Yönetişim ve Risk Yönetimi , Yama Yönetimi
Beyaz Şapkalar için Google Funds Güvenlik Açığı İfşa Politikası Grubu ve Yasal Savunma
David Perera (@daveperera) •
13 Nisan 2023
Silikon Vadisi devi Google, güvenlik açığı araştırmalarını artırmak için tasarlanmış bir dizi duyurunun damgasını vurduğu bir öğleden sonra, teknoloji şirketlerini güvenlik açıklarına yama yapma yaklaşımlarında daha sağlam olmaya çağırdı.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Google parası, yamalarla düzeltilen ve ardından yeni güvenlik açıklarının geldiği güvenlik açıklarının “kıyamet döngüsü” olarak adlandırdığı durumdan kaçmaya adanmış iki yeni girişime gidiyor. Hacking Policy Council, hükümetleri güvenlik açığı ifşaları konusunda güvenlik dostu politikalar benimsemeye teşvik ederken, Security Research Legal Defence Fund, beyaz şapka korsanlığı nedeniyle yargılananlara yasal destek sağlayacak.
Konsey, beyaz ayakkabı hukuk firması Venable bünyesinde yer alan bir endüstri derneği olan Siber Güvenlik Politikası ve Hukuk Merkezi tarafından yönetiliyor. Intel, bir avuç bug bounty şirketi gibi konseyi de destekliyor. Savunma fonu, vergiden düşülebilir kâr amacı gütmeyen bir kuruluş olarak kuruluş başvurusunda bulunuyor.
Duyurular, siber güvenlik politika yapıcılarının teknoloji endüstrisini ürünleri daha güvenli hale getirmek için proaktif önlemler almaya zorlamasıyla geldi (bkz: CISA, Diğerleri Güvenli Yazılım Üretimi için Kılavuz’u Açıkladı).
Google bir blog gönderisinde, “Sıfır gün güvenlik açıklarının kötü şöhreti genellikle manşetlere konu olsa da, riskler bilinip düzeltildikten sonra bile devam ediyor, ki bu gerçek hikaye,” diye yazdı Google bir blog yazısında.
Şirket, güvenlik açığı ifşa savunuculuğunu destekleme çabalarını finanse etmenin ve iyi niyetli araştırma faaliyetinin cezai bir şekilde ele alınmamasını sağlamanın, güvenlik açıklarının saldırganlar bunları istismar etmeden önce tespit edilmesini sağlamaya yardımcı olacağını söylüyor.
Hacking Policy Council, hükümetlerin güvenlik araştırmacılarına güvenlik açıklarını önce yetkililere ifşa etmeleri için gereklilikler dayatması gibi çabalara karşı kulis yapacaktır. Luta Security’nin kurucusu ve CEO’su ve konsey danışma komitesi üyesi Katie Moussouris bir basın toplantısında, “Güvenlik açıklarını mümkün olduğunca düşük riskli bir şekilde düzeltmenin verimli bir yolu değil” dedi. Bir Google tanıtım belgesi, böcek ödül programlarının sabıka kaydı olan araştırmacılar da dahil olmak üzere herkese açık olması gerektiğini söylüyor.
Fon, Missouri valisi tarafından öğretmenlerin adlarını ve sertifika durumlarını listeleyen bir eyalet web sitesini hacklemekle suçlanan St. Louis Sevk Sonrası muhabiri gibi sanıkları arayacaktır. Biden yönetimi, Mayıs 2022’de “iyi niyetli güvenlik araştırmasını” kovuşturmaktan kaçınacağını duyurdu.
Google ayrıca, bir güvenlik açığından aktif olarak yararlanıldığında bunu ifşa etme konusunda daha fazla kurumsal şeffaflık taahhüdünde bulundu.
Şirketin tanıtım belgesi, kullanıcılara yamalarla ilgili güncel bilgilere sahip olma konusunda çok tekrarlanan tavsiyelerin, operasyonlardaki sürtünme yamalarının nedenlerini göz ardı ettiğini kabul ediyor. “Endüstri, müşteriler için testleri ve yamaları daha kolay uygulamaya yatırım yapmalı” diyor.
Ayrıca kök sorunları gidermek için yamalar gerektirir. Teknoloji şirketleri, acil bir sorunu yamalayan hedefli, güvenilir bir düzeltme mi yoksa geliştirmesi daha uzun süren daha kapsamlı bir düzeltme mi geliştirip geliştirmeme konusunda sürekli olarak yama yayınlama konusunda ödün vermelerle karşı karşıya kalır. Google’ın Project Zero tarafından 2022’de vahşi ortamda sömürülen 40 sıfır günlük bir analiz, üçte birinden fazlasının önceden bilinen hataların varyantları olduğunu ortaya çıkardı.