ABD'den Gold Eagle ile Yapay Zeka Destekli Güvenlik Açığı Yönetiminde Çığır Açan Girişim Siber Güvenlik

ABD'den Gold Eagle ile Yapay Zeka Destekli Güvenlik Açığı Yönetiminde Çığır Açan Girişim

ABD, Gold Eagle programıyla yapay zeka kaynaklı güvenlik açıklarını hızlı tespit ve düzeltmeyi hedefliyor. Ancak uzmanlar, düzeltme kapasitesi ve iş a

ABD yönetimi, siber güvenlik alanında giderek büyüyen bir soruna çözüm bulmak amacıyla Gold Eagle adlı yeni bir programı hayata geçirdi. Program, yapay zeka destekli güvenlik açıklarının daha hızlı tespit edilmesini ve giderilmesini sağlamayı hedefliyor. Haziran ayında yayımlanan 14409 sayılı Başkanlık Kararnamesi ile duyurulan Gold Eagle, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Hazine Bakanlığı ve Savunma Bakanlığı'nın yanı sıra özel sektör ortaklarını da kapsayan bir işbirliğini öngörüyor.

Beyaz Saray, programı 'mevcut federal hükümet yetki ve kaynaklarını kullanarak siber güvenlik açıklarını daha önce görülmemiş bir hız ve ölçekte alıp yamamak için koordine edilmiş bir sistem' olarak tanımlıyor. Amaç, tarama çalışmalarındaki tekrarları azaltmak ve devlet ile özel sektördeki ağ savunucularına eyleme geçirilebilir düzeltme istihbaratı sağlamak. Hazine Bakanı Scott Bessent, 'Hazine Bakanlığı, finansal kurumlarımızı korumak, güvenlik açıklarını kapatmak ve ABD finansal sisteminin bütünlüğünü sağlamak için özel sektörle el ele çalışıyor' dedi.

Gold Eagle hakkında sınırlı bilgi bulunmakla birlikte, programın devlet ile Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü arasındaki ortak bir proje olan Güvenlik Açığı Bilgi ve Koordinasyon Ortamı'na (VINCE) dayandığı düşünülüyor. VINCE, bireylerin ve şirketlerin güvenlik açıklarını triyaj için bildirebilecekleri merkezi bir merkez sağlayacak. Açık kaynak bakımcılarının, AI tarafından keşfedilen hata sayısındaki artışa ayak uydurmakta zorlanan birçok proje göz önüne alındığında, Gold Eagle'ı kullanmaları bekleniyor.

Detaylar ve Etkileri

Ancak siber güvenlik uzmanları, girişimin çoğu kuruluşu etkileyen düzeltme darboğazını hafifletmek için çok az şey yaptığına dikkat çekiyor. Suzu Labs'tan Jacob Krell, 'Gold Eagle yön olarak doğru, ancak yanlış darboğazı optimize etme riski taşıyor' dedi. 'Çalıştığım her güvenlik ekibi, AI sahneye çıkmadan önce bile tamamlayabileceğinden daha fazla düzeltme ve sertleştirme işi taşıyordu. AI hızlandırılmış keşif, zaten tıkanmış bir boru hattına daha fazla bulgu dökebilir.' Krell, CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunun halihazırda federal kurumların kaçırdığı zorunlu son teslim tarihlerine sahip 1600'den fazla girdi içerdiğini ekledi.

Cobalt'ın CTO'su Gunter Ollmann, ajanslar ve endüstri arasında güvenlik açığı verilerini koordine etme çabasını temkinli bir şekilde memnuniyetle karşılarken, planın sınırlamalarına da dikkat çekti. 'Yinelenen taramalar, aslında düzeltmelere harcanabilecek analist zamanını boşa harcıyor ve bakımcılar ile kritik altyapı operatörleri arasında paylaşılan bir boru hattı gerçek bir boşluğu gideriyor' dedi. 'Ancak güvenlik açıklarını bulmak bir süredir zor kısım değildi. Bunları gerçek istismar edilebilirliğe göre önceliklendirmek ve düzeltmeyi doğru sahibine ulaştırmak, çoğu programın başarısız olduğu yerdir ve bu bir koordinasyon ve iş akışı sorunudur, AI'nın tek başına çözeceği bir şey değil.'

Strike Graph'ın kurucusu Justin Beals da benzer bir ton kullandı. 'Kritik altyapıda kısıtlama nadiren güvenlik açığı keşfi oldu. Düzeltme kapasitesi ve kimin neyi ne zaman yamalayacağının net sahipliği. Halihazırda birikmiş işlerine yetişemeyen savunuculara daha iyi önceliklendirilmiş rehberlik yönlendirmek, tek başına verimi değiştirmez' dedi. 'İğneyi oynatan programlar, keşfi aşağı yönde bir ölçüm ve hesap verebilirlik modeliyle eşleştirir. Gold Eagle'ın bu ikinci yarısı varsa, önemli olacaktır. Sürüm yalnızca ilkini açıklıyor.'

Kaynak: infosecurity-magazine.com

Paylaş: