etmesi ve sıfır gün güvenlik açıkları saplantısından uzaklaşması gerekir.
Salı günü Black Hat Europe konferansının açılışını yapan güvenlik araştırmacısı Daniel Cuthbert, diğer gelişmelerin yanı sıra bulut bilişimin daha geniş çapta benimsenmesi, iOS’taki iyileştirmeler ve Google Chrome’da daha sıkı web güvenlik kontrolleriyle elde edilen güvenlik iyileştirmelerini övdü.
Bununla birlikte, bir sorun, bu iyileştirmelerin daha genel olarak güvenlik uygulamalarında iyileştirmeler sağlamak için beslenmemesidir.
Black Hat konferansı hakkında en son haberleri okuyun
Cuthbert şu soruyu sordu: “İyi güvenlik, kilitlenme yaklaşımı anlamına mı geliyor yoksa herkesin keyif alabileceği açık, şeffaf ve yine de güvenli bir internet oluşturma yeteneğine gerçekten sahip miyiz?”
Cuthbert’e göre, çoğu siber saldırının kimlik avı gibi sıradan teknikler kullanılarak hala başarılı olduğu kanıtlanmasına rağmen, sektör sıfır güne çok fazla odaklanmış durumda.
Cuthbert, “Covid sırasında birçok insanın böcek aramak için ürünleri parçaladığını gördük” dedi. “Birçok suçlu da yaptı.”
Cuthbert’in aktardığı rakamlara göre 2019’da 32 sıfır gün kaydedildi. Bu rakam 2021’de 30’a düştükten sonra 2021’de 70’e yükseldi.
Cuthbert’e göre “Tedarikçiler hataları düzeltemediği için pek çok sıfır gün ortaya çıkıyor”.
Cuthbert’e göre, sıfır gün istismarları siber suçluların veya casusların elinde bir silah olabileceğinden, araştırmacıların daha sorumlu olmaları ve araştırma yayınladıklarında kavram kanıtlama istismarlarının yanı sıra tespit yöntemleri de yayınlamaları gerekiyor.
Diz sarsıntısı reaksiyonlarının durması gerekiyor
Cuthbert, endüstriyi, sorunların temel nedenini belirlemeye ve çözmeye çalışmak yerine, önceki güvenlik ürünlerinin eksikliklerinin üstesinden gelmek için araçlar sunma döngüsüne düştüğü için eleştirdi.
Örneğin, birinci nesil güvenlik duvarlarının eksiklikleri, kendisi de güvenlik sorunlarının kaynağı olan bir ürün sınıfı olan web uygulaması güvenlik duvarlarının geliştirilmesiyle giderildi.
Cuthbert şöyle dedi: “Yeterince güvenli olmayan araçları düzeltmek için araç oluşturma döngüsünü durdurabilir miyiz?”
Araştırmacı aynı zamanda sektörü, kimlik avı saldırılarının kurbanı oldukları için – kendi deyimiyle “Hesaplardan Dave” gibi – son kullanıcıları suçlamakla eleştirdi.
Alıcıların şu anda ürünlerin güvenliği üzerinde anlamlı bir etkisi yoktur, bu da değişmesi gereken bir trenddir.
Satıcılara ayrıca tehdit modelleme, tedarik zinciri güvenliği hakkında zor sorular sorulmalı ve satın alma sürecinde güvenli bellek dilleri kullanmaya yönlendirilmelidir.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Siber güvenlik konferansları 2022: Çevrimiçi, yüz yüze ve “hibrit” etkinliklerin özeti