Ağustos ayının ilk haftası dünyanın büyük bir kısmı için durgun bir dönem olabilir, ancak siber güvenlik araştırmacıları için bu, yıllık Black Hat USA güvenlik konferansı sayesinde güvenlik açığı haberlerinin artacağı anlamına geliyor.
Bu yıl da bir istisna olmayacak. Çarşamba günü başlayacak olan Black Hat USA 2024 brifingleri ve temel konuşmaları, BT ve teknoloji yelpazesindeki güvenlik açıklarını ele alacak (ve birçok durumda ortaya koyacak), oturumlar bulut hizmetleri, donanım, güvenlik araçları, kuantum bilişim, yapay zeka ve LLM’ler, yazılım, donanım yazılımı, sanallaştırma, programlama dilleri, geliştirici araçları, EV şarj cihazları, 5G, tarayıcılar, Apple ve Android mobil cihazlar ve tabii ki Microsoft Windows güvenlik açıklarına ilişkin çok sayıda araştırmaya odaklanacak.
İyi haber şu ki, siber güvenlik savunmaları konusunda da bir avuç oturum var, yani her şey kasvetli ve karanlık değil. İşte BT güvenlik uzmanlarının isteyeceği 15 Black Hat oturumu Göz kulak olmak.
Black Hat’te Bulut Hizmeti Sağlayıcıları İnceleniyor
Bulut hizmeti sağlayıcıları, mevcut en iyi güvenliklerden bazılarını sağlama itibarına sahiptir (kullanıcılar hizmetlere bağlanırken uygun yapılandırma prosedürlerini takip ettiği sürece). İyi bir bulut güvenliği itibarı, elbette işletmeleri çekmek için önemlidir ve bu nedenle en büyük sağlayıcılar genellikle daha küçük bir kuruluşun eşleşemeyeceği güvenlik kontrollerine sahiptir – örneğin Google, güvenlik açıklarını kapatmak için neredeyse sürekli bir süreçte günde 10 defaya kadar yama yaptığını söyledi.
Ancak iyi güvenlik konusundaki bu itibarın bir kısmı, bu servislerin hata ödül programlarında güvenlik araştırmacılarıyla çalışma isteğinden de kaynaklanıyor olabilir.
AWS, Google Cloud Platform (GCP) ve Azure bu yılki Black Hat konferansında biraz ilgi görecek ve ortak tema, güvenlik açıklarının büyük ölçüde giderilmiş olması. Aqua Security araştırmacıları, AWS’deki altı kritik güvenlik açığını ayrıntılı olarak açıklayacaklar – “hepsi AWS tarafından derhal kabul edildi ve giderildi” – bunlar tam hesap ele geçirilmesine, hassas verilerin ifşasına, hizmet reddi ve ayrıcalık yükseltmesine yol açmış olabilir.
Araştırmacılar, güvenlik açıklarını nasıl keşfettiklerini, aralarındaki ortak noktaları nasıl belirlediklerini ve “ayrıcalık artışına yol açan ortak teknikler kullanarak daha fazla güvenlik açığını ortaya çıkarmak ve etkiyi artırmak için nasıl bir yöntem geliştirdiklerini” ayrıntılı olarak açıklayacaklar. Ayrıca, hizmet içi API çağrılarını araştırmak için açık kaynaklı bir araç yayınlamayı da planlayacaklar.
Datadog’dan Nick Frechette ayrıca, bulut ihlallerinin yaygın bir kaynağı olan erişim kontrolü ve kimlik doğrulamada düzeltilen AWS güvenlik açıklarını da ayrıntılı olarak anlatacak.
Tenable’dan Liv Matan, GCP güvenlik açıklarını ve “Bulut güvenliği o kadar karmaşıktır ki bazen bulut sağlayıcıları bile hata yapar.” konusunu ele alacak.
Matan’ın özetinde, “Google Cloud Platform’un (GCP) tek bir hatalı komut argümanı, GCP müşterilerinin iş yüklerinde ve Google’ın dahili üretim sunucularında milyonlarca bulut sunucusunu etkileyen kritik bir RCE açığını (‘CloudImposer’ olarak adlandırılır) bulmamızı sağlamak için yeterliydi.” ifadeleri yer alıyor.
Ayrıca bir GCP ayrıcalık yükseltme güvenlik açığını ortaya çıkaracak, bulut tedarik zinciri güvenlik açıklarını ele alacak ve “bir eylem gerçekleştirirken bulut sağlayıcısı tarafından çağrılan gizli API’leri bulmak için” bir aracı tanıtacak.
Azure ve Microsoft 365 de güvenlik araştırmacılarından ilgi görecek. SEMPERIS’ten Eric Woodruff, “Entra ID’de (Azure AD) Global Administrator’a ayrıcalık yükseltmeyle sonuçlanan yeni bir keşif”i tartışacak.
Diğer ilgi çekici oturumlar arasında derin takviyeli öğrenme ajanları ve kuantum bilgisayarlardaki güvenlik zayıflıkları, OpenVPN güvenlik açıkları, Microsoft Copilot istismarları, bir Chrome V8 Sandbox kaçış tekniği, bir web uygulaması güvenlik duvarı kaçınma tekniği, değiştirilemez yedekleme saldırıları ve Windows güncellemesini kullanan bir Windows düşürme saldırısı ele alınacak.
Güvenlik Savunmaları Black Hat’te de Dikkat Çekiyor
Neyse ki, Black Hat tamamen kötü haberler olmayacak – siber güvenlik savunmaları da biraz ilgi görecek. En ilgi çekici savunma güvenliği oturumunda, 29 araştırmacı siber savunmaları otomatikleştirmek için takviyeli öğrenmeyi uygulamadaki başarılarını tartışacak.
Diğer umut vadeden savunma oturumları arasında, Linux çekirdeğindeki sıfırıncı gün istismarlarını tespit edip durdurma tekniği, Microsoft araştırmacılarının güvenlik ekiplerinin LLM’leri nasıl kullanabilecekleri konusunda tartışmaları ve NVIDIA Yapay Zeka ve Makine Öğrenimi Baş Güvenlik Mimarı Richard Harang’ın NVIDIA’nın Yapay Zeka Kırmızı Takımı’ndan öğrenilen yapay zeka güvenliği derslerini sunması yer alıyor.
Burada 15 ilgi çekici Black Hat oturumu sunduk, ancak bundan çok daha fazlası var ve kendi ihtiyaçlarınıza ve ilgi alanlarınıza daha uygun olan başka oturumlar da bulabilirsiniz.