ABD devlet kurumlarına güvenlik açığı açıklama politikaları oluşturmaya yönelik Eylül 2020 yönergesi, hata raporlama faaliyetlerinde bir artışa neden oldu: Bugcrowd’a göre federal sektör, 2021’in ilk üç çeyreğinde geçerli güvenlik açığı başvurularında %1.000 artış gördü.
Güvenlik araştırmacıları son iki yılda uzaktan çalışmak için daha fazla zaman harcadılar ve bu da araştırma faaliyetlerine daha fazla zaman ayrılmasına izin verdi. Devlet sektörü, ABD İç Güvenlik Bakanlığı’nın yetkisiyle birlikte “Bağlayıcı Operasyonel Direktif 20-01Bugcrowd, yıllık raporunun 2022 baskısında “araştırmacıların 2021’de önceki yıla göre önemli ölçüde daha fazla hata raporu sunmalarına yol açtı”Öncelikli Rapor,” bugün yayınlandı.
Bugcrowd’un kurucusu ve baş teknoloji sorumlusu Casey Ellis, direktife tepkinin küçük başladığını ancak 2021 yılına kadar hızla hızlandığını ve devlet kurumlarının geniş saldırı yüzey alanını ve altyapılarında nispeten test edilmemiş noktaları açığa çıkardığını söylüyor.
“Hükümetin güvenlik açığı yönetiminde benzersiz zorlukları olduğunu düşünmüyorum” diyor. “Uzun süredir ortalıkta dolaşan, organik ve inorganik büyüme gösteren şirketler, keşfettikleri ilk şey, eşyalarının nerede olduğunu bilmedikleri ve hükümetin de farklı olmadığı. Bu şeyler birlikte gerçekten katkıda bulundu. 10x’e kadar – şu anda bakılmakta olan geniş bir saldırı yüzeyi.”
Devlet sektörü yalnız değil. Bugcrowd raporunda, finans sektörünün, 2021’in ilk üç çeyreğinde geçerli başvuruların %82 oranında artmasıyla, hata raporlarının sayısını neredeyse iki katına çıkardığını belirtti. Genel olarak, Bugcrowd ve diğer hata ödül programları – bağımsız kurumsal hata ödülleriyle birlikte – ödüllerin zamanla arttığını ve araştırmacının en kritik kusurlara odaklanmasında bir kayma olduğunu gördü.
Bugcrowd, güvenlik açığı araştırmalarında sürü zihniyetine de tanık oldu. Kamuya açık bir güvenlik açığı ifşasının ardından, bilgisayar korsanları genellikle kendi çabalarını aynı güvenlik sorunları sınıfına odaklar. Örneğin Log4j açıklaması, benzer sorunlar için platform testlerinde bir artışa neden oldu. Bu, 1200’den fazla rapora yol açtı; en az 500, şirketin müşterilerine bildirilen geçerli sorunlardı. En son önemli soruna yeniden odaklanmak bir araştırmacıya 90.000 dolar kazandırdı.
Ellis, “Bu vardiyalar, arka bahçedeki bir partide birinin araya girmesini bekleyen tüm insanlar gibi” diyor. “Çok fazla … kritik uzaktan erişim sorunlarına daha fazla odaklanıldığını gördük.”
Rapora göre, öncelikli 1 ve 2 sorunları – esasen Bugcrowd’un sınıflandırmasındaki kritik ve yüksek önemdeki sorunlar – rapor edilen tüm sorunların %24’ünü oluşturuyor. Siteler arası komut dosyası oluşturma ve bozuk erişim kontrolleri, araştırmacıların keşfettiği en üst düzey güvenlik açıkları olmaya devam etti, ancak hassas verilere maruz kalma, 2020’deki 9 numaralı yuvadan üçüncü en yaygın sorun haline geldi.
Ödemeler sektörler arasında da artıyor. Finansal hizmetler, araştırmacılar tarafından keşfedilen sorunlar için dolar hacminin iki katından fazlasını (%106) öderken, yazılım şirketleri bir önceki yıla göre 2021’de %73 daha fazla ödeme yaptı.
Ödül kazanmak için tüm güvenlik açıklarının yeni olması gerekmiyor – şirketler, bu sorunlar yeni olmasa bile, yamalanmamış sorunlar arıyor. Bugcrowd, raporda “n-gün” olarak adlandırılan güvenlik açıklarının birçok yönden 0 günlük güvenlik açıklarından daha önemli hale geldiğini belirtiyor.
Log4j güvenlik açığı, aynı zamanda, saldırganların gelecekte yararlanmaya devam edeceği uzun kuyruklu bir güvenlik açığına da bir örnektir. Ellis, Log4j tavsiyesinin çok sayıda beyaz şapka ve siyah şapka etkinliğini tetiklediğini söylüyor.
“Sofistike saldırganlar her zaman egzotik saldırılar ve gizlilikle eş tutulmuştur, ancak bence artık durumun her zaman böyle olmadığı açık” diyor. “Bir saldırgan olarak, hükümet olsanız da olmasanız da, kazancınız maliyetinizi haklı çıkarmak zorunda. Ücretsiz olarak indirebileceğiniz bir şey işe yaradığında neden 0 günlük bir milyon doları yakmanız gerekiyor.”
Ellis, yeni araştırmaların bilgisayar korsanlarının çıkarları üzerindeki etkisinin – ve araştırma topluluğu içinde ürettiği ivmenin – gelecekte ne tür güvenlik açıklarının keşfedilmesi ve istismar edilmesinin daha muhtemel olduğunu anlamak için çalışmaya değer olduğunu söylüyor.
“Araştırmacılar ve hacker topluluğu, kesinlikle bir sürü gibi çalışıyorlar – birbirlerini dinliyorlar ve başarıyı gördükleri yerde yeni araştırmalarla koşuyorlar” diyor ve bunun sadece rasyonel ekonomi olduğunu ekliyor. “Amaçları benzersiz güvenlik açıkları bulmak ve bunun için ödeme almak.”