Google Güvenlik Politikası Başkanı Charley Snyder, güvenlik açıkları riskini ortadan kaldıracak ve güvenlik araştırmacılarını koruyacak yeni bir girişim yayınladı.
Paylaşımında şu ifadelere yer verdi: “Güvenlik endüstrisi, hem teknolojik ilerlemeler hem de işbirliği açısından birçok yönden gelişme kaydetti, ancak özellikle güvenlik açığı yönetimi alanında birçok zorluk devam ediyor. Bugün, güvenlik açıkları söz konusu olduğunda topluluk aynı döngüye yakalanmış gibi görünüyor.”.
Gönderide ayrıca, her güvenlik açığı bulunan, yamalanan ve yeni güvenlik açıkları döngüsü etrafında döndüğü için Güvenlik Açığı yönetiminin oldukça zorlayıcı hale geldiğinden bahsedildi.
Bunun nedeni, satıcılar tarafından yayınlanan yamaların güvenlik açığını kesin olarak gidermek için yeterli olmamasıdır.
Project Zero, Google bünyesinde yazılım ve donanım güvenlik açıklarını inceleyen ve bir yama ve ifşa için bir zaman sağlayan bir ekiptir.
Ancak, bu yama döngüsü uzun yıllardır devam ediyor, bu nedenle Google bu döngüyü durdurmak için bir fikir geliştirdi.
Google, sıfır gün güvenlik açıklarının her zaman flaş haber olacağını, ancak yama uygulandıktan sonra bile riskin aynı kalacağını bildirdi.
Bu riskler, yamayı benimseyen, yamayı ve sorunlu noktalarını test eden orijinal ekipman üreticisini (OEM) içerir ve aynı zamanda sabit yamayı güncelleyen son kullanıcıyı da içerir.
Gönderi ayrıca, 2022’de bulunan güvenlik açıklarının üçte birinden fazlasının, öncelikle önceki güvenlik açıklarının ek varyantları olduğunu söyledi. Bunlardan dolayı, Google aşağıdaki girişimleri önermiştir.
Daha Fazla Şeffaflık
Buna, güvenlik açıklarından yararlanma ve yamaları nasıl benimsedikleri konusunda şeffaflık sağlayan üretici ve hükümet dahildir. Bu, mevcut yaklaşım yönteminin işe yarayıp yaramadığını veya ek adımlara ihtiyaç duyup duymadığını anlamaya yardımcı olur.
Sürtünme Noktalarına Dikkat
Güvenlik açığı yaşam döngüsü sırasında, her kullanıcının bir yama çalıştırırken karşılaştığı zorluklara ve güvenlik açığının risklerini bilip bilmediklerine son derece dikkat edilmelidir.
Temel Neden Adresleme
Bu, her güvenlik açığının temel nedeninin geliştiricilere yöneltilmesi ve her geliştirme döngüsünün modern güvenli yazılım geliştirme uygulamalarına öncelik vermesi gerektiği anlamına gelir.
Bu geliştirme uygulaması aynı zamanda bir güvenlik açığının tüm istismar yöntemlerini mühürleme potansiyeline sahip olmalıdır.
Güvenlik Araştırmacısı Koruması
Güvenlik Araştırmacıları, araştırmaları beklenmediğinde veya yanlış anlaşıldığında, katkılarından dolayı satıcılardan gelen yasal tehditlerle karşı karşıya kalırlar. Bu, değerli güvenlik araştırması ve güvenlik açığı ifşası için bir ihmal duygusu yaratır.
Bu güvenilir güvenlik araştırmacıları, araştırmaları tehdit aktörlerinin bir güvenlik açığından yararlanmasını engellediği için korunmalıdır.
Ekosistemi Birlikte Yamalamak
Google, bir güvenlik açığının yamalanmasında önemli olan paydaşların, kullanıcıların, güvenlik araştırmacılarının, satıcıların, platform veya hizmet geliştiricilerin, hükümetlerin ve diğerlerinin, bu istismar edilebilir hataların düzeltilmesine destek olmak için bir araya gelmeleri gerektiğini önerdi.
Hacking Politikası Konseyi
Son yıllarda, yeni yasalar, güvenlik açıklarının belirli koşullar altında Hükümete özel olarak ifşa edilmesini desteklemektedir.
Bu nedenle, Google tarafından güvenlik açığı yönetimi için en iyi uygulamaları yeni politikalar ve düzenlemelerle desteklemeye yardımcı olacak Hacking Policy Council oluşturulmuştur.
Güvenlik Araştırması Yasal Savunma Fonu
Bahsedildiği gibi, Bireysel güvenlik araştırmacıları, Güvenliğe çok büyük katkıda bulunmaktadır.
Bu katkılar, satıcıların bir saldırganın istismarı nedeniyle bir veri ihlaline girmeden önce bir güvenlik açığını düzeltmesine yardımcı olur.
Ancak, bazen onları güvenlik araştırma radarından çıkaracak yasal sorunlarla karşılaşırlar.
Bu kişileri yasal sorunlardan korumak için Google, güvenlik araştırmacılarının yasal temsile sahip olmalarına ve Kamuoyunda siber güvenlik duruşlarını iyileştirmelerine yardımcı olacak Güvenlik Araştırması Yasal Savunma Fonu’nu kullanıma sundu.
İstismar Şeffaflığı
Google, kullanıcıların bir güvenlik açığından yararlanma konusunda bilgilendirilmeleri gerektiğini iddia ediyor; bu, kullanıcıların bir tehdit aktörünün saldırı yöntemini anlamalarına yardımcı olacak ve bu da daha iyi koruma sağlayabilir.
“Bu şeffaflığın endüstrinin standart güvenlik açığı açıklama politikalarının bir parçası olması gerektiğine inanıyoruz. Ürünlerimizden yararlanıldığında şeffaflığa her zaman öncelik verdik, ancak bugünden itibaren bunu politikamızın açık bir parçası haline getireceğiz ve ürünlerimizin herhangi birindeki güvenlik açıklarından yararlanıldığına dair kanıtımız olduğunda bunu kamuya açıklama taahhüdünde bulunacağız.”, Google tarafından yayınlanan gönderiyi okur.
Google tarafından yayınlandığı gibi, bu çabalar, güvenlik açıkları riskini düşürmeyi olumlu yönde etkilemelidir. Ancak, bu girişimin sonuçları uygulamaya kadar beklemek zorunda kalacak.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin