İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), özel sektörü daha geniş toplumun yararına kırılganlık araştırması ve keşif üzerine dahil etmek üzere tasarlanmış bir güvenlik açığı araştırma girişimi (VRI) programındaki kapağı kaldırdı.
NCSC, günlerini çok çeşitli teknoloji ve ürünleri araştırarak geçiren bir dahili araştırma uzmanından oluşan bir ekip işletiyor – tüketiciler tarafından kullanılan her yerde bulunan emtia teknolojisi, sadece birkaç yerde kullanılan özel operasyonel cihazlara kadar.
Bu şirket içi yetenek, siber ajansın yaygın olarak konuşlandırılan teknolojinin güvenliği ve yazılım ürünlerinde güvenlik açıkları bulmanın ne kadar zor olabileceği konusunda çok daha iyi bilgilendirilmesini ve hattan tavsiye, rehberlik ve risk azaltmalarının yanı sıra Citrix Bleed veya Log4shell gibi büyük açıklama olaylarına verilen yanıtlar.
Bununla birlikte, bu uzun ve ilgili bir süreçtir ve teknoloji gelişiminin hızı hem karmaşıklık hem de hacimde artmaya devam ettikçe, güvenlik açığı araştırması talebi artmaktadır.
Güvenlik açığı keşfi için mevcut araçlara ve tradecraft’a erişimi genişletmek ve İngiltere’de günlük yaşamın güvendiği teknolojinin güvenliğinin anlaşılmasını geliştirmek için NCSC’nin harici siber araştırmacılar ve etik bilgisayar korsanlarıyla birlikte çalışacağı bir plan olan VRI’ye girin.
VRI, diğer şeylerin yanı sıra, bir teknoloji veya üründe bulunan güvenlik açıklarını, bunları düzeltmek için hangi hafifletmelere ihtiyaç duyulabileceğini, araştırmacıların araştırmalarını nasıl yürütmeye devam ettiklerini ve bunu etkinleştirmek için kullandıkları araçları daha iyi anlamayı amaçlamaktadır. NCSC, bunun kendi güvenlik açığı araştırma kapasitesini artıracağını ve daha geniş ekosistemdeki uzmanlığını paylaşacağını söyledi.
Nihayetinde, programın çıktısı, NCSC tarafından İngiltere’nin Siber Güvenlik Ulusal Teknik Otoritesi olarak verilen gelecekteki tavsiye ve rehberliği, tedarikçi topluluğuyla ilk etapta daha güvenli ürünler oluşturmaya ve mevcut olanlarda hataları düzeltmeye teşvik etmek için daha iyi etkileşim kurmak için kullanılacaktır.
Sürükleyici Siber Tehdit Araştırmaları Kıdemli Kıdemli Direktörü Kev Breen, NCSC’nin kırılganlık araştırma yeteneklerini genişletmeye çalışma kararını memnuniyetle karşıladı: “Özellikle daha fazla araştırma alanında, kamu alanında büyük bir yetenek var. NCSC’nin, tüm bu modifikler için gerekli becerileri, zaman ve kaynakları sürdürmesi için gerekli becerileri, zaman ve kaynakları sürdürmesi için, bu doma adını içerecek şekilde çalıştırma. Bu bilgi tabanını genişletmenin mükemmel bir yolu. ”
Araştırmacıları teşvik etmek
Bununla birlikte, Breen, ilişkili herhangi bir hata ödülünün olmamasının, mevcut planlar aracılığıyla benzer işler yürütmek için telafi edilebilecekleri zaman programa katılmak isteyen bireylerin sayısını sınırlayabileceğini belirtti.
Acumen Cyber baş teknoloji sorumlusu Kevin Robertson kabul etti: “Siber genellikle bir topluluk sporu olarak tanımlanmaktadır. Bununla birlikte, bağımsız araştırmacılar, bulgularını bir devlet kurumuna teslim etmek yerine, daha fazla bir örnek haline gelmemesi için, bulgularını kendileri yayınlamaktan ziyade, bulgularını çok daha fazla tanıma ve etkiler elde etmek için çok daha fazla tanıma ve etkiye sahip olmak için çok az teşvike sahiptir.”
NCSC, uzmanlardan çeşitli konularda – özellikle yapay zekanın (AI) güvenlik açığı araştırmalarına potansiyel uygulaması – duymanın istekli olduğunu ve bunları temasa geçmeye teşvik ettiğini söyledi. Yeni bulunan güvenlik açıklarının nasıl ele alındığını ve kim tarafından mevcut olduğunu yöneten kapsayıcı özkaynaklar süreci hakkında bilgi de dahil olmak üzere programın daha fazla ayrıntısı.