YORUM
Siber güvenlik alanında en büyük güvenlik açıklarınızı anlamak çok önemlidir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), başlangıçta siber güvenlik açığı istihbaratı için merkezi bir merkez sağlamak üzere Ulusal Güvenlik Açığı Veritabanını (NVD) kurdu; ancak bunu, rasyonel aktörlerin rasyonel kararlar alacağı ve rasyonel sonuçlara varacağı varsayımı altında yaptı.
Hiçbir zaman nihai çözüm olarak düşünülmese de, NVD şu anda dünyada en yaygın kullanılan yazılım güvenlik açığı veritabanıdır ve birçok tarayıcı, analist ve satıcı, hangi yazılımın kullanıldığını belirlemek için günlük olarak ona bağımlıdır. bir güvenlik açığından etkilenir. Ancak yakın zamanda ortaya çıktı ki NIST, 12 Şubat’tan bu yana NVD’de listelenen güvenlik açıklarını zenginleştirmedi — bu raporlara güvenen herkesin potansiyel olarak aylardır risk altında olduğu anlamına geliyor.
İlk bakışta ani gibi görünse de bu aksama aslında zamanla gelişen sistemik bir sorundur. Yaklaşık 25 yıl önceki başlangıcından bu yana, NVD’nin sektörün güvenlik açıklarını önceliklendirmesine yardımcı olan güvenlik kaygılarını yeterince sınıflandırma becerisini üç temel faktör etkiledi ve şu anda deneyimlediğimiz şey bunun sonucudur.
NVD’yi Etkileyen Üç Faktör
1. Kredi Arayan Katkıda Bulunanlar
Başlangıçta, NVD’de listelenen güvenlik açıkları deneyimli araştırmacılardan veya köklü uygulayıcılardan geliyordu ve bir CVE’nin (yaygın güvenlik açıkları ve riskler) atanması, iyi yapılan bir işin onaylanması olarak hizmet ediyordu. Bununla birlikte, yazılım güvenliği zamanla önem kazandıkça, genellikle yetersiz deneyime sahip, istekli araştırmacıların akını, NVD ve CVE’yi sektöre sıçrama tahtası olarak kullanmaya çalıştı.
Yeni bulguların övgüsünü, sektöre yaptıkları katkıların bir ödülü olarak istiyorlardı; tıpkı yeni yetişen bir geliştiricinin önde gelen açık kaynak projelerine yaptığı katkıya benzer şekilde. İlk aşamalarında bu trend geçerli bir özgeçmiş oluşturma stratejisi olarak hizmet etti. Ancak deneyimsiz araştırmacılar dünyayı güvenlik açıklarıyla doldurdukça raporların kalitesi düşmeye başladı.
2. Yaygın Erişilebilirlik
Aynı zamanda, İnternet’in küreselleşmesi dünya çapındaki araştırmacıların sektöre katılmasını ve potansiyel olarak sektörü anlamlı bir şekilde etkilemesini sağladı. Artık yalnızca seçilmiş bölgelerden CVE’lerle anılan bir avuç deneyimli araştırmacı değildi ve tanınma arayışındaki bu ikinci dalga, düşük kaliteli raporların sayısını daha da artırdı.
Deneyimsiz araştırmacıların çoğalmasıyla birlikte erişilebilirliğin yaygınlaşması araştırmaların kapılarını açtı. Dark Web’de para kazanılacak güvenlik açıkları. Ödeme, sanayileşmiş bir ekonomideki biri için riske değmese de, dünyanın başka bir yerindeki birinin hayatını değiştirebilir. Katkıda bulunanlardan bazıları, bulgular için itibar kazanmak yerine, güvenlik açıklarını kullanarak suç işlemeyi veya bilgileri suç işleyen aktörlere satmayı tercih etti.
3. Parasal Teşvikler
Yukarıdakilere yanıt olarak, hata ödülleri araştırmacıların güvenlik açıklarını zarar vermek için kullanmak yerine satıcılara açıklamaları konusunda bir teşvik olarak ortaya çıktı. Teoriye göre bu, piyasayı dengeleyecek ve insanların güvenlik açığı tespitinin “karanlık tarafına” geçmesini engelleyecekti.
Güvenlik açıklarını bildirmek kısa sürede bir sayı oyununa dönüştü. Bu üçüncü grup, iyi iş yapmaya ve bunun için itibar kazanmaya odaklanmak yerine, mümkün olduğu kadar az çabayla mümkün olduğu kadar çok rapor yayınlamaya odaklandı ve birkaçının bir ödül ödemesi yapıp çeki bozdurup yollarına devam edebileceklerini umuyordu.
Satıcılara Etkisi
Artık satıcılar, yanlış pozitifler ve hatalı veya ilgisiz bulgular üreten ücretsiz güvenlik araçlarının temel kullanımından kaynaklanan bir güvenlik ifşaat saldırısıyla karşı karşıya. Tüm bu gürültü, satıcıların günlük olarak gözden geçirmesi gereken raporların sayısını önemli ölçüde artırdı ve bunların büyük çoğunluğu herhangi bir anlamlı içgörü veya kullanılabilirlik sağlayamıyor. Herkes önemsiz şeylerle uğraşırken bu kadar çok zaman harcadığında, kaliteli araştırmaya odaklanmak için daha az zaman kalıyor
Bu artış, 1990’ların sonu ve 2000’lerin başındaki e-posta dolandırıcılıklarının çoğalmasını yansıtıyor olsa da, dünya çapındaki fırsatçılar mali kazançlardan çıkar sağlamaya çalışırken, karmaşık planlardan standart taktiklere evrildi; bunun, sınırlı yetkiye sahip bireylere yönelik bir suçlama olmadığını kabul etmek çok önemli. eğitime veya teknolojiye erişim. Herkes kendi nişini oluşturma ve katkılarının karşılığını alma fırsatını hak eder, ancak mevcut durum, oluşturduğumuz yapılandırılmış “oyun kurallarının” öngörülebilir bir sonucudur.
Sonrası
Bildirilen CVE’lerin sayısı önemli ölçüde arttığından, CVE programı, Merkezi Adlandırma Otoriteleri (CNA) adı verilen yeni bir programı uygulamaya koyarak birleşik bir modele doğru çalıştı. Bu, kuruluşların CVE’leri doğrudan yayınlamak için sertifikalandırılmaları ve güvenilir olmaları için bir süreç boyunca çalışmasına olanak tanıdı. Bu, programın yeni yükü kaldırabilecek şekilde ölçeklendirilmesine olanak sağladı.
Buna karşılık, NVD, işe alınan araştırmacıların her CVE üzerinde ekstra araştırma yaparak ona bir puan (CVSS) ve etkilenen yazılım kimliğini (Ortak Platform Numaralandırması veya CPE) atadığı, esasen tek iş parçacıklı bir sistem olmaya devam etti.
Bu faktörlerin bir araya gelmesi, NVD programındaki araştırmacıların ölçeklendirme zorluklarını daha da kötüleştiren bir dizi düşük kaliteli rapor yarattı. Zenginleştirilmiş güvenlik açıklarının yakın zamanda durdurulması, gerçek katkıların tanındığı ve gürültünün en aza indirildiği bir ortamı teşvik etmek için mevcut çerçevelerin iyileştirilmesi zorunluluğunun altını çiziyor. Bu aynı zamanda bu sistemlerin yapısını yeniden düşünmek için bir fırsattır. CNA gibi birleştirilmiş bir model, ölçeklendirmek üzere tasarlanmıştır ve atadıkları CVE’lere puanlama ve yazılım tanımlaması eklemek ağır bir iş olmamalıdır.
Toplu güvenlik çabalarımızın bütünlüğünü ve etkinliğini sağlamak istiyorsak, siber güvenlik topluluğu NVD’ye olan güvenini yeniden değerlendirmeli ve süreçlerini, güvenlik açığı yönetiminin gelişen dinamiklerini karşılayacak şekilde uyarlamalıdır.