Çin’in siber uzay yönetimi, Kamu Güvenliği Bakanlığı ve Sanayi ve Bilgi Teknolojileri Bakanlığı, Temmuz 2021’de Ağ Ürün Güvenlik Açıklıklarının (RMSV) yönetimi ile ilgili düzenlemeleri başlatarak, koddaki yazılım güvenlik açıklarının 48 saat içinde MIIT’e bildirilmesini zorunlu kıldı.
Bu politika, araştırmacıların güvenlik açığı ayrıntılarını, kavram kanıtı istismarlarını veya abartılı şiddet değerlendirmelerini, ürün sahipleri ve yetkililerle yamaları koordine etmeden yasaklamaktadır.
Düzenleyici çerçeve
Tüm raporları MIIT’in siber güvenlik tehdidi ve güvenlik açığı bilgi paylaşım platformu (NVDB) aracılığıyla kanalize ederek sistem, sıfır gün ve bilinen güvenlik açıklarının merkezi bir toplanmasını sağlar, bunları CNCERT/CC tarafından yönetilen Çin Ulusal Güvenlik Açığı Veritabanı (CNVD) gibi mevcut veritabanlarıyla entegre ederek, CNCERT/CC tarafından yönetilen Bilgi Güvenliği (CNG) tarafından yönetilen (CNS) bilgi veritabanı (
Bu birbirine bağlı ekosistem, MSS 13. Bürosu, Pekin Topsec gibi PLA bağlantılı müteahhitler ve Şangay Jiao Tong Üniversitesi’ndeki araştırma merkezleri gibi varlıklarla veri paylaşıyor.
NVDB, genel ağ ürünleri, endüstriyel kontrol sistemleri (ICS), devlet tarafından kullanılan yenilikçi BT, internet bağlantılı araçlar ve mobil uygulamalar için özel alt-databazları kapsar ve 48’i CNNVD’yi de destekleyen 103 şirketten katkıda bulunur.
CNNVD için teknik destek birimleri, 151 firma içeren, Ortak Güvenlik Açığı Skorlama Sistemi (CVSS) aracılığıyla puanlanan 141 kritik olan da dahil olmak üzere her yıl en az 1.955 güvenlik açığı gönderen en az 1.190 güvenlik açığı araştırmacısı istihdam etmektedir.
Bu görevler, CVE numaralandırma yetkililerine güvenlik açıklarının bildirildiği ve zorunluluk olmadan ulusal güvenlik açığı veritabanına entegre edildiği ve ödüller veya prestij tarafından motive edilen araştırmacılara dayanarak, gönüllü ABD sistemleri ile keskin bir tezat oluşturuyor.
Saldırı avantajları
Bu düzenleyici aygıt, istihbarat ve askeri aktörler için bir cephanelik sürdürmeye benzer şekilde sömürü için güvenlik açıklarını stoklayarak Çin’in saldırgan siber operasyonlarını destekliyor.
Güvenlik açıkları, yamalar nedeniyle hızla sona erer ve istikrarlı bir akın gerektirir; RMSV, Çin’de faaliyet gösteren firmaların iç keşifleri de dahil olmak üzere daha önce hükümet kanallarına bildirilmeyenleri yakalar.
Veriler, CNVD açıklamalarında, özellikle 2022’de yüzlerce yıldan sadece ona düşen ICS güvenlik açıkları için 20121 sonrası düşüşü, saldırgan kullanım için engelli raporlar önerirken, CISA gibi ABD ajansları aynı dönemde 113 sömürülen ICS kusurlarını kaydetti.
MSS uygulamaları, kritik güvenlik açıklarının gecikmiş CNNVD yayınları ile kanıtlandığı gibi, silahlandırma için değerlendirmeyi ima eder ve özel sektör ortakları vahşi doğada gözlemlenen istismarlar sağlar.
RMSV’ye uyan yabancı firmalar, karşılıklı açıklamalar olmadan güvenlik açıklarını rapor eder, sistemi beslerken Çin araştırmalarına görünürlüğünü kaybederler.
Buna karşılık, ABD merkezi olmayan raporlama, Çin’in kapsamlı boru hattından yoksun olmasına rağmen, esnek, pazar odaklı savunmalara izin veriyor.
Analistler, Microsoft’un 2022 dijital savunma raporuna göre, PRC bilgisayar korsanları tarafından artan sıfır gün dağıtımlarını bu düzenlemelere bağlar ve PLA ve MSS gibi varlıklar için operasyonel tempoyu geliştirir.
Politika yapıcılar, yaklaşık dokuz günlük hızlı yama zaman çizelgeleri göz önüne alındığında, zorunlu raporlamayı yansıtma zorunlu raporlamanın savunma kazançları olmadan piyasaları bozabileceğinden, buna karşı mücadelede zorluklarla karşı karşıyadır.
Bunun yerine, CVE atamalarının hızlandırılması küresel açıklamaları hızlandırabilir, daha hızlı yamalara baskı yapabilir ve sömürü ani artışları azaltabilir.
Nihayetinde, Çin’in yaklaşımı güvenlik açıklarını stratejik kaynaklara dönüştürür ve gönüllü uluslararası normlar üzerindeki siber suçta net bir avantaj sağlar.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!