Vicarius, güvenlik açıklarını bilgisayar korsanlarından daha hızlı bulma ve düzeltme yarışında yazılım güvenlik açıkları için düzeltme komut dosyaları oluşturmak üzere eğitilmiş bir LLM modeli olan vuln_GPT’yi başlattı.
Vuln_GPT motoru, Vicarius’un güvenlik araştırmacıları için sosyal topluluğu olan vsociety içinde ücretsiz olarak sunulacaktır. vuln_GPT betikleri, güvenlik açıklarının anında düzeltilmesine olanak tanıyan vRx çözümünün bir parçası olarak kolayca dağıtılabilir.
Sürekli gelişen dijital ortamda, şu anda toplamda tespit edilen 200.000 güvenlik açığı var, geçen yıl keşfedilen yüzde on (%10) ve katlanarak artıyor. Sıfır günleri manuel olarak belirlemek ve işlemek, önemli miktarda günlük insan gücü gerektiren ağır bir yüktür. En son MOVEit güvenlik açığı örneğinde, ilk güvenlik açığının tespit edilmesinden yaklaşık 60 gün sonra, etkilenen kuruluşların dörtte biri hâlâ savunmasız durumda. WormGPT gibi en son yapay zeka güdümlü siber tehditlerin ortaya çıkışı, bu tehditleri tespit etmeyi ve engellemeyi daha da zorlaştırıyor.
Güvenlik açığı yönetimi çözümleri söz konusu olduğunda, eski satıcılar ağırlıklı olarak evin değerlendirme ve tespit tarafına yaslanıyor, ancak iyileştirme yönüne gereken ilgiyi gösteremediler. Düzeltme zaten karmaşık bir süreçtir ve güvenlik ekipleri, sistemlerinde kesintilere veya kapalı kalma sürelerine neden olma korkusuyla satıcı yamaları uygularken dikkatli davranır. Bir yama mevcut olsa bile, olası riskleri en aza indirmek için genellikle bir bekleme süresinden geçerler.
vuln_GPT’yi girin. Yapay zeka destekli bu yeni düzeltme motoru, bir dizi eylemi yürütmek için otomatik olarak bir düzeltme komut dosyası oluşturabilir. Örneğin, komut dosyaları bir dosyayı kaldırabilir, bir bağlantı noktasını kapatabilir, bir protokolü devre dışı bırakabilir veya telafi edici bir kontrol başlatabilir. Bunların hepsi, satıcılar bir yama yayınlamaya çalışırken veya güvenlik ekipleri bir laboratuvar ortamında bir yama test ederken sağlam ve güvenilir bir düzeltme sağlayabilen stratejilerdir.
Ayrıca, vuln_GPT insan müdahalesi olmadan çalıştığı için, büyük araştırma ekiplerine veya çok yetenekli güvenlik mühendislerine ihtiyaç duymadan güvenlik açığı tespitini ve iyileştirmeyi daha hızlı ve daha uygun maliyetli hale getirerek zamandan ve paradan tasarruf sağlar.
Son zamanlarda, dünya çapında hükümet, kolluk kuvvetleri ve askeri kuruluşlar tarafından yaygın olarak kullanılan bir radyo iletişim protokolü olan Terrestrial Trunked Radio’da (TETRA) kritik sıfır gün güvenlik açıkları keşfedildi. Bazı güvenlik açıkları ürün yazılımı güncellemeleriyle giderilebilirken, diğerleri, özellikle CVE-2022-24402’deki hassas bilgileri açığa çıkarabilecek bir arka kapı gibi, azaltılamaz ve hafifletilmesi daha zordur. Vicarius, vuln_GPT’yi kullanarak en etkili dengeleyici kontrolleri belirleme ve uygulama işini manuel olarak ortadan kaldırır.
Vuln_GPT ile Vicarius, CVE’leri azaltmak için yapay zeka tarafından oluşturulan komut dosyaları çağını başlatır ve algılama ile düzeltme arasındaki boşluğu önemli ölçüde kapatmaya yardımcı olur. MTTD (ortalama tespit süresi), BT ekipleri için önemli bir sorun olmaya devam ediyor, ancak çoğu ekip güvenlik açıklarını hızlı bir şekilde düzeltmek için iyi donanımlı olmadığından MTTR daha da büyük bir zorluk sunuyor.
Vicarius’un CEO’su Michael Assraf, “Yapay zeka ile yapay zeka ile savaşmak istiyoruz” dedi. “Savunma ekiplerinin tehditlerin sürekli gelişimine ayak uydurması her zaman zor olmuştur. En gelişmiş yama satıcıları bile yama yapılabilir uygulamaların yalnızca bir kısmını destekler ve tüm güvenlik açıkları bir yama ile düzeltilemez. vuln_GPT ile güvenlik ekiplerine uçtan uca güvenlik açığı yönetimi sürecinde kritik sorunları hızlı bir şekilde tanımlama, önceliklendirme, düzeltme ve doğrulama konusunda yardımcı olabiliriz. Bunun, hücum oyuncusundan bir adım önde olmaya yönelik oyunun kurallarını değiştireceğine inanıyoruz.”
vuln_GPT, güvenlik ekiplerinin kritik sorunları hızlı bir şekilde düzeltmesine, tepki verme sürelerini önemli ölçüde kısaltmasına, bir olayın ardından maliyetli sonuçları azaltmasına ve MTTD ile MTTR’yi azaltmasına olanak tanır. Vicarius, özellikle kurum içi araştırma ekiplerinin personeli ve kaynakları yetersiz olduğunda, beceri açığını çözmeye yardımcı olmak için zamanlamanın doğru olduğuna inanıyor.
“vuln_GPT tarafından oluşturulan tüm komut dosyaları, vsociety’de halka ücretsiz olarak sunulacaktır. Nmap entegrasyon aracımıza benzer şekilde, sektör genelinde bilgiyi demokratikleştirmeye devam ederken topluluğumuzun en son teknolojiden faydalanmasını sağlamak istiyoruz” diye ekledi Assraf. “vuln_GPT ile zaten yetersiz olan en iyi güvenlik mühendislerine sahip olmanıza gerek yok. Sadece iyileştirme açığını değil, aynı zamanda beceri açığını da kapatıyoruz.”