Yazan: Douglas McKee, İcra Direktörü, Tehdit Araştırması, SonicWall
Ferris Bueller'in bir zamanlar söylediği gibi, “Hayat oldukça hızlı ilerliyor.” Çoğu insan, özellikle de siber güvenlik uzmanları bu duyguyu biliyor. Siber güvenlik olaylarıyla uğraşırken dakikalar, bazen saniyeler önemlidir. Peki zamanı nasıl yavaşlatırsınız? Bir güvenlik operasyon merkezi için güncel kalmayı veya bugünün gündemine öncelik vermeyi bu kadar zorlaştıran şey nedir? Hepsi bunda küçük detaylar.
Ebeveynler bunu çoğu zaman içgüdüsel olarak fark edebilirler. Oğlunuz veya kızınız bir sabah uyandığında onlara “Dün gece eve nasıl geldiniz?” Koruyucu bir ebeveyn şaşkınlık ve endişeyle nefesi kesilebilir, “Tamamen yabancı biriyle otostop çektim” diye yanıt verirler. Ancak yanıtta “Eve güvenli bir şekilde ulaşmak istediğim için sabah saat 3'te arkadaşımın evinden Uber'e bindim” gibi daha fazla ayrıntı varsa, aynı koruyucu ebeveyn farklı tepki verebilir ve konuşmayı buna göre önceliklendirebilir.
3 Ekim'de Daniel Stenberg Gönderildi X'te curl ekosistemindeki yeni bir “Yüksek” güvenlik açığı hakkında 11 Ekim'de kamuya açıklanacak. Hem curl'un popülaritesi hem de Daniel'in sosyal medya etkisi nedeniyle, siber güvenlik dünyası son derece etkili ve ciddi bir güvenlik sorunu beklentisiyle patlama yaşadı; ancak gönderide asıl sorunla ilgili çok az ayrıntı verildi.
Kurulum
Daniel'in X hakkındaki ilk gönderisi pek çok soruyu ateşledi; bunlardan bazıları insanların X hakkında sormaktan çekinmediği bir soruydu.
“Tam erimeye uğraması muhtemel” ve “curl'da uzun zamandır bulunan en kötü güvenlik sorunu” gibi ifadeler, ek ayrıntı sağlamak için dirençle birleştiğinde, medya kuruluşlarının ve güvenlik uzmanlarının bu güvenlik açığının bir sonraki büyük güvenlik olacağı hakkında makaleler yazmasına yol açtı. Bilgisayar dünyası için endişe verici. Ulusal Güvenlik Açığı Veri Tabanı (NVD) ile ilgili olarak “Yüksek” teriminin bağlamına dikkat etmek de önemlidir. Standart bir puanlama perspektifinden bakıldığında, “Yüksek” bir güvenlik açığının CVSS puanı 7,0-8,9'dur.
Bu önemlidir, çünkü “erime” seviyesindeki güvenlik açıklarının genellikle 9,0 veya üzerinde olduğuna dair bir emsal vardır, dolayısıyla “Kritik” derecelendirmesi vardır. Bu, ortada potansiyel bir çatışma olduğu anlamına gelir. küçük detaylarancak kültürümüzde, daha ciddi bir sonuç elde etmek için uyumsuzluk sıklıkla göz ardı edilir.
Ayrıntılar
Söz verildiği gibi 11 Ekim'de güvenlik açığının ayrıntıları kamuoyuna açıklandı ve dünya ateşe verildi, ancak beklenenden farklı bir şekilde.
Sürümden öğrenilen ana dersin, Daniel Stenberg'in bu konuyu ele alırken gösterdiği mutlak profesyonellik ve özen olduğunu kabul etmek için biraz zaman ayırmanız önemlidir. Eğer her satıcı ve açık kaynak proje onun örneğini takip etseydi, şüphesiz daha güvenli bir bilgisayar dünyasına sahip olurduk. Son derece etkili bir platformda bir güvenlik araştırmacısı tarafından bir güvenlik açığı keşfedildi ve rapor edildi ve topluluğun bilgisi dahilinde herhangi bir aktif istismarın ortaya çıkmasından önce, sorunlar ve nasıl ele alındığı konusunda tam şeffaflık sağlanarak zamanında yama uygulandı. olmuş. Daha basit bir ifadeyle süreç kusursuz bir şekilde işledi.
Yayın ne dedi?
Özetle, yayınlanan ayrıntılar hem curl hem de libcurl'un çok sayıda yüklü sürümünde bellek bozulması güvenlik açığını ortaya çıkardı. Bu sömürünün doğru olması için özel bir dizi koşul gerekiyordu. Ana konuşmanın güvenlik açığının teknik ayrıntılarıyla ilgili olması yerine, güvenlik açığını çevreleyen abartılı reklama ilişkin bir konuşma merkezde yer aldı. Neden? İlk mesajda sorunun “Yüksek” önem derecesine sahip bir hata olduğu açıkça belirtilmiş olsa da aşırı dil, kritik bir soruna dair yanlış bir algı oluşturdu.
Resmi olarak, bu yazının yazıldığı sırada NVD, resmi olarak “Yüksek” ve “Kritik” derecelendirmesini gösteren bir CVSS puanı yayınlamadı. Bazı araştırmacılar ayrıntıları ele aldı ve 7,5 ila 8,8 arasında değişen bir puan tahmin etti; bunların her ikisi de yüksek puanlardı. Bu nedenle, güvenlik açığından yararlanma gereksinimini çevreleyen ayrıntılar aslında kritik bir güvenlik açığını değil, “Yüksek” düzeyde bir güvenlik açığını doğruladı, ancak bu ayrıntılar başlangıçta okuyucunun hayal gücüne bırakıldı.
Değişimin Etkisi
Güvenlik açığına yama uygulanmışsa ve açıklama bilgileri doğruysa bunun bir önemi var mı? Aşırı abartmanın sorunu, genellikle bir tepkiye veya önceliklendirmede değişikliğe neden olmasıdır. Siber güvenlik zaten olaylarla dolup taşmış durumda ve bunları çözecek kaynak sıkıntısı çekiyor. Bu, eylemlerin önceliklendirilmesinin herhangi bir kuruluş için en önemli görev olduğunu belirtir. Şu anda en yüksek risk hangi risklerdir ve bunları nasıl ele alabilirim? Bazen değişimin maliyeti minimum düzeyde olsa da, diğer zamanlarda karşılanamayacak bir maliyettir.
Güvenlik araştırmacılarının kapalı ve açık kaynaklı projelerdeki güvenlik açıklarını sorumlu bir şekilde açıklamaya devam etmeleri zorunludur. Yamalarla birlikte bu güvenlik açıklarının şeffaflığı (curl projesi tarafından da başarıyla yapıldığı gibi), savunucuların sürekli büyüyen teknoloji yığınımızı savunmak için gerekli bilgilere sahip olmasının tek yoludur. Bu olaylara gerçekçi, veri odaklı, duygusal olmayan bir yanıt vermek, ayrıntılara odaklanmak ve elimizdeki kaynakları sorumlu bir şekilde kullanmak için birlikte çalışmak da bizim sorumluluğumuzdur.
Dolayısıyla, bir dahaki sefere “hayat üzerinize oldukça hızlı geldiğinde”, “arada bir durup etrafınıza bakmanın” karşılığını verir. Ekibinizin küçük ayrıntılara dikkat ederek kaynaklarınızı ve çabalarınızı kuruluşunuz için en büyük tehdidi oluşturan en kritik ve acil konulara odaklamasına yardımcı olur.
yazar hakkında
Douglas McKee, SonicWall'da Tehdit Araştırması İcra Direktörüdür ve ekibiyle birlikte günlük ürün içeriği aracılığıyla kritik güvenlik açıklarını belirlemeye, analiz etmeye ve azaltmaya odaklanmaktadır. Aynı zamanda SANS SEC568: Ürün Güvenliği Testiyle Tedarik Zinciri Saldırılarıyla Mücadele'nin baş yazarı ve eğitmenidir. Doug, DEF CON, Blackhat, Hardware.IO ve RSA gibi endüstri konferanslarında düzenli olarak konuşmacı olarak yer almaktadır ve kariyeri boyunca kolluk kuvvetleri de dahil olmak üzere birçok izleyiciye yazılım kullanımı eğitimi vermiştir. Araştırmaları Politico, Bleeping Computer, Security Boulevard, Venture Beat, CSO, Politico Morning eHealth, Tech Republic ve Axios gibi geniş okuyucu kitlesine sahip yayınlarda düzenli olarak yer almaktadır. Douglas'a şuradan ulaşılabilir: [email protected]