Kuruluşların, işlerini felç edebilecek artan sayıdaki tehdit ve saldırılara karşı kendilerini daha iyi savunmak için siber suçluların yaratıcılıklarını ve kaynaklarını eşleştirebilmeleri gerekir.
Ne yazık ki, bazı yasalar gerçek güvenlik araştırmalarını kısıtlamaktadır. Birleşik Krallık Parlamentosu’nun 1990 Bilgisayar Kötüye Kullanım Yasası incelemesinin bulgularını beklerken, güvenlik testlerine yönelik geleneksel yaklaşımları yeniden düşünmenin ve Birleşik Krallık hükümetinin etik korsanlık davasını proaktif olarak desteklemesinin zamanı geldi.
Suçlular neden üstünlük sağladı?
Siber suçlular çok uzun süredir işletmelere göre avantaja sahip. Eski uygulamalardaki kötü yazılmış kodlar, yamalı yazılımlar ve projeler tamamlandıktan sonra yanlışlıkla bırakılan unutulmuş dijital yapı iskelesi, yıllar önce yapılan hataların nasıl yeni saldırılara yol açtığına dair birkaç örnektir. Ancak, sorunlara neden olan yalnızca geçmişten gelen kodlama hataları değildir. Yazılıma artık açık kaynaklı ürünler hakimdir; Synopsis tarafından tüm ticari ve özel kod tabanlarının %84’ünde bilinen en az bir açık kaynak güvenlik açığı tespit edildi.
Kuruluşlar, yazılım geliştirme yaşam döngüsü boyunca daha sağlam güvenlik süreçleri tasarlamaya ve test etmeye başlamış olsalar da, sorunları kontrol edenler genellikle sistemleri oluşturan kişilerle aynıdır. Ek olarak, güvenlik etkinlikleri silo haline getirilme eğilimindedir (örneğin, bir uygulamayı test edip API’yi yok sayarız). Bu indirgemeci siber güvenlik görüşü çoğu zaman büyük resmi gözden kaçırır, ancak bir siber saldırgan için amaç bütündür.
Etik hack vakası
İhtiyaç duyulan şey, sorunların nerede olduğunu görmek için taze gözler ve dışarıdan gelen bir zihniyettir. Etik bilgisayar korsanlığının devreye girdiği yer burasıdır. Bir kuruluş, sürekli olarak herhangi bir zayıflığı araştıran, otomatik taramaların ve dahili ekiplerin kaçırdığı güvenlik açıklarını ortaya çıkaran, yeni güvensiz varlıkları keşfetmek için keşif gerçekleştiren bir dış araştırmacı lejyonunu kendi tarafında tutabilir.
Siber suçlular gibi, bilgisayar korsanları da halka açık Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanları gibi araçlardan yararlanacak. Potansiyel olarak daha büyük bir risk teşkil eden gizli varlıkları keşfetmek ve incelemek için bilinen uygulamalardaki CVE’lerin ötesine geçerler. Kuruluşların üçte biri, saldırı yüzeylerinin %75’inden daha azını izlediklerini ve %20’si saldırı yüzeylerinin yarısından fazlasının bilinmediğini veya gözlemlenebilir olmadığını düşünüyor. Bu nedenle, önemli ve genellikle ucuz iş gücüne ve bir dizi tekniğe sahip siber suçluların neden bilinmeyen varlıkları hedeflediğini ve istismar edilebilir güvenlik açıklarını düzenli olarak ortaya çıkardığını anlamak kolaydır.
Dahili güvenlik ekiplerinin hızına ayak uydurmanın ve tükenmişlikten kaçınmanın yolu, bir güvenlik açığı ifşa programı (VDP) kurarak bilgisayar korsanlarının onlar adına çalışmasını sağlamaktır.
Bir güvenlik açığı açıklama programının (VDP) değeri
VDP’ler, güvenlik araştırmacılarının internete açık uygulamaları ve altyapıyı proaktif ve sürekli olarak test etmesine, bulunan tüm güvenlik açıklarını belgelemesine ve göndermesine yardımcı olacak yapılandırılmış çerçevelerdir. Program sağlayıcılar, bir kuruluşun uygulamalarının güvenliğini güçlendirmek için benzersiz beceri kümelerine ve bakış açılarına sahip, sayıları yüzbinleri bulan etik korsanlar ve güvenlik araştırmacılarından oluşan toplulukları bir araya getirdi. Bilgisayar korsanları, açık kaynak kitaplıkları gibi üçüncü taraf yazılımlar da dahil olmak üzere internete açık varlıklarda sürekli testler gerçekleştirir.
Bir VDP uygulandığında, istatistikler gösteriyor ki, dörtte birinden fazlası programın başlatılmasının ilk günü içinde bir güvenlik açığı raporu alıyor ve yeni müşteriler, kullanımlarının ilk ayında dört yüksek veya kritik güvenlik açığı konusunda bilgilendiriliyor.
Bu nedenle, güvenlik açıklarının potansiyel etkileri hakkında bilgisayar korsanlarından gelen sürekli geri bildirimler, şirket içi güvenlik ekiplerinin erişimini ve bilgisini etkili bir şekilde genişletir. Bu kapsam genişliğini ve derinliğini kurum içinde sunmaya ve sürdürmeye çalışmak çoğu kuruluş için uygun değildir.
Uygulamada etik bilgisayar korsanlığı
Peki, pratikte etik korsanlık nasıl görünüyor? Güvenlik açığı ifşa platformu sağlayıcıları tarafından sunulan programlar, her boyutta ve türde gereksinimi karşılayacak şekilde uyarlanabilir.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi, kendi web sitesini kapsayan ve gerektiğinde herhangi bir çevrimiçi devlet sitesine kadar uzanan güvenlik açığı ifşa raporlama programıyla başı çekiyor.
Başka bir hükümet örneği, teknik yetenek bankasını oluşturmak ve varlıkları korumak ve savunmak için daha çeşitli bakış açıları getirmek için bilgisayar korsanlığı topluluğuyla birlikte çalışan Savunma Bakanlığı’dır (MoD). Bu işbirliği, güvenlik açıklarının nerede olduğunun anlaşılmasını sağladı ve bu, siber riski azaltmak ve genel dayanıklılığı artırmak için çalışırken önemli bir adım.
Bilgisayar korsanlarını teşvik etmek
Büyük varlık envanterlerine sahip kuruluşlar, güvenlik açıklarını bildirmek için finansal teşvikler sunan bir güvenlik açığı ödül programı (VRP) şeklinde bir adım daha atmayı düşünebilir. İşletmeler, programın kapsamındaki varlıklara bağlı olarak belirli teknolojilerde uzmanlaşmış bilgisayar korsanlarını katılmaya davet edebilir. Şirketler, rekabetçi ödüller veya ikramiyeler sunarak dünya çapında en iyi bağımsız güvenlik yeteneklerini çekecek.
Kuruluşların güvenlik açıklarını hızlı ve doğrudan kendilerine bildirmek için daha önemli finansal teşvikler sağladığı görülürse, siber suçluların gelecekteki fidye yazılımı saldırıları için güvenlik açıklarını stoklamalarının değeri de azalacaktır.
yasa reformu
Birleşik Krallık’ta faaliyet gösteren her dijital kuruluşun, bilgisayar korsanlığının faydalarından yararlanabilecek bir güvenlik açığı açıklama programı olmalıdır.
Teşvik ve koruma sağlamak için hükümetin Bilgisayar Kötüye Kullanım Yasasını (CMA) güncellemesi gerekiyor. Şu anda CMA, İngiltere merkezli siber güvenlik uzmanları ve bilgisayar korsanları tarafından sağlanan iyi niyetli siber güvenlik açığı ve tehdit istihbaratı araştırma ve soruşturması için yeterli yasal koruma sağlamamaktadır. Hükümetin, kamu yararına hareket eden siber güvenlik uzmanları için onları devlet tarafından kovuşturmaya ve haksız hukuk davalarına karşı koruyan yasal bir savunma içerecek şekilde CMA’yı revize etmesini tavsiye ediyoruz.
Dengeyi güvenliğe çevirmek
Siber suçluları alt etmek, karmaşık ve külfetli bir görev olmaya devam ediyor. Etik bilgisayar korsanları, onları güvenlik girişimlerine dahil etmeye hazır olan kuruluşlar için teraziyi kötü aktörlerden uzaklaştırmaya yardımcı olabilir.
Bilgisayar korsanlarını finansal olarak desteklemek ve onları yanlış yönlendirilen kovuşturmadan yasal olarak korumak, işletmeler ve bireyler için daha güvenli bir internet sağlamak için çalışan ve sürekli büyüyen bilgisayar korsanı topluluğunu daha da artıracaktır.