Etkinlikler, Yönetişim ve Risk Yönetimi, Bilgi Güvenliği Avrupa Konferansı
Vulncheck’in CVE ekosisteminin ve EUVD’nin sınırlamalarının belirsizliği konusundaki garnritesi
Mathew J. Schwartz (Euroinfosec) •
12 Haziran 2025
CVE programı ve NIST’in Ulusal Güvenlik Açığı Veritabanı, güvenlik açığı izlemedeki kritik rollerine rağmen baskı altında olmaya devam etmektedir. CVE programı, finansal kısıtlamalar nedeniyle bir kapanıştan kaçınırken, NVD kritik kaynakları kaybetti ve yaklaşık 18 ay sonra tam olarak iyileşmedi.
Ayrıca bakınız: Sıfır Güven Olun
Geliştirilmiş kimlik yönetimi ve çok faktörlü kimlik doğrulama kullanımı, kimlik bilgisi uzlaşmasını saldırganlar için önemli ölçüde zorlaştırmıştır. “Bir sonraki en kolay şey sadece güvenlik açıklarından yararlanmak ve ağa başka şekillerde erişmektir. Ve aniden herkes ‘Aman tanrım, tekrar telefon yönetimi yapmalıyız.’ Ve bence gerçek bu, “dedi Vulncheck güvenlik araştırmacısı Patrick Garrity.
Garrity, AB güvenlik açığı veritabanının – potansiyeline rağmen – olgunlaşmamış kaldığını ve savunucular için neredeyse kullanılamayan eksik veriler sunduğunu söyledi.
InfoSecurity Europe 2025’teki Bilgi Güvenliği Medya Grubu ile bu video röportajında Garrity de tartıştı:
- Mevcut güvenlik açığı veritabanlarının durumu;
- CVE’lerde büyüme ve sömürülebilirliklerinin izlenmesi;
- Siber Dayanıklılık Yasası’nın güvenlik açığı açıklama gereksinimleri üzerindeki etkisi.
Vulncheck’te bir güvenlik araştırmacısı olarak Garrity, güvenlik açıkları, güvenlik açığı sömürüsü ve tehdit aktörlerine odaklanmaktadır. Nucleus güvenliği, Blumira, Censys ve Duo güvenliği gibi yüksek büyüyen SaaS siber güvenlik girişimleri için güvenlik araştırmaları, pazarlama, satış ve ürün rolleri konusunda 15 yıldan fazla deneyime sahiptir. Vulncheck’ten önce, siber güvenlik araştırmacısı ve Nucleus Security pazarlama başkan yardımcısıydı.